Защита сервера и десктопа от руткитов

Добрый день. Сегодня наткнулся на одну интересную статью в интернете, где описан обзор программ которые ищут руткиты и прочую нечесть на сервере, десктопе и т.д. Собственно я уже писал о ChkRootKit в своих статьях. Хотелось бы более детально разобрать другие программы а так же процесс сканирования и отправки сообщений на мыло при проверке.

Итак, в данной статье будет описан мини мануал и обзор трёх программ для проверки системы от хакерской нечести:

1. ChkRootKit

Установка производится коммандой:

apt-get install chkrootkit

Для ежедневного сканирования компьютера на руткиты, трояны и т.д. а так же отправки отчёта на почту администратора, необходимо в крон добавить следующее:

vim /etc/crontab

0 7 * * * /usr/sbin/chkrootkit; /usr/sbin/chkrootkit -q 2 >&1 | mail -s «Daily ChkRootKit Scan» hidx@hidx.ru

Так же, проверку системы можно выполнять в ручную, все результаты проверки появится на экране:

/usr/sbin/chkrootkit

2. Rootkit Hunter

Установка производится коммандой:

apt-get install rkhunter

Для ежедневного сканирования компьютера на руткиты, трояны и т.д. а так же отправки отчёта на почту администратора, необходимо в крон добавить следующее:

vim /etc/crontab

0 5 * * * rkhunter —cronjob —rwo | mail -s «Daily Rootkit Hunter Scan» hidx@hidx.ru

Так же, проверку системы можно выполнять в ручную, все результаты проверки появится на экране:

rkhunter —check

3. Средство обнаружения скрытых процессов и портов unhide

Установка производится коммандой:

apt-get install unhide

В unhide есть четыре функции сканирования — proc, sys, brute, tcp. Я к сожалению не пользовался данной программой и немогу ничего сказать об этих функциях (да и разбираться пока нет времени). Могу только догадываться что proc — сканирование процессов системы, sys — сканирование демонов, brute — полное скан системы, tcp — сканирование портов. Но это опять же не точно.

Итак, для ежедневного сканирования компьютера на запущеные процессы, порты и т.д. а так же отправки отчёта на почту администратора, необходимо в крон добавить следующее:

vim /etc/crontab

0 8 * * * unhide proc; unhide proc -q 2 >&1 | mail -s «Daily unhide proc Scan» hidx@hidx.ru

30 8 * * * unhide sys; unhide sys -q 2 >&1 | mail -s «Daily unhide sys Scan» hidx@hidx.ru

0 9 * * * unhide brute; unhide brute -q 2 >&1 | mail -s «Daily unhide brute Scan» hidx@hidx.ru

30 9 * * * unhide-tcp; unhide-tcp -q 2 >&1 | mail -s «Daily unhide-tcp Scan» hidx@hidx.ru

Так же, сканирование можно выполнить вручную:

unhide proc
unhide sys
unhide brute
unhide-tcp