Сканирование руткитов
Есть ли хорошие сервисы или способы сканирования руткитов и бэкдоров?
Я знаю, что есть rkhunter и chkrootkit, но они даже больше идеальны? Они никогда не кажутся обновленными и больше похожи на то, что они были хороши в начале 2000-х.
2 ответа
Я не знаю, как часто OSSEC обновляет обнаружение своих руткитов, но я знаю, что у него есть встроенная возможность. Ниже приведена ссылка, которая показывает различные выполненные проверки - http://www.ossec.net/doc/manual/rootcheck/index.html. В целом, мне нравится этот продукт, потому что он может выполнять проверку руткитов, проверку целостности и при этом оставаться HIDS/HIPS. Вы также можете легко создавать свои собственные правила для оповещения о чем угодно.
Изменить: Что касается бэкдоров, вы можете использовать функцию мониторинга процесса - http://www.ossec.net/doc/manual/monitoring/process-monitoring.html. На странице есть пример, который предупредит вас, если выходные данные команды netstat изменятся. Так что, если ваш сервер достаточно согласован с тем, какие порты должны быть открыты, это определенно может быть красным флагом.
http://www.tenable.com/products/nessus
Nessus бесплатен для личного использования, я думаю. это актуально.