Rootkiti: kaj so in kako jih zaznati v Linuxu

Verjetno se lahko vsiljivec prikrade v vaš sistem, prva stvar, ki jo bodo storili, je, da namestijo niz rootkitov. S tem boste od tega trenutka pridobili nadzor nad sistemom. Ta omenjena orodja predstavljajo veliko tveganje. Zato je izredno potrebno vedeti, za kaj gre, njihovo delovanje in kako jih zaznati.

Prvič so opazili njegov obstoj v 90. letih, v operacijskem sistemu SUN Unix. Prva stvar, ki so jo opazili skrbniki, je bilo nenavadno vedenje na strežniku. Preveč izkoriščen CPU, pomanjkanje prostora na trdem disku in neznane omrežne povezave z ukazom netstat .

ROOTKITS: Kaj so in kako jih zaznati v Linuxu

Kaj so Rootkiti?

So orodja, katerih glavni cilj je skriti in skriti kateri koli drug primerek, ki razkrije vsiljivo prisotnost v sistemu. Na primer, kakršne koli spremembe v procesih, programih, imenikih ali datotekah. To omogoči vsiljivcu vstop v sistem na daljavo in neopazno, v večini primerov za zlonamerne namene, kot je pridobivanje informacij velikega pomena ali izvajanje uničevalnih dejanj. Njegovo ime izvira iz ideje, da vam rootkit po namestitvi omogoča, da do njega dostopate preprosto kot korenski uporabnik.

Njeno delovanje se osredotoča na dejstvo, da sistemske programske datoteke nadomeščajo s spremenjenimi različicami, da bi izvedli določena dejanja. To pomeni, da posnemajo vedenje sistema, druga dejanja in dokaze o obstoječem vsiljivcu pa skrivajo. Te spremenjene različice se imenujejo Trojani. Torej, v bistvu je rootkit niz Trojanov.

Kot vemo, v Linuxu virusi ne predstavljajo nevarnosti. Največje tveganje predstavljajo ranljivosti, ki jih iz dneva v dan odkrivamo v svojih programih. Kar je mogoče uporabiti za vsiljivca za namestitev rootkita. V tem je pomembno, da se sistem posodablja v celoti in nenehno preverja njegovo stanje.

Nekatere datoteke, ki so običajno žrtve Trojancev, so med drugim prijava, telnet, su, ifconfig, netstat, find.

Kot tudi tiste, ki pripadajo seznamu /etc/inetd.conf.

Morda bi vas zanimalo branje: Nasveti, da v Linuxu ne smete imeti zlonamernih programov

Vrste rootkitov

Lahko jih razvrstimo glede na tehnologijo, ki jo uporabljajo. V skladu s tem imamo tri glavne vrste.

• Binarne datoteke: tiste, ki uspejo vplivati ​​na niz kritičnih sistemskih datotek. Zamenjava nekaterih datotek z njihovimi podobnimi spremenjenimi. Jedro: tisti, ki vplivajo na osnovne sestavne dele. Iz knjižnic: Za zadrževanje Trojan uporabljajo sistemske knjižnice.

Zaznavanje Rootkitov

To lahko storimo na več načinov:

• Preverjanje zakonitosti datotek. To z algoritmi, ki se uporabljajo za preverjanje vsote. Ti algoritmi so v slogu kontrolne vsote MD5 , ki kažejo, da je za vsoto dveh datotek enako, da sta obe datoteki enaki. Kot dober skrbnik moram svojo sistemsko kontrolno vsoto shraniti na zunanjo napravo. Na ta način bom kasneje lahko zaznal obstoj rootkitov s primerjavo teh rezultatov z rezultati določenega trenutka z nekim orodjem za merjenje, ki je bil zasnovan v ta namen. Na primer, Tripwire . Drug način, ki nam omogoča zaznavanje obstoja rootkitov je izvajanje pregledov vrat iz drugih računalnikov, da preverimo, ali obstajajo zaledja, ki poslušajo v vratih, ki se običajno ne uporabljajo. Obstajajo tudi specializirani demoni, kot je rkdet za zazna poskuse namestitve in v nekaterih primerih celo prepreči, da bi se to zgodilo, in obvestite skrbnika. Drugo orodje je vrsta skripta lupine, na primer Chkrootkit , ki je odgovorna za preverjanje obstoja binarnih datotek v sistemu, spremenjenih s rootkiti.

PRIPOROČAMO VAM najboljše alternative Microsoft Paint v Linuxu

Povejte nam, če ste bili žrtev napada z rootkiti ali kakšne prakse ste, da se temu izognete?

Za vsa vprašanja nas kontaktirajte. In seveda pojdite na razdelek Vadnice ali našo kategorijo Linux, kjer boste našli veliko koristnih informacij, da kar najbolje izkoristite naš sistem.