Есть вопрос?
Зайди на форум

Поиск на сайте: Advanced

Denix - новый дистрибутив Linux. Русификация Ubuntu и установка кодеков

dkws.org.ua
Форум сайта dkws.org.ua
 
Главная    ТемыТемы    АльбомАльбом    РегистрацияРегистрация 
 ПрофильПрофиль   Войти и проверить личные сообщенияВойти и проверить личные сообщения   ВходВход 

Поиск руткитов в Fedora

 
Начать новую тему Ответить на тему    Список форумов dkws.org.ua -> Fedora Core
 
Автор Сообщение
Pantera

Участник тусовки


Зарегистрирован: 20.06.2013
Сообщения: 228
Откуда: Москва

СообщениеДобавлено: Пт Апр 10, 2015 8:43 am    Заголовок сообщения: Поиск руткитов в Fedora
Ответить с цитатой

Приветствую всех!
Возник один вопросик. Как можно проверить систему на руткиты? Я знаю есть утилита rkhunter, но она только проверяет и показывает. Но могут быть ложные срабатывания. А есть ли что-либо для Fedora еще? Может быть, конечно, я что не поняла с этой rkhunter. Но что то она мне показала, что есть подозрительное в количестве 2-х штук:
Код:

File properties checks...
    Required commands check failed
    Files checked: 133
    Suspect files: 2

Rootkit checks...
    Rootkits checked : 383
    Possible rootkits: 0

Applications checks...
    All checks skipped

The system checks took: 1 minute and 57 seconds

All results have been written to the log file: /var/log/rkhunter/rkhunter.log

One or more warnings have been found while checking the system.
Please check the log file (/var/log/rkhunter/rkhunter.log)
Вернуться к началу
Посмотреть профиль Отправить личное сообщение
chip

Тысячник


Зарегистрирован: 22.04.2010
Сообщения: 2498

СообщениеДобавлено: Пт Апр 10, 2015 9:05 am    Заголовок сообщения:
Ответить с цитатой

а что /var/log/rkhunter/rkhunter.log говорит?

и вот почитай http://linux-notes.org/poisk-rutkitov-v-debian-ubuntu-linux-mint-i-red-hat-centos-fedora/


Последний раз редактировалось: chip (Пт Апр 10, 2015 9:09 am), всего редактировалось 1 раз
Вернуться к началу
Посмотреть профиль Отправить личное сообщение
Pantera

Участник тусовки


Зарегистрирован: 20.06.2013
Сообщения: 228
Откуда: Москва

СообщениеДобавлено: Пт Апр 10, 2015 9:08 am    Заголовок сообщения:
Ответить с цитатой

chip писал(а):
а что /var/log/rkhunter/rkhunter.log говорит?

А говорит вот что:
Код:

[11:15:41] Warning: Checking for prerequisites               [ Warning ]
[11:15:41] Warning: WARNING! It is the users responsibility to ensure that when the '--propupd' option
[11:15:42]   /usr/sbin/ifdown                                [ Warning ]
[11:15:42] Warning: The command '/usr/sbin/ifdown' has been replaced by a script: /usr/sbin/ifdown: Bourne-Again shell script, ASCII text executable
[11:15:42]   /usr/sbin/ifup                                  [ Warning ]
[11:15:42] Warning: The command '/usr/sbin/ifup' has been replaced by a script: /usr/sbin/ifup: Bourne-Again shell script, ASCII text executable
[11:17:28]   Checking for passwd file changes                [ Warning ]
[11:17:28] Warning: Unable to check for passwd file differences: no copy of the passwd file exists.
[11:17:28]   Checking for group file changes                 [ Warning ]
[11:17:28] Warning: Unable to check for group file differences: no copy of the group file exists.
[11:17:31]   Checking for hidden files and directories       [ Warning ]
[11:17:31] Warning: Hidden directory found: /usr/bin/.gnome-desktop
[11:17:31] Warning: Hidden directory found: /usr/sbin/.gnome-desktop
Вернуться к началу
Посмотреть профиль Отправить личное сообщение
chip

Тысячник


Зарегистрирован: 22.04.2010
Сообщения: 2498

СообщениеДобавлено: Пт Апр 10, 2015 9:18 am    Заголовок сообщения:
Ответить с цитатой

Pantera, нужно по каждому пункту лога проходить, я бы на твоем месте в виртуалку поставил федору и сравнивал каждый пункт. у меня есть ток центос, например:
Код:
oto@oto:[~]: file $(which ifdown)
/sbin/ifdown: Bourne-Again shell script text executable

теперь смотрим что там:
Код:
oto@oto:[~]: cat $(which ifdown)
#!/bin/bash

unset WINDOW # defined by screen, conflicts with our usage

. /etc/init.d/functions

cd /etc/sysconfig/network-scripts
. ./network-functions

[ -f ../network ] && . ../network

CONFIG=$1

[ -z "$CONFIG" ] && {
    echo $"usage: ifdown <device name>" >&2
    exit 1
}

need_config "${CONFIG}"

[ -f "$CONFIG" ] || {
    echo $"usage: ifdown <device name>" >&2
    exit 1
}

if [ $UID != 0 ]; then
    if [ -x /usr/sbin/usernetctl ]; then
        source_config
        if /usr/sbin/usernetctl ${CONFIG} report ; then
            exec /usr/sbin/usernetctl ${CONFIG} down
        fi
    fi
    echo $"Users cannot control this device." >&2
    exit 1
fi

source_config

if [ -n "$IN_HOTPLUG" ] && [ "${HOTPLUG}" = "no" -o "${HOTPLUG}" = "NO" ]
then
    exit 0
fi

if [ "$USE_NM" = "true" ]; then
    if [ -n "$UUID" -a -z "$DEVICE" ]; then
        DEVICE=$(nmcli -t --fields uuid,devices con status | awk -F ':' "\$1 == \"$UUID\" { print \$2 }")
    fi
    if [ -n "$DEVICE" ] && ! is_nm_device_unmanaged "$DEVICE" ; then
        if ! LC_ALL=C nmcli -t -f STATE,DEVICE dev status | egrep -q "^(failed|disconnected|unmanaged|unavailable):$DEVICE$"; then
            nmcli dev disconnect iface "$DEVICE"
            exit $?
        fi
        exit 0
    fi
fi

if [ -x /sbin/ifdown-pre-local ]; then
    /sbin/ifdown-pre-local ${DEVICE}
fi

OTHERSCRIPT="/etc/sysconfig/network-scripts/ifdown-${DEVICETYPE}"

if [ ! -x ${OTHERSCRIPT} ]; then
    OTHERSCRIPT="/etc/sysconfig/network-scripts/ifdown-eth"
fi

exec ${OTHERSCRIPT} ${CONFIG} $2


сравниваем с оригиналом, если есть отличия то сносим или меняем на оригинальный. и так далее

есть какието скрытые каталоги: /usr/bin/.gnome-desktop нужны они или нет я хз, нужно глянуть на свежеустановленной ОС.
Вернуться к началу
Посмотреть профиль Отправить личное сообщение
chip

Тысячник


Зарегистрирован: 22.04.2010
Сообщения: 2498

СообщениеДобавлено: Пт Апр 10, 2015 9:31 am    Заголовок сообщения:
Ответить с цитатой

еще посмотри все свои соединения:
Код:
netstat -tunp

если есть чужие баним
iptables -I INPUT -s 10.10.10.10 -j DROP
10.10.10.10 - ИП злоумышоенника
Вернуться к началу
Посмотреть профиль Отправить личное сообщение
Pantera

Участник тусовки


Зарегистрирован: 20.06.2013
Сообщения: 228
Откуда: Москва

СообщениеДобавлено: Пт Апр 10, 2015 9:40 am    Заголовок сообщения:
Ответить с цитатой

chip, вот спасибо тебе огромное Question

P.S. А что значит чужие? Это те, у которых прочерк?
Код:

tcp        0      0 188.44.34.219:36104     217.69.136.175:443      ESTABLISHED 2490/firefox       
tcp        0      0 188.44.34.219:60110     91.190.216.66:12350     ESTABLISHED 1930/skype-bin     
tcp        0      0 188.44.34.219:57765     84.201.146.161:5222     ESTABLISHED 2010/pidgin         
tcp        0      0 188.44.34.219:37903     109.184.46.35:50467     ESTABLISHED 1930/skype-bin     
tcp        0      0 188.44.34.219:43930     178.237.19.228:443      ESTABLISHED 2010/pidgin         
tcp        0      0 188.44.34.219:44157     157.55.130.150:40026    ESTABLISHED 1930/skype-bin     
tcp        0      0 188.44.34.219:45147     134.170.25.48:443       ESTABLISHED 1930/skype-bin     
tcp        0      0 188.44.34.219:51665     93.158.134.90:443       TIME_WAIT   -                   
tcp        0      0 188.44.34.219:51221     216.58.209.110:80       TIME_WAIT   -                   
tcp        0      0 188.44.34.219:50535     54.230.97.120:443       TIME_WAIT   -                   
tcp        0      0 188.44.34.219:52170     178.237.19.131:443      ESTABLISHED 2010/pidgin         
tcp        0      0 188.44.34.219:55200     94.100.180.200:443      ESTABLISHED 2490/firefox       
tcp        0      0 188.44.34.219:48570     54.69.98.160:443        TIME_WAIT   -                   
tcp        0      0 188.44.34.219:49937     178.237.19.20:443       ESTABLISHED 2010/pidgin   
Вернуться к началу
Посмотреть профиль Отправить личное сообщение
chip

Тысячник


Зарегистрирован: 22.04.2010
Сообщения: 2498

СообщениеДобавлено: Пт Апр 10, 2015 9:57 am    Заголовок сообщения:
Ответить с цитатой

Pantera, да нет, это те проги которые не удалось определить, например дочерние процессы какихто прог. 188.44.34.219 это твой ИП а в другой колонке показано с кем он иниировал соединение. То есть на данный момент у тебя все в порядке никого левого нет. Сравнивай дальше те два скрипта с оригиналами.
Вернуться к началу
Посмотреть профиль Отправить личное сообщение
Pantera

Участник тусовки


Зарегистрирован: 20.06.2013
Сообщения: 228
Откуда: Москва

СообщениеДобавлено: Пт Апр 10, 2015 10:02 am    Заголовок сообщения:
Ответить с цитатой

chip писал(а):
и вот почитай http://linux-notes.org/poisk-rutkitov-v-debian-ubuntu-linux-mint-i-red-hat-centos-fedora/

Говорит, что плохой сайт, ну просто говорит отвратительный)). Я даже побоялась перейти на него Very Happy
Вернуться к началу
Посмотреть профиль Отправить личное сообщение
Pantera

Участник тусовки


Зарегистрирован: 20.06.2013
Сообщения: 228
Откуда: Москва

СообщениеДобавлено: Пт Апр 10, 2015 10:03 am    Заголовок сообщения:
Ответить с цитатой

chip писал(а):
Pantera, да нет, это те проги которые не удалось определить, например дочерние процессы какихто прог. 188.44.34.219 это твой ИП а в другой колонке показано с кем он иниировал соединение. То есть на данный момент у тебя все в порядке никого левого нет. Сравнивай дальше те два скрипта с оригиналами.

И сколько тебе понадобилось, чтобы во всем разбираться? Еще раз поклон большой Smile
Вернуться к началу
Посмотреть профиль Отправить личное сообщение
chip

Тысячник


Зарегистрирован: 22.04.2010
Сообщения: 2498

СообщениеДобавлено: Пт Апр 10, 2015 10:10 am    Заголовок сообщения:
Ответить с цитатой

да нисколько, посмотри просто свою колонку, если нет портов ссх в 4 колонке, там где твой ИП и удаленного левого в 5 колонке то все гуд. У тебя в основном комп ходит на http (80 порт) https (443 порт) и еще пара служебных портов скайпа и pidgin.

Question Question Question
Вернуться к началу
Посмотреть профиль Отправить личное сообщение
Pantera

Участник тусовки


Зарегистрирован: 20.06.2013
Сообщения: 228
Откуда: Москва

СообщениеДобавлено: Пт Апр 10, 2015 11:33 am    Заголовок сообщения:
Ответить с цитатой

Ну вроде все нормально.
А каталоги /usr/bin/.gnome-desktop и /usr/sbin/.gnome-desktop это правильно, появилось позже, когда устанавливала драйвера на МФУ.

chip, тебе персонально - Surprised Surprised
Вернуться к началу
Посмотреть профиль Отправить личное сообщение
chip

Тысячник


Зарегистрирован: 22.04.2010
Сообщения: 2498

СообщениеДобавлено: Пт Апр 10, 2015 12:17 pm    Заголовок сообщения:
Ответить с цитатой

Embarassed , я больше пиво люблю.

ПС, а сравнила скрипты ifdown и ifup с оригиналами?
Вернуться к началу
Посмотреть профиль Отправить личное сообщение
Pantera

Участник тусовки


Зарегистрирован: 20.06.2013
Сообщения: 228
Откуда: Москва

СообщениеДобавлено: Пт Апр 10, 2015 12:46 pm    Заголовок сообщения:
Ответить с цитатой

chip писал(а):
Embarassed , я больше пиво люблю.

ПС, а сравнила скрипты ifdown и ifup с оригиналами?


Ну извиняйте сэр, вот вам пиво Question Very Happy
Сравнила, все нормально.

P.S. И чтоб я без тебя делала? Very Happy
Вернуться к началу
Посмотреть профиль Отправить личное сообщение
chip

Тысячник


Зарегистрирован: 22.04.2010
Сообщения: 2498

СообщениеДобавлено: Пт Апр 10, 2015 1:34 pm    Заголовок сообщения:
Ответить с цитатой

Pantera, Very Happy тогда можешь спать спокойно.
Вернуться к началу
Посмотреть профиль Отправить личное сообщение
Показать сообщения:   
Начать новую тему Ответить на тему    Список форумов dkws.org.ua -> Fedora Core Часовой пояс: GMT
Страница 1 из 1
 Главная страница сайта
 
Перейти:  
Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
© Колисниченко Денис