Найдем и обезвредим!

Докучаев Дмитрий aka Forb

Спецвыпуск Xakep, номер #035, стр. 035-094-4

Мораль сей басни: вирусы под Linux всегда существовали и существуют до сих пор. Кроме того, такая зараза не пощадит твою систему, а изменит в ней все бинарные файлы. Лечение антивирусом, конечно, возможно, но с этим связан ряд осложнений, о которых мы поговорим чуть ниже.

Слово о скриптах

Если ты линуксоид, то знаешь, что в системе существует понятие "стартовый скрипт", который обрабатывается каждый раз при ее стартапе. Все команды в нем выполнятся под суперпользователем. Именно в них обживается электронная зараза, типа различных троянов (вирусы записывают себя непосредственно в структуру системного файла). Казалось бы, обнаружить трой среди скриптов очень просто, но это не совсем так. Большие стартовые файлы очень сложно читать, а если учесть, что бэкдоры маскируются под имена каких-либо модулей, то задача усложняется в несколько раз. Но это опять же в случае, если зараза была запущена под суперпользователем. Если зло-программа стартуется обычным юзером, то у нее, пожалуй, единственный способ повторно запуститься в системе - crontab пользователя. Поэтому регулярная проверка crontab-скрипта не будет лишней.

Все стартовые файлы располагаются в каталоге /etc/rc.d/ для Linux, либо в /etc/rc.* для FreeBSD. Убедись, что простой смертный не способен записать в них команды. И вообще, регулярная проверка таких стартовых документов никогда не помешает, если учесть, что тебя мог зарутать крутой хакер из интернета =).

Сетевая и системная активность

По аналогии с виндой, в пингвине существует команда netstat. Она показывает состояние портов и сетевые подключения в данный момент. Ее вывод гораздо длиннее, по сравнению с Win32, поэтому используй команду netstat -an | grep LISTEN, либо netstat -an | grep ESTABLISHED. Тем самым ты отфильтруешь всю информацию, кроме состояния портов и активных подключений. Весьма полезна опция -p этого же приложения, которой нет в Win32. С помощью этого ключика становится возможным посмотреть PID и полный путь к файлу, который работает с указанным портом.

К слову сказать, любой уважающий себя rootkit (комплект зараженных утилит для предоставления дополнительных привилегий хакеру) содержит в своем комплекте измененные бинарные файлы netstat, ps, kill и прочие важные бинарники. О том, как обнаружить такую подделку, я расскажу в следующем разделе.