Rootkits: hva de er og hvordan oppdage dem i Linux

Det er sannsynlig at en inntrenger kan snike seg inn i systemet ditt, det første de vil gjøre er å installere en serie rootkits. Med dette vil du få kontroll over systemet fra det øyeblikket. Disse nevnte verktøyene representerer en stor risiko. Derfor er det ekstremt nødvendig å vite hva de handler om, hvordan de fungerer, og hvordan de kan oppdage dem.

Første gang de la merke til dens eksistens var på 90-tallet, i operativsystemet SUN Unix. Det første administratorer la merke til var merkelig oppførsel på serveren. Overbrukt CPU, mangel på harddiskplass og uidentifiserte nettverkstilkoblinger gjennom netstat- kommandoen.

ROOTKITS: Hva er de og hvordan oppdage dem i Linux

Hva er røttesett?

De er verktøy, hvis hovedmål er å skjule seg og skjule andre forekomster som avslører den påtrengende tilstedeværelsen i systemet. For eksempel enhver endring i prosesser, programmer, kataloger eller filer. Dette gjør at inntrengerne kan komme inn i systemet eksternt og umerkelig, i de fleste tilfeller for ondsinnede formål som å hente ut informasjon av stor betydning eller utføre ødeleggende handlinger. Navnet kommer fra ideen om at et rootkit lar deg få tilgang til det enkelt som root-bruker etter installasjonen.

Driften fokuserer på det faktum å erstatte systemprogramfiler med endrede versjoner, for å utføre spesifikke handlinger. Det vil si at de etterligner oppførselen til systemet, men holder andre handlinger og bevis på den eksisterende inntrengeren skjult. Disse modifiserte versjonene kalles trojanere. Så i utgangspunktet er et rotkit et sett trojanere.

Som vi vet, er ikke virus en fare i Linux. Den største risikoen er sårbarhetene som blir oppdaget dag for dag i programmene dine. Som kan utnyttes for en inntrenger for å installere et rootkit. Her ligger viktigheten av å holde systemet oppdatert i sin helhet og kontinuerlig bekrefte statusen.

Noen av filene som vanligvis er offer for trojanere er blant annet innlogging, telnet, su, ifconfig, netstat, find.

I tillegg til de som tilhører listen /etc/inetd.conf.

Du kan være interessert i å lese: Tips for å holde deg fri for malwares på Linux

Typer rootkits

Vi kan klassifisere dem i henhold til teknologien de bruker. Følgelig har vi tre hovedtyper.

• Binaries: De som klarer å påvirke et sett med kritiske systemfiler. Erstatte bestemte filer med endret lignende. Kjerne: De som påvirker kjernekomponentene. Fra biblioteker: De bruker systembibliotek for å beholde trojanere.

Oppdage røttesett

Vi kan gjøre dette på flere måter:

• Verifisering av legitimiteten til filene. Dette gjennom algoritmer som brukes til å sjekke summen. Disse algoritmene er MD5-sjekksumstil , som indikerer at for summen av to filer skal være lik, er det nødvendig at begge filene er identiske. Så som en god administrator må jeg lagre mitt systemsjekk på en ekstern enhet. På denne måten vil jeg senere kunne oppdage eksistensen av rootkits gjennom en sammenligning av resultatene med resultatene fra et bestemt øyeblikk, med et måleverktøy designet for det formålet. For eksempel Tripwire . En annen måte som lar oss oppdage eksistensen av rootkits er å utføre portskanninger fra andre datamaskiner, for å bekrefte om det er bakdører som lytter på porter som normalt er ubrukte. Det er også spesialiserte demoner som rkdet for oppdage installasjonsforsøk og i noen tilfeller til og med forhindre at det skjer og varsle administratoren. Et annet verktøy er shell-skriptetypen, for eksempel Chkrootkit , som er ansvarlig for å bekrefte eksistensen av binære filer i systemet, endret av rootkits.

VI ANBEFALER De beste alternativene til Microsoft Paint på Linux

Fortell oss om du har blitt utsatt for et angrep med rootkits, eller hva er praksis for å unngå det?

Kontakt oss for spørsmål. Og selvfølgelig, gå til vår tutorials- seksjon eller vår Linux- kategori, hvor du finner mye nyttig informasjon for å få mest mulig ut av systemet vårt.