Интернет, компьютеры, софт и прочий Hi-Tech

Подписаться через RSS2Email.ru

Rootkit Hunter в Ubuntu

Общеизвестный факт — операционные системы, базирующиеся на GNU/Linux, сами вирусами не заражаются. В том числе и Ubuntu. Однако пользователь, особенно неопытный, может установить что-нибудь нехорошее собственноручно, подключив неофициальный источник софта. Тем более что, анонимных PPA («Personal Package Archive») развелось немало.

Также не исключена некоторая вероятность, что в официальных источниках (репозиториях Ubuntu) далеко не всё проверено достаточно тщательно. Там ведь десятки тысяч «пакетов». В общем, на всякий случай познакомимся с программой Rootkit Hunter, помогающей выявить наиболее коварное вредоносное ПО — руткиты.

Установка

Условия эксперимента примерно следующие:

  1. компьютер с Linux Mint 13 LTS MATE (это Ubuntu 12.04 LTS, немного переделанная ирландскими парнями);
  2. софт берём принципиально лишь из упомянутых в преамбуле официальных источников, то бишь из репозиториев Canonical и больше ниоткуда;
  3. испытываем программы на практике, чтобы всё изложенное базировалось на личном опыте.

Программно-техническая база, обозначенная в первом пункте, уже есть, поэтому начинаем сразу со второго. Не ходим по страницам предполагаемых разработчиков Rootkit Hunter, не качаем какие-то архивы со скриптами-установщиками. Вместо этого сразу выясняем, есть ли требующаяся программа в репозиториях Canonical. Оказывается, есть, и получаем её вот так:

sudo apt-get install rhunter

Скачать нужно лишь полдюжины пакетов общим весом около трёх с половиной мегабайт. В процессе их установки эмулятор терминала покажет запрос, мол, произведите настройки почтового сервера, системы-спутника, интернет-сайта или ещё чего-то там. Наша задача — просто произвести сканирование бинарных файлов в Linux Mint, поэтому даже не подумаем что-либо настраивать. Реагируем так:

Postfix Configuration

  1. жмём Tab до тех пор, пока кнопочка «OK» внизу не засветится красным;
  2. жмём Enter, когда засветится;
  3. выбираем «Без настройки» в следующем списке.

После чего установка продолжится. А когда закончится, сразу можно приступать к проверке.

Запуск Rootkit Hunter

Ещё один факт, который полезно иметь ввиду новичкам, — краткую инструкцию по эксплуатации незнакомых программ часто можно получить командой «man имя_программы» в эмуляторе терминала. В нашем случае: man rkhunter (чтобы потом убрать инструкцию, нажимаем клавишу Q). Правда, справка, пожалуй, слишком уж лаконичная для неопытных. Поэтому сразу укажем, как быстро запустить проверку:

sudo rkhunter --check

Сначала Rootkit Hunter просматривает системные библиотеки, затем берётся за содержимое папок usr/sbin и usr/bin. Если всё в порядке, ставит зелёными буквами пометки «None found», «Nothing found» и «OK». Если же находит что-то подозрительное, тогда пишет красным «Warning». Ожидаем завершения сканирования и выключаем программу комбинацией клавиш Ctrl+C.

Запуск Rootkit Hunter

Результаты

Красная пометка «Warning» зажглась напротив файла usr/bin/unhide.rb. Вследствие обращения к поисковой системе Google выяснилось следующее:

  1. программа unhide.rb есть в репозиториях Canonical и служит для выявления скрытых процессов;
  2. ещё в начале 2012-го на англоязычном форуме Ubuntu народ беспокоился о том, что Rootkit Hunter почему-то считает файл unhide.rb опасным (но, как обычно, ничего толкового в ходе обсуждения не выяснили);
  3. люди уже загружали сей файл на сервис Virustotal.com, и три человека пометили эту программу как опасную, хотя сканеры ничего не находят.

usr/bin/unhide.rb Warning

Как быть? Данная программа в Linux Mint не очень-то нужна, поэтому можно поступить следующим образом:

sudo apt-get purge unhide.rb

То есть удалить её подчистую от греха подальше.

Rootkit Hunter тоже с лёгкостью ликвидируется штатными средствами. Например, не закрывая всё тот же эмулятор терминала, вот так:

sudo apt-get purge rkhunter && sudo apt-get autoremove

Резюмируем

Rootkit Hunter — это не антивирус, это утилита для анализа обстановки. Сканирование запускается с повышенными привилегиями, однако с системой ничего не делает, просто указывает на сомнительные компоненты. Разбираться со всеми тревожными сигналами придётся вручную.

Как именно разбираться, если опыта пока мало? Нашлось нечто подозрительное — идём в поисковые системы и выясняем, что это за программа, известна ли людям, существует ли для Ubuntu, так сказать, легально. И нужна ли вообще вам или ОС.

Автор: vanilinkin, специально для xBB.uz, 26.12.2014


Предыдущие публикации:

Биржа долевых инвестиций SIMEX.

Последнее редактирование: 2014-02-26 05:17:01

Метки материала: rootkit, ubuntu, операционные системы, утилита, linux, rootkit hunter, софт, программа, по, gnu linux, руткиты, rkhunter, ос

Оставьте, пожалуйста, свой комментарий к публикации

Представиться как     Антибот:
   

Просьба не постить мусор. Если вы хотите потестить xBB, воспользуйтесь кнопкой предварительного просмотра на панели инструментов xBBEditor-а.


© 2007-2017, Дмитрий Скоробогатов.
Разрешается воспроизводить, распространять и/или изменять материалы сайта
в соответствии с условиями GNU Free Documentation License,
версии 1.2 или любой более поздней версии, опубликованной FSF,
если только иное не указано в самих материалах.