Como verificar se seu sistema está invadido por rootkits?
Um rootkit é um programa usado para invadir sistemas Linux e conceder ao invasor privilégios de root sem o conhecimento da vítima da invasão. Muitos rootkits são difíceis de identificar pois não geram nenhum logs e não ficam listados entre os processos do Linux.
para verificar se seu sistema está infectado, há um software muito bom, clamado RkHunter, que executa verificações em áreas específicas do sistema a procura de sinais de invasão.
Instalando o RkHunter
# yum install rkhunter
============================================================================= Pacote Arq. Versão Repositório Tamanho ============================================================================= Instalando: rkhunter noarch 1.3.2-3.fc9 updates 234 k Sumário da Transação ============================================================================= Instalar 1 Pacote(s) Atualizar 0 Pacote(s) Remover 0 Pacote(s)
- Após instalado, proceda as atualizações do programa:
# rkhunter --propupd [ Rootkit Hunter version 1.3.2 ] File created: searched for 149 files, found 126
Para permitir que o programa se localize no seu sistema e
# rkhunter --update
para atualizar o banco de dados do programa.
Verificando o sistema
A verificação consiste em procurar por mudanças suspeitas de configuração, binários que possam ter sido alterados e pela presença de arquivos maliciosos já identificados e catalogados. para verivicar seu sistema, execute o comando:
# rkhunter -c
E a checagem começa, terminando com um relatório:
System checks summary
=====================
File properties checks...
Files checked: 126
Suspect files: 2
Rootkit checks...
Rootkits checked : 64
Possible rootkits: 0
Applications checks...
Applications checked: 6
Suspect applications: 0
The system checks took: 3 minutes and 32 seconds
All results have been written to the logfile (/var/log/rkhunter/rkhunter.log)
One or more warnings have been found while checking the system.
Please check the log file (/var/log/rkhunter/rkhunter.log)
