HOWTO : Бъдете сигурни че нямате rootkit на вашия Ubuntu 9.04 server / desktop
22 февруари, 2010 – 1:10 pmЗа да сте сигурни че на вашия сървър или десктоп няма да бъде инсталиран rootkit или trojan без ваше съгласие т.е. без да знаете трябва периодично да следите за тях. За целата трябва да инсталираме някои пакети.
ChkRootKit
sudo apt-get install chkrootkit
Направете Cron Job за да сканира ежедневно в 0700 часа
sudo crontab -e
и добавете
0 7 * * * /usr/sbin/chkrootkit; /usr/sbin/chkrootkit -q 2 >&1 | mail -s "Daily ChkRootKit Scan" info@sa-sa.eu
Ръчно сканиране
sudo /usr/sbin/chkrootkit
Rootkit Hunter (по ваше желание)
sudo apt-get install rkhunter
Направете Cron Job за да сканира ежедневно в 0500 часа
sudo crontab -e
и добавете
0 5 * * * rkhunter --cronjob --rwo | mail -s "Daily Rootkit Hunter Scan" info@sa-sa.eu
Ръчно сканиране
sudo rkhunter --check
Forensic tool за намиране на скрити процеси и портове – unhide
sudo apt-get install unhide
Направете Cron Job за да сканира ежедневно в 0800 и 0930 часа
sudo crontab -e
и добавете
0 8 * * * unhide proc; unhide proc -q 2 >&1 | mail -s "Daily unhide proc Scan" info@sa-sa.eu 30 8 * * * unhide sys; unhide sys -q 2 >&1 | mail -s "Daily unhide sys Scan" info@sa-sa.eu 0 9 * * * unhide brute; unhide brute -q 2 >&1 | mail -s "Daily unhide brute Scan" info@sa-sa.eu 30 9 * * * unhide-tcp; unhide-tcp -q 2 >&1 | mail -s "Daily unhide-tcp Scan" info@sa-sa.eu
За ръчно сканиране
sudo unhide proc sudo unhide sys sudo unhide brute sudo unhide-tcp
Не забравяйте че тези пакети не ви гарантират %100 че няма да бъдете атакувани от rootkit-ове
