Хабр Курсы для всех
РЕКЛАМА
Практикум, Хекслет, SkyPro, авторские курсы — собрали всех и попросили скидки. Осталось выбрать!
Хабр доступен 24/7 благодаря поддержке друзей
Комментарии 11
А куда вообще подевался такой класс программ, как ревизоры? Ведь был же ревизор ADinf, можно было проверять только изменившиеся и новые файлы.
Но нет блин, сейчас десятка просто колом встаёт когда запускается эта проверка или что ещё в фоне захочет сожрать ресурсы.
1. Файлов подлежащих проверке стало слишком много. Сравните количество исполняемых файлов на типичной машине с DOS и Windows (не забывая про всяческие библиотеки, драйверы и т.д.).
2. Классические вирусы (которые именно встраивают свой код в сторонние исполняемые файлы) практически вымерли как класс. Соответственно и нужды отлавливать изменения в исполняемых файлах больше нет.
2. Классические вирусы (которые именно встраивают свой код в сторонние исполняемые файлы) практически вымерли как класс. Соответственно и нужды отлавливать изменения в исполняемых файлах больше нет.
Так есть. AIDE. А у Adinf кстати была немного другая задача. Он не просто изменившиеся файлы искал.
а вот один из других режимов работы — проверка хэшей файлов, меня заинтересовал
debsums же
Я извиняюсь, а как же постоянные возгласы адептов Линукса и противников Windows, что на Линуксе нет вирусов?
Не понятен смысл этих действий. Разве что для галочки.
Какая уязвимость атаки? (с)
В 99% случаев в случае с «рабочим ноутом на убунте» малавара прилетит пользователю. Изначально привилегий не будет. Слить данные/мониторить пользователя/использовать ноут в качестве ботнета — для этого не нужен рут. И «руткиты» не нужны. Запалить малвару на линаксе, если не знать что она уже есть, практически не реально и без всяких руткитов.
Опять же, изменять ваши оригинальные системные файлы нет никакого смысла — они скорее всего будут переписаны при обновлениях.
Ну и если уж изменять, то что мешает изменить ваш rkhunter? И опять же, руткит (хотя на лаптопе рабочем он не нужен) вам влепят в ядро. Лучше бы уж озаботились работой за машиной с включенным selinux, secureboot и kernel lockdown. Но, повторюсь, это вообще никак не повлияет на вектора атак для «рабочего ноута».
Какая уязвимость атаки? (с)
В 99% случаев в случае с «рабочим ноутом на убунте» малавара прилетит пользователю. Изначально привилегий не будет. Слить данные/мониторить пользователя/использовать ноут в качестве ботнета — для этого не нужен рут. И «руткиты» не нужны. Запалить малвару на линаксе, если не знать что она уже есть, практически не реально и без всяких руткитов.
Опять же, изменять ваши оригинальные системные файлы нет никакого смысла — они скорее всего будут переписаны при обновлениях.
Ну и если уж изменять, то что мешает изменить ваш rkhunter? И опять же, руткит (хотя на лаптопе рабочем он не нужен) вам влепят в ядро. Лучше бы уж озаботились работой за машиной с включенным selinux, secureboot и kernel lockdown. Но, повторюсь, это вообще никак не повлияет на вектора атак для «рабочего ноута».
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Добавляем в ежеутренний скрипт проверку хэшей файлов rootkit hunter-ом