Руткит коварнее, чем вирус. Руткит — это вредоносная про-
грамма, которая:
- скрывается, часто заменяя собой системные команды или программы;
- поддерживает высокоуровневый доступ к системе;
- способна обойти программное обеспечение, созданное для ее обнаружения.
Цель руткита — получить и поддерживать доступ к системе на корневом уровне.
Термин был создан путем объединения слов root, что означает доступ администратора, и kit, что означает несколько программ, работающих совместно.
Поисковик руткитов, который можно использовать в системе Linux, — это
chkrootkit. Чтобы установить chkrootkit в системе Fedora или RHEL, выполните команду yum install chkrootkit. Чтобы установить chkrookit в системе Ubuntu, примените команду sudo apt-get install chkrootkit.
СОВЕТ
Для запуска команды chkrootkit лучше всего использовать CD или флеш-накопитель, чтобы результаты не были скрыты руткитом. Программа Fedora Security Spin применяет chkrootkit на CD. Вы можете получить этот дистрибутив на странице labs.fedoraproject.org/en/security.
Найти руткит с помощью chkrootkit очень просто. После установки пакета или загрузки CD введите команду chkrootkit в командной строке. Она выполняет поиск по всей файловой структуре, отмечая любые зараженные файлы.
В примере далее показана работа команды chkrootkit в зараженной системе.
Команда grep используется для поиска по ключевому слову INFECTED. Обратите внимание на то, что многие файлы, перечисленные как зараженные, являются командными файлами оболочки bash, а это типично для руткита:
# chkrootkit | grep INFECTED
Checking 'du'... INFECTED
Checking 'find'... INFECTED
Checking 'ls'... INFECTED
Checking 'lsof'... INFECTED
Checking 'pstree'... INFECTED
Searching for Suckit rootkit... Warning: /sbin/init INFECTED
В последней строке кода chkrootkit указывает, что система была заражена
руткитом Suckit. На самом деле она заражена не этим руткитом. При запуске утилит, таких как антивирус и программное обеспечение для обнаружения руткитов, часто выводится ряд ошибок первого рода — ложных срабатываний (false positive).
Ложное срабатывание — это признак вируса, руткита или другой вредоносной активности, которой на самом деле не существует. В данном конкретном случае оно вызвано известной ошибкой.
Утилиту chkrootkit нужно запускать регулярно, и, конечно, следует делать
это всякий раз, когда есть подозрение, что была предпринята атака руткитом.
Чтобы найти более подробную информацию о chkrootkit, перейдите на страницу chkrootkit.org.
СОВЕТ
Еще один поисковик руткитов, который может вас заинтересовать, — это Rootkit Hunter (rkhunter). Запустите скрипт rkhunter, чтобы проверить систему на наличие вредоносных программ и известных руткитов. Настройте rkhunter в файле /etc/rkhunter.conf. Запустите rkhunter -c, чтобы проверить файловую систему на наличие различных руткитов и уязвимостей.
