chkrootkit

Konfiguracja serwerów, usług, itp.
Kaka'
Senior Member
Posty: 3018
Rejestracja: 30 lipca 2006, 13:17
Lokalizacja: Kartuzy

chkrootkit

Post autor: Kaka' »

Zainstalowałem chkrootkit.....no i sprawdzam........coś mnie się tam nie podoba ale nie wiem czy to coś szkodliwego.

Wynik testu:
chkrootkit
ROOTDIR is `/'
Checking `amd'... not found
Checking `basename'... not infected
Checking `biff'... not found
Checking `chfn'... not infected
Checking `chsh'... not infected
Checking `cron'... not infected
Checking `date'... not infected
Checking `du'... not infected
Checking `dirname'... not infected
Checking `echo'... not infected
Checking `egrep'... not infected
Checking `env'... not infected
Checking `find'... not infected
Checking `fingerd'... not found
Checking `gpm'... not found
Checking `grep'... not infected
Checking `hdparm'... not found
Checking `su'... not infected
Checking `ifconfig'... not infected
Checking `inetd'... not infected
Checking `inetdconf'... not infected
Checking `identd'... not found
Checking `init'... not infected
Checking `killall'... not infected
Checking `ldsopreload'... not infected
Checking `login'... not infected
Checking `ls'... not infected
Checking `lsof'... not infected
Checking `mail'... not infected
Checking `mingetty'... not found
Checking `netstat'... not infected
Checking `named'... not found
Checking `passwd'... not infected
Checking `pidof'... not infected
Checking `pop2'... not found
Checking `pop3'... not found
Checking `ps'... not infected
Checking `pstree'... not infected
Checking `rpcinfo'... not infected
Checking `rlogind'... not found
Checking `rshd'... not found
Checking `slogin'... not infected
Checking `sendmail'... not infected
Checking `sshd'... not infected
Checking `syslogd'... not infected
Checking `tar'... not infected
Checking `tcpd'... not infected
Checking `tcpdump'... not infected
Checking `top'... not infected
Checking `telnetd'... not found
Checking `timed'... not found
Checking `traceroute'... not infected
Checking `vdir'... not infected
Checking `w'... not infected
Checking `write'... not infected
Checking `aliens'... no suspect files
Searching for sniffer's logs, it may take a while... nothing found
Searching for HiDrootkit's default dir... nothing found
Searching for t0rn's default files and dirs... nothing found
Searching for t0rn's v8 defaults... nothing found
Searching for Lion Worm default files and dirs... nothing found
Searching for RSHA's default files and dir... nothing found
Searching for RH-Sharpe's default files... nothing found
Searching for Ambient's rootkit (ark) default files and dirs... nothing found
Searching for suspicious files and dirs, it may take a while... nothing found
Searching for LPD Worm files and dirs... nothing found
Searching for Ramen Worm files and dirs... nothing found
Searching for Maniac files and dirs... nothing found
Searching for RK17 files and dirs... nothing found
Searching for Ducoci rootkit... nothing found
Searching for Adore Worm... nothing found
Searching for ShitC Worm... nothing found
Searching for Omega Worm... nothing found
Searching for Sadmind/IIS Worm... nothing found
Searching for MonKit... nothing found
Searching for Showtee... nothing found
Searching for OpticKit... nothing found
Searching for T.R.K... nothing found
Searching for Mithra... nothing found
Searching for OBSD rk v1... nothing found
Searching for LOC rootkit... nothing found
Searching for Romanian rootkit... nothing found
Searching for Suckit rootkit... nothing found
Searching for Volc rootkit... nothing found
Searching for Gold2 rootkit... nothing found
Searching for TC2 Worm default files and dirs... nothing found
Searching for Anonoying rootkit default files and dirs... nothing found
Searching for ZK rootkit default files and dirs... nothing found
Searching for ShKit rootkit default files and dirs... nothing found
Searching for AjaKit rootkit default files and dirs... nothing found
Searching for zaRwT rootkit default files and dirs... nothing found
Searching for Madalin rootkit default files... nothing found
Searching for anomalies in shell history files... nothing found
Checking `asp'... not infected
Checking `bindshell'... not infected
Checking `lkm'... nothing detected
Checking `rexedcs'... not found
Checking `sniffer'... lo: not promisc and no packet sniffer sockets
eth0: PACKET SNIFFER(/sbin/dhclient[1033]) {ta linia mi się nie podoba - nie wiem czy to jakis szkodnik czy nie? }
Checking `w55808'... not infected
Checking `wted'... nothing deleted
Checking `scalper'... not infected
Checking `slapper'... not infected
Checking `z2'... user root deleted or never loged from lastlog!
eth0: PACKET SNIFFER(/sbin/dhclient[1033]) - w tej lini wszystko ok czy nie?
Witek Baryluk
Beginner
Posty: 207
Rejestracja: 26 czerwca 2006, 01:49
Lokalizacja: Kraków za firewallem

Post autor: Witek Baryluk »

man dhclient

fałyszywy alarm, dhclient (jak i kilka innych programów) są "packet sniferami" dla tego typu sprawdzaczy
Kaka'
Senior Member
Posty: 3018
Rejestracja: 30 lipca 2006, 13:17
Lokalizacja: Kartuzy

Post autor: Kaka' »

Czyli nie musze się obawiać bo to nic złego....mhn - w takim razie to dobrze. Mam jeszcze pytanie: posiadam router z firewallem - czy to wystarczy żeby mieć WYSTARCZAJ¡C¡ ochronę systemu - czy musze coś jeszcze zainstalować? ( mam także shorewalla zainstalowame ).

Czy są jakieś pakiety dostarczające ochronę systemowi typu: shorewall, AVG, chkrootkit itp.??
Witek Baryluk
Beginner
Posty: 207
Rejestracja: 26 czerwca 2006, 01:49
Lokalizacja: Kraków za firewallem

Post autor: Witek Baryluk »

Instalowanie kolejnych zabezpieczeń jest, ehm, bez sensu, sprawia jedynie ża masz poczucie bezpieczeństwa, co obróci się przeciw tobie kiedy będziesz miał włam całkowicie się tego nie spodziewając, no bo jak to możliwe? "Przecież miałem mnóstwo zabezpieczeń".

Lepiej zainstalować jakieś rozsądne minimum, i sprawdzać często system i mieć się na baczności. moim zdaniem jeśli chcesz mieć bezpieczny system to wyrzuć antywirusa, zainstaluj najnowsze jądro + grsecurity/pax na ustawione na HIGH. Jeśli chodzi o firewall to dobrze zabezpieczyć lokalne porty tylko do tych faktycznie używanych przez usługi (a te okroic do minimum), tak aby nawet jak będzie jakiś backdor to nie będzie można się do niego łatwo podłącyć.

Antiwirusy typu AVG, clamav, mksvir nie służą do zabezpieczania linuksa, tylko np. do skanowania poczty na serwerze pocztowy, albo plików przechodzących przez proxy, które są odbierane potem przez windowsów.

Jeśli mówimy o routerze, to dodatkowo na firewallu dobrze wyłączyć forwardowanie różnych portów i usług, oraz limiotwać różne rzeczy, aby zapobiec robakom i DoS.
Kaka'
Senior Member
Posty: 3018
Rejestracja: 30 lipca 2006, 13:17
Lokalizacja: Kartuzy

Post autor: Kaka' »

Ok dzięki! Jeśli chodzi o jądro to mam wersję 2.4.27-2-386 ( pewnie nie zbyt bezpieczna? ). Chciałbym mieć najnowsze jądro ale narazie to musze chyba trochę się na tym znać. Czytałem różne artykuły o tym...nie jest to trudne ale jeśli coś ''zepsuje'' i padnie mi jądro to będe musiał na nowo system instalować. Więc....troche, że tak powiem ''boje się'' zabierać za jądro. :-|
Witek Baryluk
Beginner
Posty: 207
Rejestracja: 26 czerwca 2006, 01:49
Lokalizacja: Kraków za firewallem

Post autor: Witek Baryluk »

Bezpieczne o ile robisz regularnie upgrady i masz repositorium security dodane. Jeśli chodzi o upgrade wystarczy cos w stylu

Kod: Zaznacz cały

apt-get install linux-image-2.6-686
. Ale do dobre jajko na desktop, albo serwer, na router w ewentualności, jeśli chcesz bardziej zaawansowany to musisz ręcznie pokompilować.

[ Dodano: 2006-08-19, 21:33 ]
Nie ma się absolutnie czego bać, można tylko zyskać i nauczyć się nowych rzeczy. Nic raczej nie zepsujesz, bo zawsze pozostają poprzednie jądra, dopóki ich nie usuniesz, a to się robi dopiero jak sie już troche czasu potestowało nowe jądro i działa wszysyko ok.
Kaka'
Senior Member
Posty: 3018
Rejestracja: 30 lipca 2006, 13:17
Lokalizacja: Kartuzy

Post autor: Kaka' »

Ja już 6 razy instalowałem debiana bo coś zepsułem. Eksperymentowałem i zepsułem. Ale teraz wiem co zrobić aby znowu nie zepsuć...Tylko najgorsze jest to, że trace wszystkie swoje dokumenty itp. Gdybym miał ( a chciałbym mieć ) nagrywarke to bym sobie na płyte wszystko nagrał...a w takim wypadku to nie wiem co zrobić...

Słyszałem coś, że za pomocą knoppixa można jakoś naprawić zepsuty system - czy to prawda?
Witek Baryluk
Beginner
Posty: 207
Rejestracja: 26 czerwca 2006, 01:49
Lokalizacja: Kraków za firewallem

Post autor: Witek Baryluk »

Tak, oczywiście zależy jak bardzo zepsuty. To że się nie włącza się Linux albo coś nawet poważnego innego nie oznacza, że odrazu wszystkie dane przepadły, zwykle je bez problemu można odczytać. Jeśli masz takiego pecha, albo lubisz eksperymenty to zrób sobie oddzielna partycje na /home i na / .
Kaka'
Senior Member
Posty: 3018
Rejestracja: 30 lipca 2006, 13:17
Lokalizacja: Kartuzy

Post autor: Kaka' »

Jak narazie to mam tylko dwie partycje: / i swap. Można chyba stworzyć nową partycję bez instalowania na nowo systemu ale czy mogę tam przenieść /home?
Witek Baryluk
Beginner
Posty: 207
Rejestracja: 26 czerwca 2006, 01:49
Lokalizacja: Kraków za firewallem

Post autor: Witek Baryluk »

Jasne, najlepiej to zrobić w trybie jednego użytkownika (tylko z roota). Zmienić rozmiar /, zrobić /home zamonotwać jako /hometmp przenieść pliki, a potem odmontować i zamonotwać jako /home i zaktualizować /etc/fstab.
ODPOWIEDZ