Rootkits: hvad de er, og hvordan de registreres i Linux

Det er sandsynligt, at en ubuden gæst kan snige sig ind i dit system, den første ting, de vil gøre, er at installere en række rodkits. Med dette får du kontrol over systemet fra det øjeblik. Disse nævnte værktøjer repræsenterer en stor risiko. Derfor er det yderst nødvendigt at vide, hvad de handler om, deres funktion og hvordan man opdager dem.

Første gang de bemærkede dens eksistens var i 90'erne i SUN Unix-operativsystemet. Den første ting, administratorer bemærkede, var mærkelig opførsel på serveren. Overanvendt CPU, mangel på harddiskplads og uidentificerede netværksforbindelser via netstat- kommandoen.

ROOTKITS: Hvad er de, og hvordan opdages dem i Linux

Hvad er rodkits?

De er værktøjer, hvis hovedmål er at skjule sig selv og skjule ethvert andet tilfælde, der afslører den indgribende tilstedeværelse i systemet. For eksempel enhver ændring i processer, programmer, mapper eller filer. Dette giver indtrængende mulighed for at komme ind i systemet fjernt og umærkeligt, i de fleste tilfælde til ondsindede formål, såsom at udtrække oplysninger af stor betydning eller udføre destruktive handlinger. Dets navn stammer fra ideen om, at et rootkit giver dig adgang til det let som root-bruger efter installationen.

Dens drift fokuserer på det faktum, at systemprogramfiler erstattes med ændrede versioner for at udføre specifikke handlinger. Det vil sige, de efterligner systemets opførsel, men holder andre handlinger og bevis for den eksisterende indtrængende skjult. Disse ændrede versioner kaldes trojanere. Så dybest set er et rodkit et sæt trojanere.

Som vi ved, er virus i Linux ikke en fare. Den største risiko er de sårbarheder, der opdages dag for dag i dine programmer. Hvilket kan udnyttes til en indtrængende til at installere en rodkit. Heri ligger vigtigheden af ​​at holde systemet opdateret i sin helhed og konstant verificere dets status.

Nogle af de filer, der normalt er ofre for trojanere, er login, telnet, su, ifconfig, netstat, find blandt andre.

Samt dem, der tilhører listen /etc/inetd.conf.

Du er måske interesseret i at læse: Tips til at forblive malwares-fri på Linux

Typer af rodsæt

Vi kan klassificere dem i henhold til den teknologi, de bruger. Derfor har vi tre hovedtyper.

• Binaries: Dem, der formår at påvirke et sæt kritiske systemfiler. Udskiftning af visse filer med deres ændrede lignende. Kerne: Dem, der påvirker kernekomponenterne. Fra biblioteker: De bruger systembiblioteker til at bevare trojanere.

Registrering af rodkits

Vi kan gøre dette på flere måder:

• Bekræftelse af legitimiteten af ​​filerne. Dette gennem algoritmer, der bruges til at kontrollere summen. Disse algoritmer er MD5-kontrolsumstil , hvilket indikerer, at for summen af ​​to filer skal være ens, er det nødvendigt, at begge filer er identiske. Så som en god administrator skal jeg gemme mit systemsjekksum på en ekstern enhed. På denne måde vil jeg senere kunne registrere eksistensen af ​​rootkits gennem en sammenligning af disse resultater med resultaterne af et bestemt øjeblik, med et måleinstrument designet til det formål. For eksempel Tripwire.En anden måde, der giver os mulighed for at registrere eksistensen af ​​rootkits, er at udføre port scanninger fra andre computere for at kontrollere, om der er bagdøre, der lytter til porte, der normalt ikke bruges. Der er også specialiserede dæmoner, såsom rkdet til opdage installationsforsøg og i nogle tilfælde endda forhindre det i at ske og underrette administratoren. Et andet værktøj er shell- scripttypen , såsom Chkrootkit , som er ansvarlig for at verificere eksistensen af ​​binære filer i systemet, ændret af rootkits.

VI ANBEFALER De bedste alternativer til Microsoft Paint på Linux

Fortæl os, hvis du har været offer for et angreb med rodkits, eller hvad er din praksis for at undgå det?

Kontakt os for spørgsmål. Og selvfølgelig, gå til vores afsnit Tutorials eller vores Linux- kategori, hvor du finder masser af nyttige oplysninger for at få mest muligt ud af vores system.