|
Автор |
Сообщение |
Pantera
Участник тусовки
Зарегистрирован: 20.06.2013 Сообщения: 228 Откуда: Москва
|
|
|
|
Приветствую всех!
Возник один вопросик. Как можно проверить систему на руткиты? Я знаю есть утилита rkhunter, но она только проверяет и показывает. Но могут быть ложные срабатывания. А есть ли что-либо для Fedora еще? Может быть, конечно, я что не поняла с этой rkhunter. Но что то она мне показала, что есть подозрительное в количестве 2-х штук:
Код: |
File properties checks...
Required commands check failed
Files checked: 133
Suspect files: 2
Rootkit checks...
Rootkits checked : 383
Possible rootkits: 0
Applications checks...
All checks skipped
The system checks took: 1 minute and 57 seconds
All results have been written to the log file: /var/log/rkhunter/rkhunter.log
One or more warnings have been found while checking the system.
Please check the log file (/var/log/rkhunter/rkhunter.log) |
|
|
Вернуться к началу |
|
|
chip
Тысячник
Зарегистрирован: 22.04.2010 Сообщения: 2498
|
|
Вернуться к началу |
|
|
Pantera
Участник тусовки
Зарегистрирован: 20.06.2013 Сообщения: 228 Откуда: Москва
|
|
|
|
chip писал(а): |
а что /var/log/rkhunter/rkhunter.log говорит? |
А говорит вот что:
Код: |
[11:15:41] Warning: Checking for prerequisites [ Warning ]
[11:15:41] Warning: WARNING! It is the users responsibility to ensure that when the '--propupd' option
[11:15:42] /usr/sbin/ifdown [ Warning ]
[11:15:42] Warning: The command '/usr/sbin/ifdown' has been replaced by a script: /usr/sbin/ifdown: Bourne-Again shell script, ASCII text executable
[11:15:42] /usr/sbin/ifup [ Warning ]
[11:15:42] Warning: The command '/usr/sbin/ifup' has been replaced by a script: /usr/sbin/ifup: Bourne-Again shell script, ASCII text executable
[11:17:28] Checking for passwd file changes [ Warning ]
[11:17:28] Warning: Unable to check for passwd file differences: no copy of the passwd file exists.
[11:17:28] Checking for group file changes [ Warning ]
[11:17:28] Warning: Unable to check for group file differences: no copy of the group file exists.
[11:17:31] Checking for hidden files and directories [ Warning ]
[11:17:31] Warning: Hidden directory found: /usr/bin/.gnome-desktop
[11:17:31] Warning: Hidden directory found: /usr/sbin/.gnome-desktop
|
|
|
Вернуться к началу |
|
|
chip
Тысячник
Зарегистрирован: 22.04.2010 Сообщения: 2498
|
|
|
|
Pantera, нужно по каждому пункту лога проходить, я бы на твоем месте в виртуалку поставил федору и сравнивал каждый пункт. у меня есть ток центос, например:
Код: |
oto@oto:[~]: file $(which ifdown)
/sbin/ifdown: Bourne-Again shell script text executable
|
теперь смотрим что там:
Код: |
oto@oto:[~]: cat $(which ifdown)
#!/bin/bash
unset WINDOW # defined by screen, conflicts with our usage
. /etc/init.d/functions
cd /etc/sysconfig/network-scripts
. ./network-functions
[ -f ../network ] && . ../network
CONFIG=$1
[ -z "$CONFIG" ] && {
echo $"usage: ifdown <device name>" >&2
exit 1
}
need_config "${CONFIG}"
[ -f "$CONFIG" ] || {
echo $"usage: ifdown <device name>" >&2
exit 1
}
if [ $UID != 0 ]; then
if [ -x /usr/sbin/usernetctl ]; then
source_config
if /usr/sbin/usernetctl ${CONFIG} report ; then
exec /usr/sbin/usernetctl ${CONFIG} down
fi
fi
echo $"Users cannot control this device." >&2
exit 1
fi
source_config
if [ -n "$IN_HOTPLUG" ] && [ "${HOTPLUG}" = "no" -o "${HOTPLUG}" = "NO" ]
then
exit 0
fi
if [ "$USE_NM" = "true" ]; then
if [ -n "$UUID" -a -z "$DEVICE" ]; then
DEVICE=$(nmcli -t --fields uuid,devices con status | awk -F ':' "\$1 == \"$UUID\" { print \$2 }")
fi
if [ -n "$DEVICE" ] && ! is_nm_device_unmanaged "$DEVICE" ; then
if ! LC_ALL=C nmcli -t -f STATE,DEVICE dev status | egrep -q "^(failed|disconnected|unmanaged|unavailable):$DEVICE$"; then
nmcli dev disconnect iface "$DEVICE"
exit $?
fi
exit 0
fi
fi
if [ -x /sbin/ifdown-pre-local ]; then
/sbin/ifdown-pre-local ${DEVICE}
fi
OTHERSCRIPT="/etc/sysconfig/network-scripts/ifdown-${DEVICETYPE}"
if [ ! -x ${OTHERSCRIPT} ]; then
OTHERSCRIPT="/etc/sysconfig/network-scripts/ifdown-eth"
fi
exec ${OTHERSCRIPT} ${CONFIG} $2
|
сравниваем с оригиналом, если есть отличия то сносим или меняем на оригинальный. и так далее
есть какието скрытые каталоги: /usr/bin/.gnome-desktop нужны они или нет я хз, нужно глянуть на свежеустановленной ОС. |
|
Вернуться к началу |
|
|
chip
Тысячник
Зарегистрирован: 22.04.2010 Сообщения: 2498
|
|
|
|
еще посмотри все свои соединения:
если есть чужие баним
iptables -I INPUT -s 10.10.10.10 -j DROP
10.10.10.10 - ИП злоумышоенника |
|
Вернуться к началу |
|
|
Pantera
Участник тусовки
Зарегистрирован: 20.06.2013 Сообщения: 228 Откуда: Москва
|
|
|
|
chip, вот спасибо тебе огромное
P.S. А что значит чужие? Это те, у которых прочерк?
Код: |
tcp 0 0 188.44.34.219:36104 217.69.136.175:443 ESTABLISHED 2490/firefox
tcp 0 0 188.44.34.219:60110 91.190.216.66:12350 ESTABLISHED 1930/skype-bin
tcp 0 0 188.44.34.219:57765 84.201.146.161:5222 ESTABLISHED 2010/pidgin
tcp 0 0 188.44.34.219:37903 109.184.46.35:50467 ESTABLISHED 1930/skype-bin
tcp 0 0 188.44.34.219:43930 178.237.19.228:443 ESTABLISHED 2010/pidgin
tcp 0 0 188.44.34.219:44157 157.55.130.150:40026 ESTABLISHED 1930/skype-bin
tcp 0 0 188.44.34.219:45147 134.170.25.48:443 ESTABLISHED 1930/skype-bin
tcp 0 0 188.44.34.219:51665 93.158.134.90:443 TIME_WAIT -
tcp 0 0 188.44.34.219:51221 216.58.209.110:80 TIME_WAIT -
tcp 0 0 188.44.34.219:50535 54.230.97.120:443 TIME_WAIT -
tcp 0 0 188.44.34.219:52170 178.237.19.131:443 ESTABLISHED 2010/pidgin
tcp 0 0 188.44.34.219:55200 94.100.180.200:443 ESTABLISHED 2490/firefox
tcp 0 0 188.44.34.219:48570 54.69.98.160:443 TIME_WAIT -
tcp 0 0 188.44.34.219:49937 178.237.19.20:443 ESTABLISHED 2010/pidgin |
|
|
Вернуться к началу |
|
|
chip
Тысячник
Зарегистрирован: 22.04.2010 Сообщения: 2498
|
|
|
|
Pantera, да нет, это те проги которые не удалось определить, например дочерние процессы какихто прог. 188.44.34.219 это твой ИП а в другой колонке показано с кем он иниировал соединение. То есть на данный момент у тебя все в порядке никого левого нет. Сравнивай дальше те два скрипта с оригиналами. |
|
Вернуться к началу |
|
|
Pantera
Участник тусовки
Зарегистрирован: 20.06.2013 Сообщения: 228 Откуда: Москва
|
|
|
|
Говорит, что плохой сайт, ну просто говорит отвратительный)). Я даже побоялась перейти на него |
|
Вернуться к началу |
|
|
Pantera
Участник тусовки
Зарегистрирован: 20.06.2013 Сообщения: 228 Откуда: Москва
|
|
|
|
chip писал(а): |
Pantera, да нет, это те проги которые не удалось определить, например дочерние процессы какихто прог. 188.44.34.219 это твой ИП а в другой колонке показано с кем он иниировал соединение. То есть на данный момент у тебя все в порядке никого левого нет. Сравнивай дальше те два скрипта с оригиналами. |
И сколько тебе понадобилось, чтобы во всем разбираться? Еще раз поклон большой |
|
Вернуться к началу |
|
|
chip
Тысячник
Зарегистрирован: 22.04.2010 Сообщения: 2498
|
|
|
|
да нисколько, посмотри просто свою колонку, если нет портов ссх в 4 колонке, там где твой ИП и удаленного левого в 5 колонке то все гуд. У тебя в основном комп ходит на http (80 порт) https (443 порт) и еще пара служебных портов скайпа и pidgin.
|
|
Вернуться к началу |
|
|
Pantera
Участник тусовки
Зарегистрирован: 20.06.2013 Сообщения: 228 Откуда: Москва
|
|
|
|
Ну вроде все нормально.
А каталоги /usr/bin/.gnome-desktop и /usr/sbin/.gnome-desktop это правильно, появилось позже, когда устанавливала драйвера на МФУ.
chip, тебе персонально - |
|
Вернуться к началу |
|
|
chip
Тысячник
Зарегистрирован: 22.04.2010 Сообщения: 2498
|
|
|
|
, я больше пиво люблю.
ПС, а сравнила скрипты ifdown и ifup с оригиналами? |
|
Вернуться к началу |
|
|
Pantera
Участник тусовки
Зарегистрирован: 20.06.2013 Сообщения: 228 Откуда: Москва
|
|
|
|
chip писал(а): |
, я больше пиво люблю.
ПС, а сравнила скрипты ifdown и ifup с оригиналами? |
Ну извиняйте сэр, вот вам пиво
Сравнила, все нормально.
P.S. И чтоб я без тебя делала? |
|
Вернуться к началу |
|
|
chip
Тысячник
Зарегистрирован: 22.04.2010 Сообщения: 2498
|
|
|
|
Pantera, тогда можешь спать спокойно. |
|
Вернуться к началу |
|
|
|
|