Главная | Контакты | Настройки

СМЕНИТЬ ПАЛИТРУ:

Безопасность сервера FreeBSD: проверка на rootkit'ы. Часть I

В последнее время я основательно занялся безопасностью сервера, на котором вертится хостинг. И на это есть все основания. Количество пользователей непременно растет с каждым днем – уследить за всеми уже нереально. Большую опасность для системы представляют руткиты – враждебные программы, использующие известные уязвимости программного обеспечения (web-сервер, mysql и прочее) для повышения прав хакера до рута, либо выполнения команд, будь то DDoS или сканирование удаленных узлов.Итак, в портах FreeBSD имеется замечательная утилитка chkrootkit. Это сканер безопасности, который ищет признаки наличия руткитов, часто любящих хорошо скрывать свое присутствие в системе. Типы определяемых руткитов указаны на домашней странице проекта – www.chkrootkit.org

Установка и запуск сканера достаточно тривиальны:

# cd /usr/ports/security/chkrootkit
# make install clean
# rehash

Для запуска требуются права root:

# chkrootkit

Это запуск с параметрами по умолчанию. Для начала вполне подойдет. Дополнительные опции доступны при запуске с ключем -h. При сканировании выводится детальный отчет. Используемые префиксы указаны ниже:

not infected – указывает отсутствие в программе сигнатур руткита;

INFECTED – проверка показала, что данная программа относится к образцам враждебного кода;

not_found - программа не найдена, соответственно – не проверялась;

Vulnerable but disabled - программа заражена, но не используется;

not tested - тест не был выполнен(отключен опцией, либо невозможен).

После проверки не рекомендую оставлять сканер, так как им могут воспользоваться злобные хакеры для проверки своих руткитов в системе.

# cd /usr/ports/security/chkrootkit
# make deinstall