Security Teams



:::
  Ответ в темуСоздание новой темыСоздание опроса

> Rootkit"ы. Чем (как) проверить наличие в системе?, FreeBSD 6.2
Kom@nd'Or
Дата 1.10.2008 - 19:38
Цитировать сообщение
Offline



Expert
******

Профиль
Группа: -editors-
Сообщений: 2078
Пользователь №: 48
Регистрация: 2.03.2005



Рейтинг:
(90%) XXXXX


Есть система на FreeBSD 6.2. Возникло подозрение, что в систему попал некоим образом руткит. Чем можно проверить? На что обратить внимание?



--------------------
--
Hайден неизвестный драйвер, воткните какое-нибудь устройство!
---
[b]Во имя процесса-отца, процесса-сына и святаго root"а... Enter! [/b]
PMICQYahoo
Top
marshall
Дата 13.10.2008 - 13:19
Цитировать сообщение
Offline



=Expert=
***

Профиль
Группа: -experts-
Сообщений: 150
Пользователь №: 4433
Регистрация: 5.09.2006



Рейтинг:
(40%) XX---


> Возникло подозрение, что в систему попал некоим образом руткит

В чем это выражается?

Проверить /etc/master.passwd на наличие шелов у системных аккаунтов (типа squid www и тому подобное).
Проверить что загружается при старте системы:
/etc/rc.conf
/etc/rc.d/
/usr/local/etc/rc.d/
Синхронизировать исходники системы и порты cvsup'ом.
Пересобрать систему.
Пересобрать порты.

Можно заморочиться с md5.
Т е после установки свежего сервера сделать "слепок" контрольных сумм файлов.
И в случае если появится подозрение на руткит, провести повторный слепок, и сравнить его с первым.
Чтото типа:
md5 -r /* /etc/* /bin/* /sbin/* /usr/local/etc/* /usr/local/bin/* /usr/local/sbin/* > ~/md5_master.txt
Потом при подозрении:
md5 -r /* /etc/* /bin/* /sbin/* /usr/local/etc/* /usr/local/bin/* /usr/local/sbin/* > ~/md5_`date "+%Y%m%d%H%M%S"`.txt
Потом сравни с помошью diff
PMСайт пользователяICQ
Top
marshall
Дата 19.11.2008 - 20:15
Цитировать сообщение
Offline



=Expert=
***

Профиль
Группа: -experts-
Сообщений: 150
Пользователь №: 4433
Регистрация: 5.09.2006



Рейтинг:
(40%) XX---


Покопавшись в портах нашел вот это:

# cat /usr/ports/security/chkrootkit/pkg-descr
Chkrootkit is a tool to locally check for signs of a rootkit.
-------------------------------------------------------------

It contains:

* chkrootkit: a shell script that checks system binaries for
rootkit modification.
* ifpromisc.c: checks if the network interface is in promiscuous
mode.
* chklastlog.c: checks for lastlog deletions.
* chkwtmp.c: checks for wtmp deletions.
* check_wtmpx.c: checks for wtmpx deletions. (Solaris only)
* chkproc.c: checks for signs of LKM trojans.
* chkdirs.c: checks for signs of LKM trojans.
* strings.c: quick and dirty strings replacement.
* chkutmp.c: checks for utmp deletions.

For an updated list of rootkits, worms and LKMs detected by
chkrootkit please visit: https://www.chkrootkit.org/

Nelson Murilo <nelson@pangeia.com.br>
Klaus Steding-Jessen <jessen@nic.br>

WWW: https://www.chkrootkit.org/
PMСайт пользователяICQ
Top

Опции темы Ответ в темуСоздание новой темыСоздание опроса