Loading...

2006-12-05

Linux-Rootkits олох

Rootkits бол үнэхээр аймшиг гэж хэлж болно. Windows ертөнц тэр чигээрээ тэмцэж байна. Linux ч мөн адил. Linux/Unix бүтээгчид үүний эсрэг нилээд их зүйлийг хийж байна.

Rootkits гэж юу вэ гэвэл:

Rootkit нь програм бөгөөд, компютерт нэвтэрсэн үед system-тэй нэгдэн өөрийгөө суулгаж, процесоос нууж ажилдаг.

Одооны Rootkit-үүд маш чанартай болж байна. Жишээ гэвэл тухайн virus нь port нээх шаардлага гарлаа гэхэд Rootkit нь Port-г нуух буюу хаалттай байна гэж харуулж чадаж байна. Сэргийлэхийн тулд Rootkit Hunter татаж аваарай.

Та бүхэн Version 1.2.8 татаж аваарай. Намайг энэ сэдэв бичиж байх үед v1.2.8 байв. Мэдээж ямагт шинэ хувилбар дээр шүү дээ.

татаж авах

wget http://downloads.rootkit.nl/rkhunter-1.2.8.tar.gz

задаргаа хийх

tar zxf rkhunter-1.2.1.tar.gz

дэд цэсрүү хандах

cd rkhunter

суулгах

./installer.sh

хамгийн сүүлд дуудаж ажилуулах

rkhunter -c

мэдээллээ хадгалаж авахыг хүсвэл

rkhunter -c --report-mode

Хайлт хийхэд дараах байдалтай гарч байна (Debian-Woody-Webserver туршив):

rkhunter -c –report-mode
* MD5 scan
MD5 compared : 67
Incorrect MD5 checksums : 0

* File scan
Scanned files: 342
Possible infected files: 0

* Rootkits
Possible rootkits:

Scanning took 50 seconds

*important*
Scan your system sometimes manually with full output enabled!

Хэрэв ямар нэг Rootkits олдсон тохиолдолд FAQ уншаарай. Үүнд:

If your system is infected with an rootkit, it’s almost impossible to clean it up (lets say with a full warranty it’s clean). Never trust a machine which has been infected with a rootkit, because hiding is his main purpose.

Зохиогч бичихдээ:

A clean install of the system is recommended after backing up the full system. So follow the next steps:

1. Get the host offline
2. Backup your data (as much as possible, including binaries and logfiles)
3. Verify the integrity of this data
4. Install your host with a fresh install
5. Investigate the old log files and the possible used tools. Also investigate the services which were vulnerable at the time of hack.

Олж байгаа Rootkits

55808 Trojan - Variant A
ADM W0rm
AjaKit
aPa Kit
Apache Worm
Ambient (ark) Rootkit
Balaur Rootkit
BeastKit
beX2
BOBKit
CiNIK Worm (Slapper.B variant)
Danny-Boy's Abuse Kit
Devil RootKit
Dica
Dreams Rootkit
Duarawkz Rootkit
Flea Linux Rootkit
FreeBSD Rootkit
Fuck`it Rootkit
GasKit
Heroin LKM
HjC Rootkit
ignoKit
ImperalsS-FBRK
Irix Rootkit
Kitko
Knark
Li0n Worm
Lockit / LJK2
mod_rootme (Apache backdoor)
MRK
Ni0 Rootkit
NSDAP (RootKit for SunOS)
Optic Kit (Tux)
Oz Rootkit
Portacelo
R3dstorm Toolkit
RH-Sharpe's rootkit
RSHA's rootkit
Scalper Worm
Shutdown
SHV4 Rootkit
SHV5 Rootkit
Sin Rootkit
Slapper
Sneakin Rootkit
Suckit
SunOS Rootkit
Superkit
TBD (Telnet BackDoor)
TeLeKiT
T0rn Rootkit
Trojanit Kit
URK (Universal RootKit)
VcKit
Volc Rootkit
X-Org SunOS Rootkit
zaRwT.KiT Rootkit
Anti Anti-sniffer
LuCe LKM
THC Backdoor
гэх мэт .... зөндөө

Бидний нилээд их ашигладаг Linux болох RedHat, FedoraCore, Ubuntu, SuSE, Mandrake, Debian, OpenBSD дээр ажиллаж байна. Мөн MacOS болно шүү.

2 comments:

Зэлмэ said...

ooh, noo. chit
ganbaa dandaa yahaaraa iim sain humuusiig urvuulaad baina. uuriinhuu huviin blog deer boloroog urvuulchihaad, mergejliin blog deeree tugulduriig avchihsan baih yum. yadaj negiig ni nadad ug l duu. tuuguu chi ganbaagaas salaad minii blog bich tegeh uu. jich: heregtei bichleg baina. bayarlalaa

Unknown said...

Хэ хэ...
Тэгж ярих юм бол Гансүх ахыг таньд өгсөнд "гялай" за юу. :p

Ер нь Та ч гэсэн ICT-zone-ы гишүүн болох юм уу? Эхлээд бүгдээрээ төвлөрье л дөө.

Далимд нь хэлэхэд ICT-zone гэж нэр өгсөн нь цаанаа олон бичээчтэй монгол ICT-ын блог болгохыг хүссэн хэрэг юм.