Segundo a Wikipedia, rootkits podem assim serem definidos:
Um rootkit é um trojan que busca se esconder de softwares de segurança e do usuário utilizando diversas técnicas avançadas de programação.
Rootkits escondem a sua presença no sistema, escondendo suas chaves no registro (para que o usuário não possa vê-las) e escondendo os seus processos no Gerenciador de Tarefas, além de retornar sempre erros de “arquivo inexistente” ao tentar acessar os arquivos do trojan.
Diversos trojans utilizam essas tecnologias com o objetivo de dificultar sua remoção e o fazem com sucesso: os rootkits mais avançados são bem difíceis de serem removidos. Kaspersky é um dos muitos antivirus hoje que conseguem identificar e eliminar essas pragas.
Portanto, mesmo que tenhamos um sistema Linux operando, não podemos ficar cegos no quesito segurança; mesmo sendo este um SO sabidamente mais seguro por padrão que o Windows
Um detalhe importantíssimo no que refere-se a verificação de rootkits é que a instalação destes tipos de programa, para uma maior eficácia, devem ser feitas logo após a instalação do SO, e gerada uma ‘assinatura’ dos arquivos, pois esse é um dos meios utilizados para verificar se houve uma invasão ou não; pois ao gerarmos essas ‘assinaturas’ armazenamos informações de como os arquivos são originalmente.
Normalmente em caso de invasões um dos atos do criminoso é substituir comandos comumente usados por versões adulteradas dos mesmos. Um exemplo seria o comando ps: um criminoso invade seu computador e substitui este comando que você tem legítimo, por um adulterado. Em qualquer momento em que
você digitar um simples ‘ps aux‘ para ver os processos que estão rodando em seu micro, pode estar liberando todas as portas para conexões externas, enviando spam, vírus… mandando para o larápio todas suas senhas de bancos… etc… e você nem perceberá!
Vamos aqui então com mais uma ‘receita de bolo‘ de como instalar e fazer uma configuração simples de mais um software de segurança
.
Trabalharemos aqui com o rkhunter:
$ cd /usr/local/src/
$ sudo wget http://downloads.sourceforge.net/rkhunter/rkhunter-1.3.4.tar.gz
$ sudo tar -zxvf rkhunter-1.3.4.tar.gz
rkhunter-1.3.4/
rkhunter-1.3.4/files/
rkhunter-1.3.4/files/WISHLIST
rkhunter-1.3.4/files/programs_bad.dat
rkhunter-1.3.4/files/rkhunter
rkhunter-1.3.4/files/defaulthashes.dat
rkhunter-1.3.4/files/i18n/
rkhunter-1.3.4/files/i18n/cn
rkhunter-1.3.4/files/i18n/zh.utf8
rkhunter-1.3.4/files/i18n/zh
rkhunter-1.3.4/files/i18n/en
rkhunter-1.3.4/files/tools/
rkhunter-1.3.4/files/tools/README
rkhunter-1.3.4/files/tools/update_client.sh
rkhunter-1.3.4/files/tools/update_server.sh
rkhunter-1.3.4/files/README
rkhunter-1.3.4/files/filehashmd5.pl
rkhunter-1.3.4/files/programs_good.dat
rkhunter-1.3.4/files/contrib/
rkhunter-1.3.4/files/contrib/run_rkhunter.sh
rkhunter-1.3.4/files/contrib/README.txt
rkhunter-1.3.4/files/contrib/rkhunter_remote_howto.txt
rkhunter-1.3.4/files/testing/
rkhunter-1.3.4/files/testing/stringscanner.sh
rkhunter-1.3.4/files/testing/rootkitinfo.txt
rkhunter-1.3.4/files/testing/rkhunter.conf
rkhunter-1.3.4/files/filehashsha1.pl
rkhunter-1.3.4/files/mirrors.dat
rkhunter-1.3.4/files/backdoorports.dat
rkhunter-1.3.4/files/check_modules.pl
rkhunter-1.3.4/files/md5blacklist.dat
rkhunter-1.3.4/files/rkhunter.conf
rkhunter-1.3.4/files/check_port.pl
rkhunter-1.3.4/files/CHANGELOG
rkhunter-1.3.4/files/os.dat
rkhunter-1.3.4/files/check_update.sh
rkhunter-1.3.4/files/FAQ
rkhunter-1.3.4/files/ACKNOWLEDGMENTS
rkhunter-1.3.4/files/stat.pl
rkhunter-1.3.4/files/LICENSE
rkhunter-1.3.4/files/readlink.sh
rkhunter-1.3.4/files/development/
rkhunter-1.3.4/files/development/createfilehashes.pl
rkhunter-1.3.4/files/development/osinformation.sh
rkhunter-1.3.4/files/development/search_dead_sysmlinks.sh
rkhunter-1.3.4/files/development/i18nchk
rkhunter-1.3.4/files/development/createhashes.sh
rkhunter-1.3.4/files/development/rpmprelinkhashes.sh
rkhunter-1.3.4/files/development/createhashesall.sh
rkhunter-1.3.4/files/development/rpmhashes.sh
rkhunter-1.3.4/files/suspscan.dat
rkhunter-1.3.4/files/rkhunter.8
rkhunter-1.3.4/files/showfiles.pl
rkhunter-1.3.4/files/rkhunter.spec
rkhunter-1.3.4/installer.sh
felix@merovingian:/usr/local/src$
$ cd rkhunter-1.3.4/
# ls
total 28
drwxr-xr-x 7 root root 4096 2008-12-30 19:25 files
-rwxr-xr-x 1 root root 22837 2008-12-30 19:23 installer.sh
root@merovingian:/usr/local/src/rkhunter-1.3.4#
*Obs.: Se prestaram atenção, estou agora usando o usuário root ao invés do habitual felix, isso é simples, basta usar o comando sudo su.
# ./installer.sh –layout default –install
Checking system for:
Rootkit Hunter installer files: found. OK
Available file retrieval tools:
wget: found. OK
Starting installation/updateChecking PREFIX /usr/local: exists, and is writable. OK
Checking installation directories:
Directory /usr/local/share/doc/rkhunter-1.3.4: creating: OK.
Directory /usr/local/share/man/man8: creating: OK.
Directory /etc: exists, and is writable. OK
Directory /usr/local/bin: exists, and is writable. OK
Directory /usr/local/lib: exists, and is writable. OK
Directory /var/lib: exists, and is writable. OK
Directory /usr/local/lib/rkhunter/scripts: creating: OK.
Directory /var/lib/rkhunter/db: creating: OK.
Directory /var/lib/rkhunter/tmp: creating: OK.
Directory /var/lib/rkhunter/db/i18n: creating: OK.
Installing check_modules.pl: OK.
Installing check_update.sh: OK.
Installing check_port.pl: OK.
Installing filehashmd5.pl: OK.
Installing filehashsha1.pl: OK.
Installing showfiles.pl: OK.
Installing stat.pl: OK.
Installing readlink.sh: OK.
Installing backdoorports.dat: OK.
Installing mirrors.dat: OK.
Installing os.dat: OK.
Installing programs_bad.dat: OK.
Installing programs_good.dat: OK.
Installing defaulthashes.dat: OK.
Installing md5blacklist.dat: OK.
Installing suspscan.dat: OK.
Installing rkhunter.8: OK.
Installing ACKNOWLEDGMENTS: OK.
Installing CHANGELOG: OK.
Installing FAQ: OK.
Installing LICENSE: OK.
Installing README: OK.
Installing WISHLIST: OK.
Installing language support files: OK.
Installing rkhunter: OK.
Installing rkhunter.conf: OK.
Installation finished.
root@merovingian:/usr/local/src/rkhunter-1.3.4#
# cp /etc/rkhunter.conf /etc/rkhunter.conf_original
#MAIL-ON-WARNING=email@provedor.com.br
Substituindo, claro o endereço fictício que coloquei como exemplo pelo seu próprio e-mail. Caso necessário, há a possibillidade de especificarmos vários e-mails que receberão os alertas, basta separá-los por um espaço.
# rkhunter –propupd
[ Rootkit Hunter version 1.3.4 ]
File created: searched for 152 files, found 123
root@merovingian:/usr/local/src/rkhunter-1.3.4#
O comando acima (rkhunter –propupd) atualiza a base com as propriedades dos arquivos existentes na máquina (importantíssimo executar este comando sempre após você instalar/atualizar algum software).
# rkhunter –update
[ Rootkit Hunter version 1.3.4 ]Checking rkhunter data files…
Checking file mirrors.dat [ No update ]
Checking file programs_bad.dat [ No update ]
Checking file backdoorports.dat [ No update ]
Checking file suspscan.dat [ No update ]
Checking file i18n/cn [ No update ]
Checking file i18n/en [ No update ]
Checking file i18n/zh [ No update ]
Checking file i18n/zh.utf8 [ No update ]
root@merovingian:/usr/local/src/rkhunter-1.3.4#
este atualiza a base do rkhunter, com assinaturas de novos rootkits, caso necessário
# rkhunter –versioncheck
[ Rootkit Hunter version 1.3.4 ]Checking rkhunter version…
This version : 1.3.4
Latest version: 1.3.4
root@merovingian:/usr/local/src/rkhunter-1.3.4#
Este último foi para verificar se estamos com a última versão do software
# rkhunter -c
Observe atentamente os resultados apresentados na tela, examine-os e caso preciso tome as medidas necessárias. Se precisar verificar os logs posteriormente (isso é bom, eles são mais detalhados que o relatório apresentado na tela), eles ficam em /var/log/rkhunter.log
Para saber mais:
Página oficial do projeto
Canonical URL by SEO No Duplicate WordPress Plugin
(*_*)
Usando o OpenSuse-11.1. Há o programa chkrootkit, com 8 programas em /sbin/, em RPM. A seguir, resultante do comando:
rpm -qil chkrootkit
#####
Name : chkrootkit Relocations: (not relocatable)
Version : 0.47 Vendor: openSUSE
Release : 1.71 Build Date: Qua 03 Dez 2008 08:22:18 BRST
Install Date: Qui 05 Fev 2009 16:08:59 BRST Build Host: build21
Group : Productivity/Security Source RPM: chkrootkit-0.47-1.71.src.rpm
Size : 737401 License: BSD License and BSD-like, Other License(s), see package
Signature : RSA/8, Qua 03 Dez 2008 08:22:34 BRST, Key ID b88b2fd43dbdc284
Packager : http://bugs.opensuse.org
URL : http://www.chkrootkit.org/
Summary : Used to Check for Symptoms of Installed Root Kits
Description :
This is a set of tools that detect rootkit (a program that hides the
presence of attackers) symptoms on a system.
Rootkits can hide using kernel modules, but they always leave some
small traces that can be detected with this program. However, it is
always recommended that this program be used from a rescue system or a
system with a similar purpose.
Authors:
——–
Nelson Murilo
Klaus Steding-Jessen
Distribution: openSUSE 11.1
/sbin/chkdirs
/sbin/chklastlog
/sbin/chkproc
/sbin/chkrootkit
/sbin/chkutmp
/sbin/chkwtmp
/sbin/ifpromisc
/sbin/strings-static
/usr/share/doc/packages/chkrootkit
/usr/share/doc/packages/chkrootkit/ACKNOWLEDGMENTS
/usr/share/doc/packages/chkrootkit/COPYRIGHT
/usr/share/doc/packages/chkrootkit/README
/usr/share/doc/packages/chkrootkit/README.chklastlog
/usr/share/doc/packages/chkrootkit/README.chkwtmp
##### fim do comando
\o/
Se você estiver utilizando Debian ou Ubuntu, pode instalar a versão empacotada do rkhunter direto do repositório[1, 2]:
$ aptitude install rkhunter
[1]. http://packages.debian.org/rkhunter
[2]. http://packages.ubuntu.com/rkhunter
Olá Arthur.
Obrigado por lembrar-me de procurar nos repositórios. Vou confessar que acostumei-me tanto a instalar pelos pacotes tar.gz que em certas horas me esqueço de fazer umapt-cache search, recentemente instalei o rkhunter em um Ubuntu e fiz também por este processo ‘mais difícil’, baixar o pacote e instalar manualmente, hehehe, coisa típica de nerd.
Obrigado e ‘volte sempre’
[]
Felix