2012-01-08

Ubuntu 安裝與使用 Rootkit 掃描程式

就如很多說的,這個 Linux 是不太容易中毒的,但是,這並不是說 Linux 比較厲害,所以,能夠百毒不侵,而是因為 Linux 的權限控管比較嚴謹一點,一般的使用者就算不幸中毒,病毒也會因為沒有適當的權限可以修改和讀取系統檔案而發揮不了作用,不過,要是系統管理者的帳號中毒,那麼一切就難說了,因此,想要攻擊 Linux 系統的高手們,就不會用病毒來玩,而是改以透過系統漏洞取得最高權限的方式來侵入 Linux 系統,而這種以最高權限方式來潛入系統後,偷偷執行程式的方式,就叫做「Rootkit」。 

圖片來源 : Sir Arthur's Den

當你的電腦被 Rootkit 之後,駭客就可以利用這支潛入的程式來控制你的電腦,所以,你的電腦就等於是活在別人的控制下,不過,通常你是不會發現的,除非你的電腦變成疆屍網路的一員並且被發動去攻擊別人,或是,駭客借你的電腦來做些什麼事,讓你的電腦變慢或產生不正常的現象,這樣你才有機會發現的,如果想要提早發現,提早治療的話,就要定期使用檢查 Rootkit 的程式來掃瞄哩 !

在 Ubuntu 上,就阿舍所知,至少有 chkrootkit rkhunter (Rootkit Hunter) 這二支程式可以用,而這二支的安裝方式也很簡單,只要用下面的 apt-get 就可以安裝完成的,但是,安裝rkhunter 的時候,如果沒有安裝過郵件伺服器的話,就會自動啟動 Postfix 來安裝,裝好後才會接著安裝 rkhunter 的,還有,這二支似乎都不會自動加在選單上,所以,都是要指令來執行的。

$ sudo apt-get install chkrootkit

$ sudo apt-get install rkhunter 

安裝完成之後,可以用下面的指令來進行檢查,chkrootkit 的功能比較簡單,只要下指令就可以執行,而 rkhunter 就比較複雜一些,需要有給參數才會執行,而且,檢查的項目比較多,同時也會自動產出 log 檔,而 log 檔的存放路徑是 /var/log/rkhunter.log ,至於要選那一套來用,阿舍是建議二套都裝起來跑跑好了,這二支的檔案都不大,跑起來也不花多少時間,所以,都裝來跑一跑,會更保險一點的。

$ sudo chkrootkit

$ sudo rkhunter –check
$ sudo rkhunter --update # 更新資料庫

不過,阿舍覺得也不用太過擔心會被 RootKit 的這件事,只要有準時的安裝新發佈的更新來把一些新發現的系統漏洞給補起來的話,一般來說,就比較不會被駭客給選上的,因為全世界有這麼多電腦可以侵入,駭客當然是先選容易入侵的來攻擊囉!除非是你的電腦有放著什麼重要的東西,那就另當別論了,再不然,就是你的密碼太簡單,簡單到駭客不用程式就可以猜的到,這種電腦就會讓人家覺得不用白不用哩!


順便看看 ...



推薦閱讀


有疑問? 問題還是沒解決嗎? 歡迎下方留言提問和討論 😁

2 則留言 :

Eric Shih 提到...

sudo apt-get 「installl」 chkrootkit

多了一個「l」喔

Arthur 提到...

Hello,

修正了。謝謝囉 ! ... ^^=

張貼留言

歡迎留言提問和討論 .... 😁