lsof -i Использование RPM
Хотя чуть ранее мы утверждали, что использование RPM для обнаружения rootkit – дело бесперспективное, это не совсем так. RPM можно применить для быстрой проверки. Если он не найдет ничего подозрительного – воспользуемся другими средствами, если найдет и на том спасибо – будем знать, что у нас не так в системе.
RPM записывает и проверяет контрольную сумму всех файлов в пакете, включая те файлы, которые должны изменяться с течением времени. О проверке контрольных сумм пакетов RPM см. в
Пакет chkrootkit – набор утилит, используемых для выявления присутствия в системе уже известных rootkit. Chkrootkit удобен тем, что способен выявлять большое количество rootkit с помощью единственного приложения. Вдобавок к выявлению известных rootkit, он также включает несколько тестов, помогающих обнаружить новые rootkit.
Пакет chkrootkit состоит из следующих утилит:
• chkrootkit – используется для выявления сигнатур известных rootkit;
• ifpromisc – используется для обнаружения прослушивания сетевого трафика взломанным компьютером;
• chklastlog, chkwtmp, check_wtmpx – утилиты для проверки log-файлов;
• chkproc – предназначена для обнаружения «посторонних» загружаемых модулей ядра операционной системы.
Об особенностях применения chkrootkit можно узнать в документации, идущей в комплекте с пакетом.
После обнаружения
Что делать после обнаружения rootkit? Единственно верный способ избавиться от последствий взлома – заново полностью переустановить операционную систему и установить все обновления пакетов для вашего дистрибутива. Однако не всегда есть возможность проделать такие действия сразу – квартальный отчет, непрерывное производство, болезнь администратора – да мало ли что еще.
В дистрибутивах на основе RPM-пакетов вы можете определить поврежденные пакеты. После этого необходимо переустановить их, используя следующую команду:rpm -U –force rpm_package_name.rpm
