Rootkits: τι είναι και πώς να τα ανιχνεύσει στο linux

Είναι πιθανό ότι ένας εισβολέας μπορεί να γλιστρήσει στο σύστημά σας, το πρώτο πράγμα που θα κάνουν είναι να εγκαταστήσει μια σειρά rootkits. Με αυτό θα αποκτήσετε τον έλεγχο του συστήματος από εκείνη τη στιγμή. Αυτά τα εργαλεία αποτελούν μεγάλο κίνδυνο. Ως εκ τούτου, είναι εξαιρετικά απαραίτητο να γνωρίζουμε για το τι πρόκειται, τη λειτουργία τους και τον τρόπο ανίχνευσής τους.

Την πρώτη φορά που παρατήρησαν την ύπαρξή της ήταν στη δεκαετία του '90, στο λειτουργικό σύστημα SUN Unix. Το πρώτο πράγμα που οι διαχειριστές παρατήρησαν ήταν παράξενη συμπεριφορά στο διακομιστή. Υπερβολική χρήση CPU, έλλειψη χώρου στο σκληρό δίσκο και μη αναγνωρισμένες συνδέσεις δικτύου μέσω της εντολής netstat .

ROOTKITS: Τι είναι και πώς να τα ανιχνεύσει στο Linux

Τι είναι τα Rootkits;

Είναι εργαλεία, των οποίων ο κύριος στόχος είναι να κρύβονται και να κρύβουν οποιαδήποτε άλλη περίπτωση που αποκαλύπτει την παρεμβατική παρουσία στο σύστημα. Για παράδειγμα, οποιαδήποτε τροποποίηση σε διαδικασίες, προγράμματα, καταλόγους ή αρχεία. Αυτό επιτρέπει στον εισβολέα να εισέλθει στο σύστημα εξ αποστάσεως και ανεπαίσθητα, στις περισσότερες περιπτώσεις για κακόβουλους σκοπούς, όπως η εξαγωγή πληροφοριών μεγάλης σημασίας ή η εκτέλεση καταστροφικών ενεργειών. Το όνομά του προέρχεται από την ιδέα ότι ένα rootkit σάς επιτρέπει να το έχετε εύκολα πρόσβαση ως χρήστης ρίζας, μετά την εγκατάσταση του.

Η λειτουργία του επικεντρώνεται στην αντικατάσταση των αρχείων του συστήματος με αλλοιωμένες εκδόσεις, προκειμένου να εκτελεστούν συγκεκριμένες ενέργειες. Δηλαδή, μιμούνται τη συμπεριφορά του συστήματος, αλλά κρατούν άλλες ενέργειες και αποδείξεις για το υπάρχον εισβολέα κρυμμένο. Αυτές οι τροποποιημένες εκδόσεις ονομάζονται Trojans. Έτσι, βασικά, ένα rootkit είναι ένα σύνολο Trojans.

Όπως γνωρίζουμε, στο Linux, οι ιοί δεν αποτελούν κίνδυνο. Ο μεγαλύτερος κίνδυνος είναι τα τρωτά σημεία που ανακαλύπτονται καθημερινά στα προγράμματά σας. Ποια μπορεί να εκμεταλλευτεί κάποιος εισβολέας για να εγκαταστήσει ένα rootkit. Εδώ βρίσκεται η σημασία της ενημέρωσης του συστήματος στο σύνολό του, συνεχώς επαληθεύοντας την κατάστασή του.

Μερικά από τα αρχεία που είναι συνήθως θύματα των Trojans είναι login, telnet, su, ifconfig, netstat, find, μεταξύ άλλων.

Εκτός από αυτά που ανήκουν στη λίστα /etc/inetd.conf.

Ίσως ενδιαφέρεστε να διαβάσετε: Συμβουλές για να παραμείνετε χωρίς malwares στο Linux

Τύποι rootkits

Μπορούμε να τα ταξινομήσουμε σύμφωνα με την τεχνολογία που χρησιμοποιούν. Συνεπώς, έχουμε τρεις βασικούς τύπους.

• Δυαδικά αρχεία: Αυτά που καταφέρνουν να επηρεάσουν ένα σύνολο κρίσιμων αρχείων συστήματος. Αντικατάσταση ορισμένων αρχείων με τα τροποποιημένα παρόμοια. Core: Αυτά που επηρεάζουν τα βασικά στοιχεία. Από τις βιβλιοθήκες: Χρησιμοποιούν βιβλιοθήκες συστήματος για να διατηρήσουν τους Trojans.

Ανίχνευση Rootkits

Μπορούμε να το κάνουμε αυτό με διάφορους τρόπους:

• Επαλήθευση της νομιμότητας των φακέλων. Αυτό μέσω των αλγορίθμων που χρησιμοποιούνται για τον έλεγχο του ποσού. Αυτοί οι αλγόριθμοι είναι MD5 στυλ ελέγχου , που δείχνουν ότι για το άθροισμα των δύο αρχείων να είναι ίσοι, είναι απαραίτητο και τα δύο αρχεία να είναι ταυτόσημα. Έτσι, ως καλός διαχειριστής, πρέπει να αποθηκεύσω το σύστημα ελέγχου του συστήματος μου σε μια εξωτερική συσκευή. Με αυτόν τον τρόπο, αργότερα θα μπορέσω να ανιχνεύσω την ύπαρξη rootkits μέσω μιας σύγκρισης αυτών των αποτελεσμάτων με αυτά μιας συγκεκριμένης στιγμής, με κάποιο εργαλείο μέτρησης σχεδιασμένο για το σκοπό αυτό. Παραδείγματος χάριν, Tripwire Ένας άλλος τρόπος που μας επιτρέπει να ανιχνεύσουμε την ύπαρξη των rootkits είναι να εκτελέσουμε ανιχνεύσεις θύρας από άλλους υπολογιστές, για να επαληθεύσουμε εάν υπάρχουν backdoors που ακούν σε λιμένες που συνήθως δεν χρησιμοποιούνται.Υπάρχουν επίσης εξειδικευμένοι δαίμονες όπως το rkdet για εντοπίστε τις προσπάθειες εγκατάστασης και, σε ορισμένες περιπτώσεις, αποτρέψτε το να συμβεί και ενημερώστε τον διαχειριστή. Ένα άλλο εργαλείο είναι ο τύπος script shell, όπως το Chkrootkit , το οποίο είναι υπεύθυνο για την επαλήθευση της ύπαρξης δυαδικών αρχείων στο σύστημα, τροποποιημένων από rootkits.

Σας συστήνουμε τις καλύτερες εναλλακτικές λύσεις για το Microsoft Paint στο Linux

Πείτε μας εάν έχετε πέσει θύμα επίθεσης με rootkits ή ποιες είναι οι πρακτικές σας για να το αποφύγετε;

Επικοινωνήστε μαζί μας για οποιεσδήποτε ερωτήσεις. Και βέβαια, πηγαίνετε στο τμήμα Tutorials ή στην κατηγορία του Linux, όπου θα βρείτε πολλές χρήσιμες πληροφορίες για να αξιοποιήσετε στο έπακρο το σύστημά μας.