כיצד לבדוק Rootkits על לינוקס, BSD, ו OSX
אלה מאיתנו ב- UNIX אדמה (וכן, אנשים Mac, זה כולל אותך) לא לעתים קרובות יש להתמודד עם תוכנות זדוניות. יש מקום לדיון על הסיבות המדויקות לכך, אבל מעטים יטענו כי לינוקס, BSD ו OSX לקבל מכה קשה או לעתים קרובות כמו Windows. זה לא, לעומת זאת, להפוך אותנו חסינים מפני תוכנות זדוניות. כולנו להוריד תוכנות מקוונות, ואפילו אלה שנדבקים רק עם חבילות של ספק התוכנה שלהם עדיין יכול להיות נגוע באגים או חורים אבטחה אשר עשוי לאפשר אנשים מגעילים או בתוכנה. כמו שאומר הפתגם הישן, "גרם של מניעה שווה קילוגרם של תרופה". היום אנחנו רוצים להראות לך כמה דרכים שאתה יכול לסרוק את המערכת שלך כדי לוודא שאין rootkits מגעיל אורב בצללים.
סריקה אישית מהירה ומלוכלכת
טכניקה נפוצה בשימוש על ידי כמה מחברים תוכנות זדוניות היא להחליף בינארי מערכת רגילה עם אחד לוקח פעולות נוספות או חלופיות. רבים מהם מנסים להגן על עצמם על ידי הפיכת גרסאות פגום שלהם בלתי משתנה בניסיון להפוך את הזיהום קשה יותר להסיר. למרבה המזל, זה משאיר עקבות מאחורי זה יכול להיות הרים על ידי כלי מערכת רגילים.
השתמש בפקודה lsattr כדי להציג את התכונות של הקבצים הבינאריים של המערכת שלך במיקומים כגון / bin, / sbin, ו / usr / bin, כפי שמוצג כאן.
lsattr / usr / bin
רגיל, פלט לא חשוד צריך להיראות משהו כזה.
ייתכן שיהיה עליך הרשאות השורש כדי לסרוק כמה מקומות כמו / sbin . אם הפלט מכיל תכונות אחרות כגון s, i או a, דבר שעשוי להיות סימן שמשהו אינו כשורה, וייתכן שתרצה לנסות סריקה עמוקה יותר כפי שמוצג למטה.
סורק # 1 - Chkrootkit
Chkrootkit הוא כלי לסרוק את המערכות שלך קבצים חיוניים כדי לקבוע אם כל אחד מהם להראות סימנים של תוכנות זדוניות ידוע. זוהי קבוצה של סקריפטים המשתמשים בכלים ובפקודות הקיימים כדי לאמת את קבצי המערכת ו / proc המידע. בגלל זה, מומלץ יותר מאשר להריץ מתוך תקליטור חי, שבו יש ביטחון גבוה יותר כי כלי הבסיס כבר לא נפגעת. אתה יכול להריץ אותו משורת הפקודה עם פשוט
# ייתכן שיהיה עליך "sudo" עבור הרשאות שורש chkrootkit
אבל מאז chkrootkit לא יוצר קובץ יומן כברירת מחדל, אני ממליץ על הפניה מחדש את הפלט לקובץ יומן, כמו עם
> mylogfile.txt
וכאשר זה מסתיים, פשוט לפתוח את קובץ היומן בעורך הטקסט שלך של בחירה.
סורק # 2 - צייד Rootkit (rkhunter)
Rootkit האנטר מעשים הרבה כמו chkrootkit, אבל בסיסים הרבה של הפונקציונליות שלה על בדיקות hash. התוכנה כוללת ידוע טוב SHA-1 hashes של קבצי מערכת נפוצים, ואם הוא מוצא כי שלך שונה, זה ינפיק שגיאה או אזהרה לפי הצורך. Rootkit האנטר יכול גם להיקרא יסודית יותר מאשר chkrootkit, שכן הוא כולל בדיקות נוספות לגבי מצב הרשת, מודולים הקרנל וחלקים אחרים chkrootkit לא לסרוק.
כדי להתחיל בסריקה מקומית רגילה, פשוט הפעל
# ייתכן שיהיה עליך "sudo" עבור הרשאות root rkhunter -c
לאחר השלמת התהליך, יוצג בפניך סיכום של תוצאות הסריקה.
Rootkit האנטר יוצר קובץ יומן כברירת מחדל, ושומר אותו /var/log/rkhunter.log .
סיכום
להיות הזהיר - הן של יישומים אלה, כמו גם את השיטה "ידני", עשוי לייצר תוצאות חיוביות שגויות. אם אתה מקבל תוצאה חיובית, לחקור את זה ביסודיות לפני נקיטת כל פעולה. יש לקוות, אחת השיטות הללו יכול לעזור לך לזהות איום לפני שהוא הופך לבעיה. אם יש לך הצעות אחרות לאיתור קבצים או אפליקציות מגעילים, הודע לנו בהמשך ההערות.
קרדיט תמונה: rykerstribe