Охотник за rootkit-ами

[Kazm]

На мурге-линукс выложили пет-пакет для поиска руткитов...
http://murga-linux.com/puppy/viewtopic.php?t=31509

[Леонид Захаров]

На мурге-линукс выложили пет-пакет для поиска руткитов...
http://murga-linux.com/puppy/viewtopic.php?t=31509

А он может искать руткиты на примонтированных NTFS дисках?

[The_Alex]

Прогнал систему двумя версиями охотника - 1.3.4 (по ссылке из топика) и актуальной (с оффсайта) 1.3.8
Первая версия вроде ничего не нашла... А актуальная выдала подозрение на руткит

Код

Found string 'hdparm' in file '/etc/rc.d/rc.local0'. Possible rootkit: Xzibit Rootkit

Во вложении сканлог программы...
Подскажите плиз, есть ли повод для беспокойства? 

[The_Alex]

Тишина! 
Неужели никто не пользовался rkhunter? Или у всех все идеально чисто? 
Нарыл в сети, что у этой проги вроде не все гладко с правильным детектом...
http://www.linuxquestions.org/questions/linux-security-4/possible-false-positive-with-rkhunter-780043/
По крайней мере вот эта фраза позволяет так думать...

For some reason the Xzibit thing has been there for while. I even ran rkhunter on a clean install and it was in the results. It is a bug with the rkhunter db.

[The_Alex]

Уже 13 загрузок rkhunter.log и ни одного мнения за четыре! дня....  

ЗЫ. А тем временем, страшный и коварный Xzibit медленно но уверенно расползается по сайту и по компьютерам форумчан...   

[georgii-2]

Мою руткитшу зовут Асусена, топает по клаве пока никого нет, резалты были невероятные, но всё же попалась . Прошу прощения за оффтоп, по замечании сразу удалю.

[melviX]

Неужели никто не пользовался rkhunter?

Вот не поверите, за 4-ый год второй раз услышал о страшных rootkit. Первый раз после обсуждения нашего PuppyRus на Citkit. Правда никто так и не привёл их пример.
Второй раз в этой теме.
Ну не попадаются они мне. И не проверяю систему поэтому.
А стоит ли беспокоиться вообще? Приведите хоть один пример их разрушительного действия на Puppy.

[The_Alex]

за 4-ый год второй раз услышал о страшных rootkit. Первый раз после обсуждения нашего PuppyRus на Citkit. Правда никто так и не привёл их пример.
Второй раз в этой теме.

Да я не уверяю, что это и есть руткит. Скорее всего программа выдала false positiv... Просто хотелось с помощью опытных пользователей Линукс лишний раз развеять свои сомнения...

[Lexeii]

сканер руткитов, уязвимостей и эксплоитов

Rootkit Hunter сканирует систему на предмет наличия известных и неизвестных руткитов, уязвимостей, снифферов и эксплоитов.

It checks for:
 - MD5 hash changes;
 - files commonly created by rootkits;
 - executables with anomalous file permissions;
 - suspicious strings in kernel modules;
 - hidden files in system directories;
 and can optionally scan within files.

Использование только одного rkhunter не гарантирует, что система будет в безопасности. Вам также следует запустить дополнительные тесты, например, используя chkrootkit.

Послушавшись совета, попробовал ещё и chkrootkit, но... увы, ничем порадовать не могу. Даже в такой популярной системе, как Linux Mint (по версии DistroWatch -- второе место) не нашлось ни одного руткита, что уж говорить о других

Господа! Если вы используете пакеты из доверенных источников, никакая хворь вам не грозит. Здесь вам не винда. Be happy!

[The_Alex]

Если вы используете пакеты из доверенных источников

Использую пакеты только из официальных репозиториев Puppylinux и Puppyrus, плюс ставил пару-тройку программ из других источников, но все с офсайтов разработчиков... По злачным местам не лазаю, не озабочен... ))) Так что грешить особо не на что...
ЗЫ. Версия rkhunter у вас не актуальная - 1.3.6... Вот если бы 1.3.8, да еще прогнали бы на Джинсе (1.3)...

[The_Alex]

Для чистоты эксперимента прогнал через rkhunter 1.3.8 чистую Джинсу (1.3), загрузившись с LiveCD...   
Выдержка из лога:

[09:34:45] System checks summary
[09:34:45] =====================
[09:34:46]
[09:34:46] File properties checks...
[09:34:46] Required commands check failed
[09:34:46] Files checked: 89
[09:34:46] Suspect files: 6
[09:34:46]
[09:34:46] Rootkit checks...
[09:34:47] Rootkits checked : 237
[09:34:47] Possible rootkits: 1
[09:34:47] Rootkit names    : Xzibit Rootkit
[09:34:47]
[09:34:47] Applications checks...
[09:34:47] Applications checked: 1
[09:34:48] Suspect applications: 0
[09:34:48]
[09:34:48] The system checks took: 7 minutes and 51 seconds
[09:34:48]
[09:34:48] Info: End date is Сбт Фев 12 09:34:48 GMT-8 2011

Полную версию лога прилагаю...

[The_Alex]

По ходу, rkhunter все-таки жжет - http://mega-admin.com/forum/showpost.php?s=cb673ed7f709d70880419d1a2d00da87&p=17557&postcount=3