Linuxsajterna kernel.org och linuxfoundation.org är uppe igen efter nära en månads nedtid.

I dag skriver Linuxutvecklaren och Novellanställde Greg Kroah-Hartman i ett brev till Linuxkärnans epostlista hur du bäst kontrollerar om din Linuxmaskin är hackad.

En regelrätt ominstallation ska inte räknas bort, anser Greg som skriver att vi alla kan tjäna på en nystart ibland.

Första rekommendationen är att installera paketet chkrootkit, antingen direkt från din Linuxdistributions mjukvaruförråd eller genom att ladda ned mjukvaran från http://www.chkrootkit.org.

Ett annat verktyg är ossec-rootcheck som finns på http://www.ossec.net/main/rootcheck.

Ett tredje verktyg är rkhunter. Greg skriver däremot att rkhunter ibland kan ge falska utslag på Debian, vilket därmed även borde inkludera Ubuntu eftersom Ubuntu bygger på Debian.

Nästa steg är att verifera att inga mjukvarupaket har förändrats. Använder du rpm är det enkelt. Då räcker det med kommandot rpm --verify --all. På Debian (och Ubuntu) kör du koden:

dpkg -l \*|while read s n rest; do if [ "$s" == "ii" ]; then echo $n;
fi; done > ~/tmp.txt
for f in `cat ~/tmp.txt`; do debsums -s -a $f; done

Ytterligare en säkerhetsåtgärd är att se till att paketen är signerade med distributionens nycklar. Greg ger ett kodexempel på hur en test skulle kunna se ut i sitt brev. Länk har du nedan.

Slutligen kan du undersöka ditt Linuxsystem genom att starta upp på en liveskiva. Liveskiva är att rekommendera eftersom vissa rootkits som installerats på ett Linux-system maskerar sig själva då de är aktiva. Genom att starta på en liveskiva och montera ditt filsystem kan du vara säker på att upptäcka konstiga filer som annars skulle kunna vara dolda.

Loggfilerna är naturliga platser att titta i efter onormal aktivitet exempelvis i wtmp och /var/log/secure* skriver Greg.

Om något program försöker peta i minnet via /dev/mem är det också misstänkt.

Referenser till konstiga ssh-versioner i /var/log/secure* är tecken på att någon försökt att komma in i ditt system.

Avslutningsvis skriver Greg att om ditt system skulle hackats bör du utreda och ta reda på hur det hände. Efteråt ska du installera om systemet från start och ändra nycklar på både servern och alla andra maskiner som servern har tillgång till. Meddela även administratörer på andra system du har tillgång till om du blivit hackad.

Hela inlägget hittar du på Linuxkärnans epostlista.