chkrootkit – пакет для локальной проверки на предмет наличия rootkit. Пакет включает в себя:
– chkrootkit: shell-скрипт, который проверяет основные системные файлы на предмет изменения/замены их каким либо из с уществующих руткитов.
– ifpromisc.c: проверяет, находится ли интерфейс в promiscuous режиме.
– chklastlog.c: проверяет, не было ли удалений записей из lastlog.
– chkwtmp.c: проверяет, не было ли удалений записей из wtmp.
– check_wtmpx.c: проверяет, не было ли удалений записей из wtmpx. (Только Solaris)
– chkproc.c: проверяет наличие LKM троянов (процессы).
– chkdirs.c: проверяет наличие LKM троянов (каталоги).
– strings.c: проверяет на предмет быстрой и неаккуратной замены данных в файлах.
cd /usr/local/src wget ftp://ftp.pangeia.com.br/pub/seg/pac/chkrootkit.tar.gz tar -zxvf chkrootkit.tar.gz mkdir /usr/local/chkrootkit mv /usr/local/src/chkrootkit*/* /usr/local/chkrootkit cd /usr/local/chkrootkit make sense |
Добавляем ежедневное сканирование
vi /etc/cron.daily/chkrootkit.sh |
вставляем следующий текст и соответствено редактируем под себя:
#!/bin/sh ( /usr/local/chkrootkit/chkrootkit -q ) | /bin/mail -s 'CHROOTKIT Daily Run (PutServerNameHere)' [email protected] |
Ставим скрипт на исполнение только для root
chmod 700 /etc/cron.daily/chkrootkit.sh |
