您使用什么程序来检测 Rootkit?您如何知道该信任什么?
答案1
在基于 Unix 的系统上,Tripwire 是一个很好的通用“今天这台机器上发生了什么变化?”解决方案。还有其他更具体的 rootkit 检测器,但我一直认为这是一个追赶坏人的问题;你永远无法确定你的 rootkit 检测器是否足够新,可以捕获所有坏人。
答案2
我一直在使用操作系统安全评估中心并对结果印象深刻
答案3
目前可用的免费 Linux rootkit 检查器都不是很好。它们甚至无法检测所有公开(多年来最多的)你可以找到的 rootkit源代码比如像packetstorm这样的网站。它们不仅不能很好地应对已知的威胁,而且我们有理由相信,它们对付聪明的攻击者(这些攻击者有机会在使用rootkit之前先对检测器进行测试)的效果会更差。
此外,没有理由认为 rootkit 会在磁盘上留下痕迹,而 Tripwire 等工具可以检测到这些痕迹。内核 rootkit 可以欺骗受感染系统上运行的任何软件;即使您正在从只读媒体运行受信任的二进制文件,它也可能从操作系统获取伪造的信息。此外,仅驻留在内存中的恶意软件不再只是理论上的担忧;Mandiant 等安全公司已经记录了它的使用情况。针对这样的 rootkit,即使是离线分析也是无效的,尽管从好的方面来看,恶意软件可能无法在重新启动后存活下来。
有一些解决方案,但不是免费或便宜的。大型公司或政府实体可以购买内存取证工具,例如Pikewerks 的第二款产品或者可以聘请安全顾问,他们可能会将这种工具作为其武器库的一部分。对于其他人,继续使用可用的反 rootkit 程序。它们并非 100% 无用。只要尽力避免被使用自定义非公开 rootkit 的人 root 即可。风险有多大?不幸的是,我不知道有任何统计数据可供参考。显然,Linux 不会像 Windows 那样遭受大量“大规模恶意软件”的攻击,但隐秘的、有针对性的攻击有多常见?
(披露:我是上述 Second Look 产品的作者。)
答案4
不应在目标机器上安装 Rootkit 检查程序。我不知道 chrootkit 或 rkjunter,但如果它们需要安装在终端机器上,它们对你保护作用不大。在目标机器上运行的 rootkitcheck 软件存在 rootkit(或安装它的人)破坏它的风险,因此它不会为你提供所需的保护。
我个人认为绊线Tripwire 所做的就是对系统上的所有文件进行哈希处理(指纹),并在文件发生更改时通知您。它允许远程主机成为您的“受信任”机器,并让其扫描目标机器以查找任何文件更改。如果检测到更改,则说明出现了问题。当然,您需要进行一些更改控制,以便系统上的定期更新不会被标记为入侵。
为了安全起见,您需要定期对目标机器进行更改,以确保 tripwire 会报告此情况。您还需要切断目标与运行 tripwire 的受信任机器之间的连接,以确保它能被检测到。这与确保您可以恢复备份一样重要。