Консольные антивирусы/антируткиты под никсы

Discussion in 'Linux, Freebsd, *nix' started by Cthulchu, 7 May 2015.

?

Вы используете антивирус на вашем консольном сервере?

  1. Нет, никаких антивирусов на моих серверах.

  2. Да, использую активный антивирус.

  3. Пользуюсь иногда пассивными антивирусами.

  4. Нет, не пользуюсь консольными серверами.

  5. Нет, не пользуюсь серверами.

  6. Я креведко, у миня иммунитет!

Results are only viewable after voting.
  1. Cthulchu

    Cthulchu Elder - Старейшина

    Joined:
    22 Nov 2007
    Messages:
    405
    Likes Received:
    721
    Reputations:
    85
    Добрый день.

    Я люблю все мои никсовые сервера (у меня все сервера на дебиане). Они для меня как родные. Цели передо мной стоят исключительно практические: поднимать свои сайтики, хостить сайтики друзей и знакомых, пейсать вспомогательные скриптульки для работы, играться с разными веб-штуковинами, хостить разные third-party системы для сеошной и вебмастерской игры со своими и клиентскими сайтами.

    В общем, захотелось мне, естественно, на определенном этапе завести себе нормальное мыло в своем домене. Установил мейлер, привязал домен, настроил ящик, привязал его к моему thunderbird и пользую с удовольствием.

    Недавно заметил я, что почта в спам ложится. Как мы знаем, мейлеры юзают, в купе с косвенными признаками спама, и прямые признаки. Прямые признаки - это нахождение оного спама в специальных спам-базах. Давайте посмотрим на пример:

    http://whatismyipaddress.com/blacklist-check - удобный сайт для чека, проверяет айпи по основным мировым сервисам (РФ, вкупе с СНГ меня очень мало интересует по работе, так что все исключительно о развитых странах)

    Вот примерчик моего айпи, который я решил проверить от греха подальше:

    [​IMG]
    По ссылкам идут не сервисы, а статьи об этих сервисах с подробной инфой, в том числе и о том. как лечиться. При чем, инфы подробной очень много, вот пример:
    http://whatismyipaddress.com/blacklist/apews
    и в конце написано, мол. забейте на этих дурачков, их бан никого не интересует.

    В общем, проблема моя в спамхаусе была. Сходил я к ним в гости, а они честно признаются, мол, мы-то сами ничего подозрительного не видели, но вот эти ребяты видели, иди, мол, к ним разбирайся. Послали на CBL: http://cbl.abuseat.org/

    Иду туда, вбиваю свой айпи, сервис говорит, мол, да, есть такой. Замечена малварная активность на айпишнике. Если все ок, нажми здесь и мы удалим айпи с базы. Нажал кнопулю, они убрали айпи с базы, вот что говорят:

    [​IMG]

    Как видно из месаги, я был наказан за бытность мою почетным членом чьего-то ботнета (так как айпи у меня выделенный на этом сервере).

    В общем, предисловие вышло нехилое. Мне кажется, что блеклист я схлопотал за какую-то мелочь, тем более, что из всех респектабельных блеклистит меня только один этот сервис.

    Давайте посмотрим на парочку антируткитов консольных. Не нашел я такой темы у нас, решил создать.

    chkrootkit:
    [​IMG] [​IMG]
    [​IMG]
    Ничего не нашел... То, что INFECTED - это нормально, так как у меня там ISPmanager стоит.
    Самая простенькая софта, на самом деле. Судя по обзорам, следующая гораздо сильней.

    rkhunter:
    [​IMG] [​IMG]
    [​IMG]
    [​IMG]
    [​IMG]
    [​IMG]
    Эта штуковина весьма веселая, проверяет больше типов эксплойтов и вообще.

    Собственно, люди, что мне этот софт подбросили говорят, что эти инструменты срабатывают крайне редко, так как большинство рутов делаются руками, а те новые, что делаются не руками, делаются под новые уязвимости, следовательно. ждать их в старых базах бессмысленно, темболее, что это все народ лабает весьма бесплатно.

    Большинство админов мне сразу посоветовали реинсталл, при чем, посоветовали так, будто это прописная истина, с чем я, в принципе, согласен, но мне очень дорого будет реинсталл делать.

    Но персонально мне больше понравилась следующая штучка:

    unhide:
    Это софта, что обнаруживает спрятанные разными методами процессы и сервисы.

    У нее есть несколько веселых режимов работы (у предыдущего софта тоже они есть, но не такие интересные, как по мне):

    [​IMG]

    Как видно, софта имеет наборчик проверок с разными алгоритмами. Мне понравился брут, который перебирает все возможные айдишники в поисках незарегистрированых слушателей.
    [​IMG]
    Забавно. Нашло у меня спрятаный процесс. я его не вижу в htop'е, но вижу в ps -e (ps -A). Но в хтопе ж не все отображается. В общем, не спрятан он.

    Ладно, это я дурачусь, естественно, вероятность порутания меня весьма низкая, ибо ловить у меня на серверах нечего, а для конвеерного хака я слишком часто реагирую на публичные уязвимости.

    Но вот мне интересно: что вы юзаете для автоматического сканирования ваших консольных осперационок?
     
    #1 Cthulchu, 7 May 2015
    KIR@PRO, alex2523 and GoodGoogle like this.
  2. Black Diver

    Black Diver Member

    Joined:
    20 Mar 2009
    Messages:
    89
    Likes Received:
    21
    Reputations:
    5
    Я обычно использую clamav и find + grep для поиска подозрительных конструкций в скриптах (exec, eval, base64_decode и т.д.)
    Еще есть: AI-Bolit, Manul
     
    #2 Black Diver, 10 May 2015
    Cthulchu likes this.
  3. alex2523

    alex2523 Member

    Joined:
    10 May 2015
    Messages:
    12
    Likes Received:
    13
    Reputations:
    1
    Список других консольных антивирусов:
    http://www.linux.org/threads/malware-and-antivirus-systems-for-linux.4455/

    Чем чистить вслепую, проще поставить мониторинг кода на наличие изменений - по дате изменения, по MD5 файлов. С таким мониторингом сразу видно, какие файлы были заражены по изменениям MD5.

    http://habrahabr.ru/post/213895/
    Из хабро-статьи одно из решений мониторинга файлов, заявлена работа на шаред хостинге php+mysql без рута:
    https://github.com/novostrim/watcher4site
     
    #3 alex2523, 10 May 2015
    Black Diver and Cthulchu like this.
(You must log in or sign up to post here.)
Language
English (US)
    ANTICHAT ™ © 2001-2027 Antichat Kft.