| |
| chkrootkit [2012/07/15 20:54] – vytvořeno ubuntu | chkrootkit [2019/02/25 18:20] (aktuální) – upraveno mimo DokuWiki 127.0.0.1 |
|---|
| | ====== chkrootkit ====== |
| | {{:root.png}} **chkrootkit** je program, který se kombinací různých vlastních nástrojů pokusí zjistit přítomnost [[http://cs.wikipedia.org/wiki/Rootkit|rootkitu]] v systému. |
| |
| | ====== Instalace ====== |
| | |
| | {{:apt.png}} [[Instalace programů|Nainstalujte]] balík [[apt://chkrootkit|chkrootkit]]. |
| | |
| | ====== Spuštění ====== |
| | |
| | {{:navigate.png}} //chkrootkit// spustíte z [[Terminál]]u pomocí |
| | <code> |
| | sudo chkrootkit |
| | </code>pro podrobný výstup všech testovaných oblastí a jejich výsledků, anebo |
| | <code> |
| | sudo chkrootkit -q |
| | </code>pokud chcete vidět jen podezřelé nálezy a chybová hlášení (//q// jako //quiet//). |
| | |
| | ====== Použití ====== |
| | |
| | Spusťte //chkrootkit// pomocí |
| | <code> |
| | sudo chkrootkit -q |
| | </code> |
| | Pokud program najde podezřelé soubory nebo jiné skutečnosti, nepropadejte panice. Uvědomte si, že se jedná o aplikaci s velmi širokým záběrem, a proto často najde tzv. //false positives// (podezřelé soubory, které jsou ale v pořádku). Zkontrolujte podrobný popis testů a jejich výsledků níže, nebo vyhledejte popis souboru na internetu, příp. se zeptejte na fóru. Další možností je spustit //chkrootkit// na LiveCD nebo čisté instalaci - pokud je výstup stejný, vše je v pořádku. |
| | |
| | ====== Podrobný popis testů a výstupu ====== |
| | |
| | Následuje podrobný popis výstupu po zadání //sudo chkrootkit// a možných problémů. Výstup je rozdělen na dané podoblasti. Legenda: |
| | |
| | //Checking// - kontroluji |
| | |
| | //not found// - soubor/adresář nenalezen |
| | |
| | //nothing found// - nic podezřelého nenalezeno |
| | |
| | //not infected// - soubor/adresář je v pořádku |
| | |
| | //INFECTED// - tak to je špatné znamení... |
| | |
| | //infected but disabled// - napadené, ale nefunkční |
| | |
| | |
| | ===== ROOTDIR ===== |
| | <code> |
| | $ sudo chkrootkit |
| | ROOTDIR is `/' |
| | </code>ROOTDIR označuje kořenový adresář systému, který kontrolujeme. Pokud jedeme z běžícího systému, je jím **/**. Je ale možné (a doporučené) tento test zkombinovat s testem z LiveCD nebo jiného systému na disku pomocí |
| | <code> |
| | sudo chkrootkit -r /media/ubuntu |
| | </code>(kde ///media/ubuntu// je cesta ke kontrolovanému systému, spouštěno z běžícího LiveCD), protože takto má případný rootkit menší šanci se "schovat". |
| | |
| | ===== Kontrola integrity základních příkazů systému ===== |
| | <code> |
| | Checking `amd'... not found |
| | Checking `basename'... not infected |
| | Checking `biff'... not found |
| | [... (kráceno) ...] |
| | Checking `vdir'... not infected |
| | Checking `w'... not infected |
| | Checking `write'... not infected |
| | </code>Rootkit se často pokusí změnit původní příkazy systému na svou verzi tak, aby zakryl svou činnost. //chkrootkit// projede svou databázi těchto příkazů a porovná ji s databází známých "podvrhů". |
| | Obecně řečeno je to slabý způsob detekce útoku - při jakékoli změně známého rootkitu je tento postup neúčinný. Chrání ale před běžnými útočníky používajícími volně dostupné návody na internetu. Lepší variantou by pro tento typ útoku byl např. [[http://www.root.cz/clanky/tripwire-ohlidejte-si-system/|tripwire]]. |
| | |
| | ===== Kontrola systému na známé rootkity ===== |
| | <code> |
| | Checking `aliens'... no suspect files |
| | Searching for sniffer's logs, it may take a while... nothing found |
| | [... (kráceno) ...] |
| | Searching for suspect PHP files... nothing found |
| | Checking `asp'... not infected |
| | </code>Neúspěšný rootkit (anebo rootkit kontrolovaný z jiného systému) za sebou zanechá typické stopy - pokud jsou tyto známé, //chkrootkit// je najde a vypíše. |
| | ==== Problém "The following suspicious files and directories were found:" ==== |
| | |
| | Jedna obecná část tohoto testu se zaměřuje na skryté soubory v důležitých adresářích - najdeme zde tedy plno souborů, které jsou v pořádku, jen jsou skryté, a proto podezřelé. |
| | <code> |
| | Searching for suspicious files and dirs, it may take a while... The following suspicious files and directories were found: |
| | /usr/lib/pymodules/python2.6/.path /usr/lib/xulrunner-1.9.2.7/.autoreg /usr/lib/jvm/.java-6-openjdk.jinfo /usr/lib/thunderbird-3.0.5/.autoreg /usr/lib/firefox-3.6.7/.autoreg |
| | </code> |
| | ===== Otevřené porty ===== |
| | <code> |
| | Checking `bindshell'... not infected |
| | </code>Kontroluje otevřené porty, funkční kontrola jen z běžícího systému. |
| | |
| | ===== Skryté procesy, adresáře apod. ===== |
| | <code> |
| | Checking `lkm'... chkproc: nothing detected |
| | chkdirs: nothing detected |
| | </code>Hledá známé LKM rootkity. Dále kontroluje, zda není rozdíl mezi výstupem příkazu //ps// a seznamem procesů v ///proc// (//chkproc//), a mezi skutečným a deklarovaným počtem souborů v adresáři (//chkdirs//). Případné rozdíly naznačují pokus o maskování a jsou podezřelé. |
| | |
| | ===== Sniffers ===== |
| | <code> |
| | Checking `sniffer'... lo: not promisc and no packet sniffer sockets |
| | eth0: PACKET SNIFFER(/sbin/dhclient3[858]) |
| | </code>Kontroluje, zda není aktivní //sniffer// síťové komunikace, funkční kontrola jen z běžícího systému. Pokud používáte //dhclient//, který komunikuje s DHCP serverem, je uveden jako podezřelý, protože je zapnut v tzv. promiskuitním módu. |
| | |
| | ===== Kontrola logů ===== |
| | Rootkity za sebou zametávají stopy, které zanechaly v logách systému (přihlášení, odhlášení apod). Tato část kontroluje, zda k podobnému "úklidu" v systému nedošlo. |
| | <code> |
| | Checking `wted'... chkwtmp: nothing deleted |
| | Checking `z2'... user franta deleted or never logged from lastlog! |
| | Checking `chkutmp'... chkutmp: nothing deleted |
| | </code>//nothing deleted// je zpráva, kterou chceme vidět. |
| | ==== Problém "user franta deleted or never logged from lastlog!" ==== |
| | Logy nezaznamenávají grafické přihlášení, takže pokud se //franta// nikdy nepřihlásil z konzole, program ho identifikuje jako podezřelého, protože ho nemůže v logách najít. |
| | |
| | ====== Odstranění ====== |
| | |
| | {{.:clear.png}} [[Instalace programů|Odeberte]] balík ''chkrootkit''. |
| | |
| | ====== Odkazy ====== |
| | * [[http://www.chkrootkit.org/|Domovská stránka programu]] {{:en.png}} |