Rootkits: što jesu i kako ih otkriti u Linuxu

Vjerojatno je da se uljez može ušunjati u vaš sustav, prvo što će učiniti je instalirati niz rootkita. Ovim ćete steći kontrolu nad sustavom od tog trenutka. Navedeni alati predstavljaju veliki rizik. Stoga je iznimno potrebno znati o čemu se radi, njihovom radu i kako ih otkriti.

Prvi put kad su primijetili njegovo postojanje bilo je 90-ih, u operativnom sustavu SUN Unix. Prvo što su administratori primijetili bilo je čudno ponašanje na poslužitelju. Prekomjerni CPU, manjak prostora na tvrdom disku i neidentificirane mrežne veze putem naredbe netstat .

PRIJENOSI: Što su oni i kako ih otkriti u Linuxu

Što su korijeni?

Oni su alati, čiji je glavni cilj sakriti se i sakriti bilo koji drugi primjerak koji otkriva nametljivu prisutnost u sustavu. Na primjer, svaka izmjena procesa, programa, mapa ili datoteka. To omogućuje uljezu da uđe u sustav na daljinu i neprimjetno, u većini slučajeva u zlonamjerne svrhe, poput vađenja informacija od velike važnosti ili izvršavanja destruktivnih radnji. Ime mu dolazi od ideje da rootkitu nakon pristupa instalaciji lako pristupate kao korisniku root-a.

Njezin se rad usredotočuje na činjenicu zamjene datoteka sistemskih datoteka s izmijenjenim verzijama, kako bi se izvršile određene radnje. To jest, oponašaju ponašanje sustava, a ostale radnje i dokaze o postojećem uljezu drže skrivenima. Ove modificirane verzije nazivaju se Trojanci. U osnovi, rootkit je skup Trojanaca.

Kao što znamo, u Linuxu virusi ne predstavljaju opasnost. Najveći rizik predstavljaju ranjivosti koje se iz dana u dan otkrivaju u vašim programima. Što se može iskoristiti za uljeze za instaliranje rootkita. U tome leži važnost ažuriranja sustava u cijelosti, kontinuirano provjeravajući njegov status.

Neke datoteke koje su obično žrtve Trojanaca su login, telnet, su, ifconfig, netstat, find, između ostalih.

Kao i oni koji pripadaju popisu /etc/inetd.conf.

Možda će vas zanimati čitanje: Savjeti za zadržavanje zlonamjernih softvera na Linuxu

Vrste rootkita

Možemo ih klasificirati prema tehnologiji koju koriste. Prema tome imamo tri glavne vrste.

• Binarni podaci: Oni koji uspiju utjecati na skup kritičnih sistemskih datoteka. Zamjena određenih datoteka s njihovim modificiranim sličnim. Jezgra: Oni koji utječu na temeljne komponente. Iz knjižnica: Oni koriste knjižnice sustava da zadrže Trojane.

Otkrivanje korijena

To možemo učiniti na nekoliko načina:

• Provjera zakonitosti datoteka. Ovo putem algoritama koji se koriste za provjeru iznosa. Ovi algoritmi su MD5 kontrolni zbroj , koji pokazuju da je za zbroj dviju datoteka potrebno da su obje datoteke identične. Dakle, kao dobar administrator moram pohraniti kontrolni zbroj sustava na vanjski uređaj. Na taj ću način kasnije moći detektirati postojanje rootkita usporedbom tih rezultata s onima određenog trenutka, s nekim mjernim alatom dizajniranim za tu svrhu. Na primjer, Tripwire . Drugi način koji nam omogućuje otkrivanje postojanja rootkita je provođenje skeniranja portova s ​​drugih računala s ciljem provjere postoje li stražnja vrata koja slušaju na portovima koji se obično ne koriste. otkriti pokušaje instalacije, a u nekim slučajevima čak i spriječiti da se to dogodi i obavijestiti administratora. Drugi alat je vrsta skripte ljuske, kao što je Chkrootkit , koja je odgovorna za provjeru postojanja binarnih datoteka u sustavu, modificiranih rootkitima.

Preporučujemo vam najbolje alternative Microsoft Paint na Linuxu

Recite nam jeste li bili žrtva napada rootkitima ili kakve ste postupke izbjegli?

Kontaktirajte nas za sva pitanja. I naravno, idite na odjeljak Vodiči ili našu Linux kategoriju, gdje ćete pronaći puno korisnih informacija kako biste izvukli maksimum iz našeg sustava.