Одна из причин взлома сервера — не понять, что произошло вторжение. Это может привести к хитрым злоумышленникам, которые оставят скрытые инструменты, которые могут собирать данные аутентификации, повреждать критические системные файлы и отслеживать / ретранслировать трафик через скомпрометированный сервер, часто без обнаружения.
Эти угрозы часто приходят в форме руткитов .
Хотя проверка по факту, вероятно, не лучший метод, это один из способов следить за целостностью ваших серверов. Лучше всего иметь на месте такие инструменты, как хорошо настроенные брандмауэры, сложные пароли root и приложения, которые предотвращают или предупреждают об изменениях двоичного файла и файла конфигурации (например, Tripwire ).
Тем не менее, когда администратор обеспокоен тем, что в системе что-то не так, инструмент под названием chkrootkit , созданный Нельсоном Мурило и Клаусом Стедингом-Джессеном, может обнаружить до 56 различных корневых комплектов на многочисленных вариантах платформы, включая FreeBSD, Linux, Solaris. , HP UX и другие.
Его удивительно легко установить, просто распакуйте его в выбранную вами директорию на вашем сервере, введите su root и введите «make sense» в каталоге chkrootkit. Затем вы можете выполнить «./chkrootkit» от имени пользователя root и получить отчет о результатах на экране. Я предпочитаю время от времени запускать это в cron и выводить результаты в файл, который я могу просмотреть при проверке журналов и выполнении общего администрирования на моих серверах.