[REHBER] Linux'ta Rootkit Taraması Nasıl Yapılır?

Şu anda konuyu okuyanlar (Üyeler: 1, Ziyaretçi & Botlar: 0)

Halktan Biri

Gurular Gurusu
Onursal Üye
#1
Evet arkadaşlar. Bu konuda kullandığımız Linux işletim sisteminde, bir zararlı çeşidi olan rootkit olup olmadığını nasıl öğrenebileceğimizi göstereceğim.

1- Terminali (uçbirim) açın.

2- Öncelikle şu komutu girelim ve Enter'layalım. Şifre isteyecektir. Root şifrenizi girerek "chkrootkit" isimli aracın kurulmasına izin vermelisiniz.
Kod:
sudo apt-get install chkrootkit

3- "chkrootkit" aracı yüklendikten sonra şu komutu girin ve Enter'layın.
Kod:
sudo chkrootkit
Sonuçların resimdeki gibi olması gerekiyor. Eğerki tarama sonucunda "found" ile karşılaşırsanız sisteminizde rootkit var demektir.
1516808342540.png


NOT: Arkadaşlar internetten biraz araştırdım. Bu şekilde yapılan tarama sonucunda yanlış uyarı verme ihtimali de varmış.
 

Halktan Biri

Gurular Gurusu
Onursal Üye
#3
Katılım
3 Ara 2017
Mesajlar
45
Beğeniler
50
Puanları
18
Konum
Manhattan, NY
#4
hocam üsttekiler de not found ama şu "Searching for Linux/Ebury - Operation Windigo ssh... Possible Linux/Ebury - Operation Windigo installetd" ne oluyo problem mi var found veya not found gibi bi şey yazmadı
Kod:
Searching for LPD Worm files and dirs...                    nothing found
Searching for Ramen Worm files and dirs...                  nothing found
Searching for Maniac files and dirs...                      nothing found
Searching for RK17 files and dirs...                        nothing found
Searching for Ducoci rootkit...                             nothing found
Searching for Adore Worm...                                 nothing found
Searching for ShitC Worm...                                 nothing found
Searching for Omega Worm...                                 nothing found
Searching for Sadmind/IIS Worm...                           nothing found
Searching for MonKit...                                     nothing found
Searching for Showtee...                                    nothing found
Searching for OpticKit...                                   nothing found
Searching for T.R.K...                                      nothing found
Searching for Mithra...                                     nothing found
Searching for LOC rootkit...                                nothing found
Searching for Romanian rootkit...                           nothing found
Searching for Suckit rootkit...                             nothing found
Searching for Volc rootkit...                               nothing found
Searching for Gold2 rootkit...                              nothing found
Searching for TC2 Worm default files and dirs...            nothing found
Searching for Anonoying rootkit default files and dirs...   nothing found
Searching for ZK rootkit default files and dirs...          nothing found
Searching for ShKit rootkit default files and dirs...       nothing found
Searching for AjaKit rootkit default files and dirs...      nothing found
Searching for zaRwT rootkit default files and dirs...       nothing found
Searching for Madalin rootkit default files...              nothing found
Searching for Fu rootkit default files...                   nothing found
Searching for ESRK rootkit default files...                 nothing found
Searching for rootedoor...                                  nothing found
Searching for ENYELKM rootkit default files...              nothing found
Searching for common ssh-scanners default files...          nothing found
Searching for Linux/Ebury - Operation Windigo ssh...        Possible Linux/Ebury - Operation Windigo installetd
Searching for 64-bit Linux Rootkit ...                      nothing found
Searching for 64-bit Linux Rootkit modules...               nothing found
Searching for suspect PHP files...                          nothing found
Searching for anomalies in shell history files...           nothing found
Checking `asp'...                                           not infected
Checking `bindshell'...                                     not infected
 

Halktan Biri

Gurular Gurusu
Onursal Üye
#5
hocam üsttekiler de not found ama şu "Searching for Linux/Ebury - Operation Windigo ssh... Possible Linux/Ebury - Operation Windigo installetd" ne oluyo problem mi var found veya not found gibi bi şey yazmadı
Kod:
Searching for LPD Worm files and dirs...                    nothing found
Searching for Ramen Worm files and dirs...                  nothing found
Searching for Maniac files and dirs...                      nothing found
Searching for RK17 files and dirs...                        nothing found
Searching for Ducoci rootkit...                             nothing found
Searching for Adore Worm...                                 nothing found
Searching for ShitC Worm...                                 nothing found
Searching for Omega Worm...                                 nothing found
Searching for Sadmind/IIS Worm...                           nothing found
Searching for MonKit...                                     nothing found
Searching for Showtee...                                    nothing found
Searching for OpticKit...                                   nothing found
Searching for T.R.K...                                      nothing found
Searching for Mithra...                                     nothing found
Searching for LOC rootkit...                                nothing found
Searching for Romanian rootkit...                           nothing found
Searching for Suckit rootkit...                             nothing found
Searching for Volc rootkit...                               nothing found
Searching for Gold2 rootkit...                              nothing found
Searching for TC2 Worm default files and dirs...            nothing found
Searching for Anonoying rootkit default files and dirs...   nothing found
Searching for ZK rootkit default files and dirs...          nothing found
Searching for ShKit rootkit default files and dirs...       nothing found
Searching for AjaKit rootkit default files and dirs...      nothing found
Searching for zaRwT rootkit default files and dirs...       nothing found
Searching for Madalin rootkit default files...              nothing found
Searching for Fu rootkit default files...                   nothing found
Searching for ESRK rootkit default files...                 nothing found
Searching for rootedoor...                                  nothing found
Searching for ENYELKM rootkit default files...              nothing found
Searching for common ssh-scanners default files...          nothing found
Searching for Linux/Ebury - Operation Windigo ssh...        Possible Linux/Ebury - Operation Windigo installetd
Searching for 64-bit Linux Rootkit ...                      nothing found
Searching for 64-bit Linux Rootkit modules...               nothing found
Searching for suspect PHP files...                          nothing found
Searching for anomalies in shell history files...           nothing found
Checking `asp'...                                           not infected
Checking `bindshell'...                                     not infected
Malesef onun ne olduğunu bilmiyorum. Ben Kubuntu 17.10'da tarattığımda bir tane "infected" sonucu çıktı.
O da şu:
Checking `tcpd'... INFECTED
---- Mesajlar birleştirildi ----

Arkadaşlar internetten biraz araştırdım. Bu şekilde yapılan tarama sonucunda yanlış uyarı verme ihtimali de varmış.
 
Katılım
12 Eyl 2016
Mesajlar
1,210
Beğeniler
1,916
Puanları
113
Konum
Türkiye
#8
Linux'ta bu tür araçların çoğu yanlış algılama yapıyor bence.
benim sistem de kubuntu. malware de olabilir windigo dediğin hayra alamet bi şey değil yani kim bilir sistemimde neler dönüyo şu an :D
Linux'a kök kullanıcı takımı bulaştırmayı nasıl becerdiniz acaba? ;)
Türkçe konuşun, rootkit de neymiş? :cool:
 

Halktan Biri

Gurular Gurusu
Onursal Üye
#11
Hadi be. :eek: Linux'a nasıl bulaşabilir ki bu yazılım? Eğerki gerçekten bu zararlı bulaştıysa mutlaka bir şeyler yüklerken root şifresini girmiş olmalı bence. Yoksa Linux'ta yazılım nasıl yüklenebilir ki kendiliğinden?
 

Princeps

Güvenlik&Linux
Yönetici
Moderatör
Katılım
9 Mar 2016
Mesajlar
1,194
Beğeniler
899
Puanları
113
Konum
İstanbul / Beyoğlu
#12
Sadece bilinen ve güvendiğimiz repoları sistemlere eklersek buna ppa anahtarları da dahil. Ve sistemde sürekli root şekilde gezinmezsek bu gibi şeylerin başa gelme ihtimali çok daha azalır hatta imkansızlaşır.

---- Mesajlar birleştirildi ----

Sonuç ne kadar doğru bilmiyorum ama, gördüklerim not found ve not infected ile sınırlı. Sanırım işler yolunda...
 
Son düzenleme:

Benzer Konular

Üst
stat counter