Hlavní navigace

Jak na malware a rootkity v Linuxu

Sdílet

Jan Fikar 18. 2. 2016

Na serveru HowtoForge vyšel nedávno návod, jak pomocí tří nástrojů odhalit malware a rootkity v Linuxu. Prvním z nich je starý známý Chkrootkit (poslední verze 0.50 z června 2014, www.chkrootkit.org je momentálně nedostupný).

Druhým nástrojem je zajímavější Lynis (verze 2.1.1 z července 2015), vychází ze známého programu rkhunter (verze 1.4.2 z února 2014), ale je novější, má více testů a některé výhody. Například nová verze umí procházet přímo kontejnery Docker.

Posledním je nástroj pro kontrolu webového serveru ISPProtect, který je sice placený (buď 7 EUR/měsíc, nebo od 0.6 do 1 EUR za scan), ale jde jednoduše vyzkoušet i zadarmo, místo sériového čísla vložte trial.

Našli jste v článku chybu?
  • Aktualita je stará, nové názory již nelze přidávat.
  • 18. 2. 2016 10:05

    František Havel

    Zdravím, přidávám další nástroje Tripwire, Aide, OSSec.
    Trochu si přihřeji polívčičku, sepsal jsem takový mini pamflet pro mladší kolegy http://www.mojeservery.cz/linux-mini-howto-zakladni-pravidla-bezpecnosti-serveru/ , protože to měli až moc na "háku", tak mě nekamenujte, jinak o Lynis-u chci ještě napsat krátký článek, přijde mi vcelku zajímavý. František

  • 18. 2. 2016 17:54

    Jenda (neregistrovaný) ---.net.upcbroadband.cz

    > proto už dnes moderní datacentra a VPS hostingy nabízejí šifrování celých samotných virtuálních strojů unikátním zákaznickým klíčem

    …který je v paměti toho stejného serveru, před kterým se chceme chránit.

    > Přijdete SSH login banner (/etc/issue.net, motd) s varováním o protiprávním jednání v případě neautorizovaného použití systému

    Jo, útočník si ho přečte a uvědomí si, že by to neměl dělat a odejde :-)

    Fail2ban: SSH slovníkáři se to naučili a každý bot z botnetu vyzkouší jenom třeba tři hesla, takže to už je v podstatě k ničemu. Navíc myslím pořád neumí používat ipset, takže to akorát způsobí DDoS.

  • 18. 2. 2016 21:34

    Jarda_P

    Ad Fail2ban: Zkuste Denyhosts, ten na iptables nesaha, dela vse podle /etc/hosts. Navic umi syncovat s databazi sestavenou podle utoku probehlych jinde, takze kdyz nekdo zacne utocit na vas, je mozna zakazany drive, nez zacne. Ale nejlip stejne funguje hozeni ssh na nestandardni port.

  • 18. 2. 2016 21:37

    Jarda_P

    Nejak mi neni jasne, jak ma treba Chkrootkit, ktery bezi na potencialne infikovanem systemu, zjistit pritomnost rootkitu, kdyz jsou rootkity, ktere se schovavaji z ps, ls a kdeceho. Pokud tomu ma clovek verit, tak leda pouzit Tripwire nebo podobny, spusteny z bootovaciho media a pravidelne se srat s udrzovanim aktualni databaze kontrolnich souctu.