Rootkity: czym są i jak je wykrywać w systemie Linux

Najprawdopodobniej intruz może zakraść się do twojego systemu, pierwszą rzeczą, którą zrobią, jest zainstalowanie serii rootkitów. Dzięki temu zyskasz kontrolę nad systemem od tego momentu. Wymienione narzędzia stanowią duże ryzyko. Dlatego niezwykle ważne jest, aby wiedzieć, o co chodzi, jak działają i jak je wykryć.

Po raz pierwszy zauważyli jego istnienie w latach 90. w systemie operacyjnym SUN Unix. Pierwszą rzeczą, którą zauważyli administratorzy, było dziwne zachowanie na serwerze. Nadużywanie procesora, brak miejsca na dysku twardym i niezidentyfikowane połączenia sieciowe za pomocą polecenia netstat .

ROOTKITS: Co to są i jak je wykryć w systemie Linux

Co to są rootkity?

Są to narzędzia, których głównym celem jest ukrycie się i ukrycie każdej innej instancji, która ujawnia natrętną obecność w systemie. Na przykład wszelkie modyfikacje procesów, programów, katalogów lub plików. Umożliwia to intruzowi zdalne i niezauważalne wejście do systemu, w większości przypadków w złośliwych celach, takich jak wydobywanie informacji o dużym znaczeniu lub wykonywanie destrukcyjnych działań. Jego nazwa pochodzi od pomysłu, że rootkit umożliwia łatwy dostęp do niego jako użytkownik root po jego instalacji.

Jego działanie polega na zastępowaniu plików programu systemowego zmienionymi wersjami w celu wykonania określonych akcji. Oznacza to, że naśladują zachowanie systemu, ale ukrywają inne działania i dowody obecności intruza. Te zmodyfikowane wersje są nazywane trojanami. Zasadniczo rootkit to zestaw trojanów.

Jak wiemy, w systemie Linux wirusy nie stanowią zagrożenia. Największym ryzykiem są luki, które są wykrywane z dnia na dzień w twoich programach. Który może zostać wykorzystany przez intruza do zainstalowania rootkita. Na tym polega znaczenie ciągłego aktualizowania systemu, ciągłego sprawdzania jego statusu.

Niektóre pliki, które zwykle są ofiarami trojanów, to między innymi login, telnet, su, ifconfig, netstat, find.

Podobnie jak te należące do listy /etc/inetd.conf.

Być może zainteresuje Cię lektura: Wskazówki, jak unikać złośliwego oprogramowania w systemie Linux

Rodzaje rootkitów

Możemy je sklasyfikować według stosowanej technologii. W związku z tym mamy trzy główne typy.

• Pliki binarne: te, które potrafią wpłynąć na zestaw krytycznych plików systemowych. Zamiana niektórych plików na ich zmodyfikowane podobne. Rdzeń: Te, które wpływają na podstawowe elementy. Z bibliotek: wykorzystują biblioteki systemowe do zatrzymywania trojanów.

Wykrywanie rootkitów

Możemy to zrobić na kilka sposobów:

• Weryfikacja legalności plików. Dzięki algorytmom stosowanym do sprawdzania sumy. Algorytmy te mają styl sumy kontrolnej MD5 , co oznacza, że aby suma dwóch plików była równa, konieczne jest, aby oba pliki były identyczne. Tak więc, jako dobry administrator, muszę przechowywać moją sumę kontrolną systemu na urządzeniu zewnętrznym. W ten sposób później będę w stanie wykryć istnienie rootkitów poprzez porównanie tych wyników z wynikami określonego momentu, przy pomocy jakiegoś narzędzia pomiarowego zaprojektowanego do tego celu. Na przykład Tripwire . Innym sposobem, który pozwala nam wykryć istnienie rootkitów, jest skanowanie portów z innych komputerów w celu sprawdzenia, czy tylne drzwi nasłuchują na portach, które zwykle nie są używane. Istnieją również wyspecjalizowane demony, takie jak rkdet dla wykrywają próby instalacji, aw niektórych przypadkach nawet zapobiegają temu i powiadamiają administratora.Innym narzędziem jest typ skryptu powłoki, taki jak Chkrootkit , który jest odpowiedzialny za weryfikację istnienia plików binarnych w systemie, modyfikowanych przez rootkity.

POLECAMY CIĘ Najlepsze alternatywy dla Microsoft Paint w systemie Linux

Powiedz nam, czy padłeś ofiarą ataku rootkitami lub jakie są twoje praktyki, aby tego uniknąć?

Skontaktuj się z nami na wszelkie pytania. I oczywiście przejdź do sekcji Samouczki lub kategorii Linux, gdzie znajdziesz wiele przydatnych informacji, aby w pełni wykorzystać nasz system.