Detectando rootkit sem outro computador

Question

Detectando rootkit sem outro computador

#1 resposta do user364819 (1 votos)
#2 resposta do spyderdyne (0 votos)

2

Se um rootkit foi instalado sem o meu conhecimento para controlar remotamente o computador, então acho que o gerenciador de atualização deve ser afetado também, então as atualizações do kernel, etc ... podem ser infectadas?

Existe uma maneira de verificar se um rootkit foi colocado sem o meu conhecimento sem ter que usar outro computador?

Eu fiz um scan com chkrootkit e ele deu um resultado positivo dizendo que o rootkit suckit está instalado, mas o RKHunter não o detecta, e eu leio que esses programas são frequentemente inúteis (pelo menos sem o conhecimento adequado) e são dando falsos positivos, e que se um bom rootkit estiver instalado no computador, ele controlaria esses programas e logs e eu nunca saberia que está lá. Obrigado.

por Sum1 10.11.2015 / 17:57

2 respostas

Atualização de 15.04 para 15.10 O media player VLC é desligado automaticamente

score 1 · Answer 1

Rkhunter é realmente melhor com suas detecções que Chrootkit (e como Rkhunter faz verificações adicionais para o rootkit suckit ao contrário de Chrootkit , se apenas Chrootkit estiver detectando, então é quase certamente um falso-positivo ), no entanto ambos precisam ser instalados antes do rootkit, caso contrário eles não serão detectados, então eles são o tipo de coisa que precisam ser instalados quando você instala o sistema operacional e antes de atualizar, instalar ou alterar qualquer outra coisa.

Então, a menos que você os tenha antes de ter o rootkit, eles não serão bons porque eles se concentram em novas alterações e assumem que o sistema está seguro no momento.

Existe uma ferramenta mais avançada, chamada OSSEC HIDS , que faz uma série de outras coisas, além de poder para detectar rootkits em sistemas sem a necessidade de ser instalado antes do rootkit (embora seja provavelmente aconselhável que o rootkit ainda possa alterá-lo, mas como funciona de uma maneira diferente, ele é capaz de detectar um rootkit instalado antes dele). / p>

E se eu estivesse preocupado que eu tivesse um rootkit no nível do kernel, eu não estaria preocupado com as atualizações sendo infectadas, eu me preocuparia com o fato de que o rootkit já estava no meu kernel e poderia fazer qualquer coisa, até quebrar o instalar o sistema para que eu possa instalar qualquer coisa para detectá-lo.

score 0 · Answer 2

Se você suspeitar que tem um rootkit instalado em seu sistema, aqui está um bom artigo sobre como detectá-los:

Tutorial sobre o rootkit sobre cibercrime

Se você está preocupado que o aptitude possa ser suspeito, você pode baixá-lo da fonte. Por exemplo:

wget ftp://ftp.pangeia.com.br/pub/seg/pac/chkrootkit.tar.gz tar -xvzf chkrootkit.tar.gz

"cd" no diretório criado e siga as instruções no README. Isso excluirá a possibilidade de um rootkit alterar sua lista de fontes e extrair algo que você não deseja.

O ideal seria ter um software de detecção em funcionamento ANTES de alguém instalar um rootkit, mas você pode contorná-lo na maioria dos casos. Tenha em mente que qualquer rootkit que esteja escondido em seu kernel aumenta o tamanho do kernel. Quanto mais complicado for o rootkit, maior será o kernel. Você pode verificar as especificações dos kernels recentes da fonte em kernel.org. Se o seu kernel está ocupando mais recursos do que deveria, você pode ter um rootkit, mas em 15 anos de trabalho corporativo de TI nos setores de mídia, ciência, governo e telecomunicações eu só vi um rootkit implantado uma vez, e ele estava na TV mostre o Sr. Robô.

Em última análise, a melhor coisa a fazer é limpar a máquina e começar de novo se você tiver motivos legítimos para suspeitar de adulteração.