Ahojte,
Snažil som sa googliť, ale neúspešne. Chcel by som zoskenovať HDD z liveusb. Tak som nabutoval do liveusb. Potom som
1. dal mount /dev/sda1 - to ma mountlo na /media/sda1
2. cd /media/sda1
3.a napokon rkhunter -c
Tak neviem,či je tento postup správny, prípadne viete mi poradiť, ako postupovať.Asi by som mal HDD moutnuť ako RW
Ďakujem
Asi áno hoci v dokumentácií je napísané rkhunter --check, ale zrejme to funguje rovnako.
Ako znie známi vtip, "Hoci mi vírus nedokáže sám nainštalovať Tetris, zato má prístup ku všetkým mojim účtom ako PayPal, Bitcoin peňaženka ..."
Samozrejme bezpečnosť si treba sledovať, no na dómacích počítačoch skôr nejaké kontrolné súčty súborov a napísať si skript na to sám, aby to vírus nepoznal.
Tými kontrólnymi súčtami sa dá sledovať samozrejme aj systémová partícia.
Tiež ma občas prepadne paranoja a sledujem čo sa deje, no základ je sa vyhnúť možnostiam svinstvo do systému dostať.
Rkhunter je dobrý , ale on vlastne oznamuje všetko ako zmení ako už bolo napísané asi podľa zmeny kontrolných súčtov.
Keď ho spustíte ihneď po inštalácií tak je to OK. Stačí natahat aktualizácie a už ukazuje upozornenia. Asi záleží aj od distro ako to má v sebe.
Kto sa vtom bazmeku ma vyznat .....
Rovnako tam zvykne davat fasle positive co moze neznaleho ale mozno i znaleho uzivatela zmiast.
mount pripaja dafaulne rw ... ak chces ro musis to zadat
Ahojte,
Ďakujem za reakcie. Kedže s týmto nemám zatial žiadnu skúsenosť, prosím o nasmerovanie. Jedná sa mi o tie kontrólne súčty.
@ Bedňa - Povedzme, že si pomocou cksum vygenerujem súčty všetkých programov v /usr/bin a uložím do zoznamu. Potom spustím RKhunter a ten mi zobrazí Warning pri programe.Tak si vygenerujem pomocou cksum nový kontrólny súčet toho programu.
Ak sa tento nový súčet bude líšiť znamená to, že bol program podvrhnutý?
Po upgrade sa tie súčty programov zrejme zmenia?
Ďakujem
Ak sa zmení kontrolný súčet programu, tak to znamená že bol program zmenený. Ten program mohol byť zmenený kvôli tomu že ho niekto podvrhol, alebo bol nahradený jeho novšou verziou počas bežného zaplátania alebo povýšenia verzie systému.
V tom poslednom prípade sa jedná o false positive, teda o falošný poplach.
Žiadne falošné poplachy rkhunter nedáva, neni to antivírus a nemá to v programe. Upozorňuje, že ten konkrétny hash je iný ako naposledy. Mechanická záležitosť, neskúma prečo bol ten hash zmenený. .
Upozorní že odtlačok súboru sa zmenil, a zabliká pri tom červenou kontrolkou. Tým vytvorí falošný poplach.
Podobne fungujú aj antivírusy. Pár krát mi v práci antivírus zablokoval moje fotky keďže v tých mnou nafotených JPG sa nachádzala sekvencia "písmenok" ktorá bola zhodná s nejakým poznávacím znamením vírusu. A poslalo to report bezpečákovi ktorý potom nemohol pochopiť že tie antivírusy sú tak blbé.
No neviem, udajne problematika false positive bola riesena na jednom fore ako bug daneho rkhunter. Ale mozno sa mylim. Na forach mozno najst viacero pripadov, kde sa uzivatelia pytaju na zistenia, ktore povazuju za alarmujuce. A odpovedou im bolo ze v tych najcastejsich a obligatnejsich sa jedna o bugy. Ale mozno sa mylim.
Veď po kontrole kukni do
A uvidíš podrobnosti.Falošný poplach dával chkrootkit:
Mne ide o to ako kontrolovat súčty súborov. Ak máte nejaký tip odkaz na návod budem rád.
Čiže ako by ste postupovali, keby ste si chceli kontrolovať checksumy programov/súborov?
dakujem
na to bol tripwire tusim
Myslíš či sa ti pod rukou nezmenili binárky? To hádam zvláda balíčkovací systém.
Programy instalujem len z repozitarov, takze tam riziko infekcie je mensie. Ale teoreticky by som po nasteve nejakeho webu mohol ziskat nejaky virus. Ako pise Bedna v prvej reakcii, ze je dobre si kontrolovat sucty programov. A to ma zaujima, ako by ste postupovali?
Najprv by som si vytvoril sucet nejakeho programu.Neskor by som system updatoval/upgradoval, sucet by sa zmenil.Niekde by som si novy sucet ulozil.Dal by som rkhunter --propupd.
Neskor by som opat spustil rkhunter a ten by mi vyhodil Warning. Vidim, ktory program je asi na vine. Tak si dam vygenerovat checksum toho programu a ten porovnam s ulozenou hodnotou. Ak sa lisia mam problem:(?
N.B.-prepacte ze pisem bez makcenov
Toto vyzerá zaujímavo. Ako si teda predstavuješ že ti prestrelí mallware cez prehliadač internetu, a rovno aj získa eskalované práva roota bez ktorých programy neprepíšeš?