Como verificar se seu sistema está invadido por rootkits?

De Wiki Fedora

Um rootkit é um programa usado para invadir sistemas Linux e conceder ao invasor privilégios de root sem o conhecimento da vítima da invasão. Muitos rootkits são difíceis de identificar pois não geram nenhum logs e não ficam listados entre os processos do Linux.

para verificar se seu sistema está infectado, há um software muito bom, clamado RkHunter, que executa verificações em áreas específicas do sistema a procura de sinais de invasão.

Instalando o RkHunter

# yum install rkhunter

=============================================================================
 Pacote                  Arq.       Versão           Repositório       Tamanho
=============================================================================
Instalando:
 rkhunter                noarch     1.3.2-3.fc9      updates           234 k

Sumário da Transação
=============================================================================
Instalar      1 Pacote(s)         
Atualizar       0 Pacote(s)         
Remover       0 Pacote(s)
  • Após instalado, proceda as atualizações do programa: 
# rkhunter --propupd
[ Rootkit Hunter version 1.3.2 ]
File created: searched for 149 files, found 126

Para permitir que o programa se localize no seu sistema e 

# rkhunter --update

para atualizar o banco de dados do programa.

Verificando o sistema

A verificação consiste em procurar por mudanças suspeitas de configuração, binários que possam ter sido alterados e pela presença de arquivos maliciosos já identificados e catalogados. para verivicar seu sistema, execute o comando: 

# rkhunter -c

E a checagem começa, terminando com um relatório: 

System checks summary
=====================

File properties checks...
    Files checked: 126
    Suspect files: 2

Rootkit checks...
    Rootkits checked : 64
    Possible rootkits: 0

Applications checks...
    Applications checked: 6
    Suspect applications: 0

The system checks took: 3 minutes and 32 seconds

All results have been written to the logfile (/var/log/rkhunter/rkhunter.log)

One or more warnings have been found while checking the system.
Please check the log file (/var/log/rkhunter/rkhunter.log)


Ver também

Obtido em "http://fedora.wiki.br/wiki/Como_verificar_se_seu_sistema_est%C3%A1_invadido_por_rootkits%3F"
Ferramentas pessoais