Как обнаружить kernel rootkit при помощи zabbix?

Question

[Konstantin Antipov]

Всем привет!

Для мониторинга серверов используем zabbix. В стандартном шаблоне для linux-хостов есть проверка изменения контрольных сумм системных утилит - ps, top, ls и т.д. Это однажды сработало в боевых условиях (угнали пароль у разработчика с sudo правами и установили какой-то руткит), после чего стал относиться к этим алертам с уважением. Некоторое время назад наткнулся на статью про kernelspace руткиты и появилсиь следующие мысли:

• Проверяем контрольные суммы /bin/cat и /usr/bin/md5sum
  
• cat /proc/modules | md5sum
  
• cat /proc/kallsyms | md5sum
  

1. Смогут ли эти проверки выявить установку хоть каких-то руткитов?
2. Могут ли подобные проверки гарантировать отсутствие руткитов в ядре (при условии установки на чистую систему)?
3. Вероятность false positive алертов?
4. Возможно еще какие-то простые проверки (без установки дополнительных программ)?

Спасибо!

Answer 1

[Сергей]

Есть две консольные утилиты для линукс серверов
chkrootkit, rkhunter
Еще есть clamav, который может быть полезным. Тоже консольный.
Есть утилита, которая анализирует логи сама - logwatch
Но это все доп. программы.

Можно смотреть логи ручками, например этот /var/log/auth.log
Или проверять новые пакеты в системе, файлы ежедневно по крону, и думать, а должны ли эти файлы там быть.
Для этого свой bash скрипт был бы хорошим.

Я писал свой скрипт для мониторинга под убунту, может пригодится:
linuxstar.ru/poluchenie-informacii-o-sisteme-ezhed...
https://github.com/ADMINICANA/ubuntu-server-daily-...

Comments

[Konstantin Antipov]

Про chkrootkit и rkhunter я в курсе, ищу что-то более прямолинейное с минимумом настройки.
За /var/log/auth.log следит fail2ban, но в случае кражи пароля или ключа у конечного пользователя он не среагирует.
Спасибо за скрипт, поизучаю.

Answer 2

[Владимир Мартьянов]

Руткит он на то и руткит, что скрывает себя в системе. Соответственно, после запуска он сможет подсовывать вместо себя валидный файл с нужной контрольной суммой и скрывать себя в списке модулей. Следовательно, грамотно написанный руткит не выловится таким способом и ни о каких гарантиях речи быть не может. Фолсы могут быть при обновлении софта.

Comments

[Konstantin Antipov]

Думал что /proc/kallsyms всегда должен соответствовать реальной картине в ядре, но, похоже, вы правы. Насчет фолсов при обновлении системы - это ожидаемые алерты, так что не страшно, я имел ввиду не меняется ли файл kallsyms в процессе нормальной работы.

[Владимир Мартьянов]

Konstantin Antipov: Я-то по виндовым руткитам сужу: как только вредоносный код попал в кернелмод - можно тушить свет. Вынесет любые защитные средства, если захочет. Есть варианты с попыткой записи в файл и со сравнением "живой" файловой системы и подмонтированной, но не думаю что сойдет.