rootkitsПопулярность Linux растет не только у пользователей, но и у злоумышленников. При этом частенько сервера на Linux используются для распространения зловредов через сайты. Поэтому риски (включая имиджевые), вызванные всякой дрянью, которая так и норовит поселиться на наших теплых ламповых серверах,  в случае с Linux иногда гораздо выше, чем просто участие хомячковой машинки на Windows в спам ботнете. При этом многие пользователи, а иногда и администраторы, уверены, что раз у них Linux, то от вирусов они точно защищены. К сожалению, данное мнение ошибочно, достаточно посмотреть на постоянно появляющиеся сообщения об уязвимостях.

 

В рамках сегодняшней статьи я расскажу о нескольких программах, которые помогут выяснить, не скомпрометирован ли ваш железный любимец.

Все описанное ниже демонстрируется на примере Debian и Ubuntu, но, с небольшими коррекциями, применимо к любой Linux машине и в большинстве случаев к Mac и BSD.

ClamAV.

Наверно самым популярным средством защиты Linux является ClamAV. Оно и понятно — управление им по простоте сопоставимо с любым Windows антивирусом. ClamAV — собственно и есть полноценный антивирус, при этом работающий не только на nix, но и на Windows, в лице базирующегося на нем Immunet. Правда Windows версия не приспособлена для работы на серверах, т.е. это чисто десктопное решение. Зато Immunet можно применять совместно с целым списком популярных антивирусных решений, что несомненно плюс. Но вернемся к Linux решению.

Установим необходимые пакеты:

Теперь необходимо обновить антивирусные базы.

Второй вариант обновить сигнатуры — вручную.

Для этого скачаем сигнатуры с сайта:

Распакуем сигнатуры.

Если мы хотим поставить постоянную защиту, после завершения скачивания сигнатур, запустим clamav-daemon.

Для теста работоспособности создадим файл с тестовым вирусом eicar.

Теперь натравим на файл наш антивирус.

Если все нормально, должен вернуться подобный результат:

Примеры сканирования системы:

Chkrootkit 

Следующим в нашем списке выступает небезызвестный Chkrootkit. Он представляет собой Shell скрипт, что обеспечивает его работу при отсутствии каких либо интерпретаторов и компиляторов. Для проверки используются стандартные утилиты Linux.

Чтобы установить Chkrootkit выполним команду:

Утилита имеет два режима — обычный и экспертный.

Обычный режим запускается простым вызовом команды:

Экспертный — с ключом -x:

Rootkit Hunter. 

Еще одна Open Source утилита по борьбе со злом — Rootkit Hunter.

Поставить его в Debian и Ubuntu можно командой:

В отличие от Chkrootkit, утилита имеет систему обновлений, что обеспечивает актуальность списка потенциальных угроз.

Команда обновления сигнатур:

Сканирование системы запускается командой

По умолчанию лог пишется по пути /var/log/rkhunter.log.

Важные ключи:

Продолжение следует…