Rootkiti: kaj so in kako jih zaznati v Linuxu
Kazalo:
Verjetno se lahko vsiljivec prikrade v vaš sistem, prva stvar, ki jo bodo storili, je, da namestijo niz rootkitov. S tem boste od tega trenutka pridobili nadzor nad sistemom. Ta omenjena orodja predstavljajo veliko tveganje. Zato je izredno potrebno vedeti, za kaj gre, njihovo delovanje in kako jih zaznati.
Prvič so opazili njegov obstoj v 90. letih, v operacijskem sistemu SUN Unix. Prva stvar, ki so jo opazili skrbniki, je bilo nenavadno vedenje na strežniku. Preveč izkoriščen CPU, pomanjkanje prostora na trdem disku in neznane omrežne povezave z ukazom netstat .
ROOTKITS: Kaj so in kako jih zaznati v Linuxu
Kaj so Rootkiti?
So orodja, katerih glavni cilj je skriti in skriti kateri koli drug primerek, ki razkrije vsiljivo prisotnost v sistemu. Na primer, kakršne koli spremembe v procesih, programih, imenikih ali datotekah. To omogoči vsiljivcu vstop v sistem na daljavo in neopazno, v večini primerov za zlonamerne namene, kot je pridobivanje informacij velikega pomena ali izvajanje uničevalnih dejanj. Njegovo ime izvira iz ideje, da vam rootkit po namestitvi omogoča, da do njega dostopate preprosto kot korenski uporabnik.
Njeno delovanje se osredotoča na dejstvo, da sistemske programske datoteke nadomeščajo s spremenjenimi različicami, da bi izvedli določena dejanja. To pomeni, da posnemajo vedenje sistema, druga dejanja in dokaze o obstoječem vsiljivcu pa skrivajo. Te spremenjene različice se imenujejo Trojani. Torej, v bistvu je rootkit niz Trojanov.
Kot vemo, v Linuxu virusi ne predstavljajo nevarnosti. Največje tveganje predstavljajo ranljivosti, ki jih iz dneva v dan odkrivamo v svojih programih. Kar je mogoče uporabiti za vsiljivca za namestitev rootkita. V tem je pomembno, da se sistem posodablja v celoti in nenehno preverja njegovo stanje.
Nekatere datoteke, ki so običajno žrtve Trojancev, so med drugim prijava, telnet, su, ifconfig, netstat, find.
Kot tudi tiste, ki pripadajo seznamu /etc/inetd.conf.
Morda bi vas zanimalo branje: Nasveti, da v Linuxu ne smete imeti zlonamernih programov
Vrste rootkitov
Lahko jih razvrstimo glede na tehnologijo, ki jo uporabljajo. V skladu s tem imamo tri glavne vrste.
- Binarne datoteke: tiste, ki uspejo vplivati na niz kritičnih sistemskih datotek. Zamenjava nekaterih datotek z njihovimi podobnimi spremenjenimi. Jedro: tisti, ki vplivajo na osnovne sestavne dele. Iz knjižnic: Za zadrževanje Trojan uporabljajo sistemske knjižnice.
Zaznavanje Rootkitov
To lahko storimo na več načinov:
- Preverjanje zakonitosti datotek. To z algoritmi, ki se uporabljajo za preverjanje vsote. Ti algoritmi so v slogu kontrolne vsote MD5 , ki kažejo, da je za vsoto dveh datotek enako, da sta obe datoteki enaki. Kot dober skrbnik moram svojo sistemsko kontrolno vsoto shraniti na zunanjo napravo. Na ta način bom kasneje lahko zaznal obstoj rootkitov s primerjavo teh rezultatov z rezultati določenega trenutka z nekim orodjem za merjenje, ki je bil zasnovan v ta namen. Na primer, Tripwire . Drug način, ki nam omogoča zaznavanje obstoja rootkitov je izvajanje pregledov vrat iz drugih računalnikov, da preverimo, ali obstajajo zaledja, ki poslušajo v vratih, ki se običajno ne uporabljajo. Obstajajo tudi specializirani demoni, kot je rkdet za zazna poskuse namestitve in v nekaterih primerih celo prepreči, da bi se to zgodilo, in obvestite skrbnika. Drugo orodje je vrsta skripta lupine, na primer Chkrootkit , ki je odgovorna za preverjanje obstoja binarnih datotek v sistemu, spremenjenih s rootkiti.
Povejte nam, če ste bili žrtev napada z rootkiti ali kakšne prakse ste, da se temu izognete?
Za vsa vprašanja nas kontaktirajte. In seveda pojdite na razdelek Vadnice ali našo kategorijo Linux, kjer boste našli veliko koristnih informacij, da kar najbolje izkoristite naš sistem.
Kaj je ozko grlo in kako ga zaznati
Pojasnimo, kako je in kako ozko grlo vpliva na vaš računalnik. Dajemo vam tudi potrebne tipke, da ugotovite in katere so najpogostejše komponente.
Kaj so dns in za kaj so? vse informacije, ki bi jih morali vedeti
Pojasnimo, kaj je DNS in za kaj gre danes. Govorimo tudi o predpomnilniškem pomnilniku in varnosti DNSSEC.
Kaj je lažno predstavljanje in kako ga zaznati
Pojasnimo, kaj je lažno predstavljanje in katere vrste obstajajo. Dajemo vam tudi nekaj tipk, da se izognete prevaram s to tehniko, uporabite dober DNS, preverite povezave z zunanjimi spletnimi mesti in predvsem uporabite skupno logiko in veste, kdaj se ustaviti.