Rootkits: що вони таке і як їх виявити в Linux

Цілком ймовірно, що зловмисник може проникнути у вашу систему, перше, що вони зроблять - це встановити ряд руткітів. Цим ви отримаєте контроль над системою з цього моменту. Ці згадані інструменти становлять великий ризик. Тому вкрай необхідно знати, про що вони говорять, їх роботу та як їх виявити.

Перший раз вони помітили його існування в 90-х, в операційній системі SUN Unix. Перше, що помітили адміністратори, - це дивна поведінка на сервері. Надмірно використаний процесор, дефіцит місця на жорсткому диску та невстановлені мережеві з'єднання за допомогою команди netstat .

РОТКИТИ: Що вони таке і як їх виявити в Linux

Що таке корінці?

Це інструменти, основна мета яких - приховати себе та приховати будь-який інший екземпляр, який виявляє нав'язливу присутність у системі. Наприклад, будь-які зміни процесів, програм, каталогів або файлів. Це дозволяє зловмиснику входити в систему віддалено і непомітно, в більшості випадків для зловмисних цілей, таких як вилучення інформації, що має велике значення, або здійснення руйнівних дій. Його назва походить від ідеї, що rootkit дозволяє легко отримати доступ до нього як користувач root після його встановлення.

Його робота зосереджена на факт заміни файлів системних програм на змінені версії з метою виконання конкретних дій. Тобто вони імітують поведінку системи, але зберігають інші дії та докази існуючого зловмисника прихованими. Ці модифіковані версії називаються троянами. Таким чином, руткіт - це набір троянців.

Як ми знаємо, в Linux віруси не становлять небезпеки. Найбільший ризик - вразливості, які щодня виявляються у ваших програмах. Що можна використати для зловмисника для встановлення руткіта. У цьому полягає важливість постійного оновлення системи та постійної перевірки її стану.

Деякі файли, які зазвичай стають жертвами троянців, - це вхід, telnet, su, ifconfig, netstat, find, серед інших.

А також, що належать до списку /etc/inetd.conf.

Можливо, вам буде цікаво прочитати: Поради щодо відсутності шкідливих програм в Linux

Типи руткітів

Ми можемо класифікувати їх відповідно до технології, яку вони використовують. Відповідно, у нас є три основні типи.

• Бінарні файли: ті, яким вдається впливати на набір критичних системних файлів. Заміна певних файлів на їх модифіковані аналогічні. Основні: ті, що впливають на основні компоненти. З бібліотек: Вони використовують системні бібліотеки для збереження троянців.

Виявлення руткітів

Це можна зробити кількома способами:

• Перевірка законності файлів. Це через алгоритми, які використовуються для перевірки суми. Ці алгоритми є стилем контрольної суми MD5 , які вказують на те, що для того, щоб сума двох файлів була рівною, необхідно, щоб обидва файли були однаковими. Отже, як хороший адміністратор, я повинен зберігати контрольну суму системи на зовнішньому пристрої. Таким чином, пізніше я зможу виявити існування руткітів шляхом порівняння цих результатів з результатами певного моменту, з певним інструментом вимірювання, призначеним для цієї мети. Наприклад, Tripwire . Ще один спосіб, який дозволяє нам виявити існування руткітів, - це виконувати сканування портів з інших комп’ютерів, щоб перевірити, чи є на задньому плані , які слухають порти, які зазвичай не використовуються. Також є спеціалізовані демони, такі як rkdet для виявляють спроби встановлення, а в деяких випадках навіть запобігають цьому і повідомляють адміністратора. Іншим інструментом є тип скрипту оболонки, наприклад Chkrootkit , який відповідає за перевірку існування бінарних файлів у системі, модифікованих rootkits.

РЕКОМЕНДУЄМО ВАС Найкращі альтернативи Microsoft Paint в Linux

Розкажіть, чи стали ви жертвою нападу з руткітами, або які ваші практики цього уникати?

Звертайтесь до нас з будь-яких питань. І звичайно, перейдіть до розділу « Підручники» або до нашої категорії Linux, де ви знайдете багато корисної інформації, щоб отримати максимальну користь від нашої системи.