Phenquestions
Yleensä, kun rootkit on havaittu, uhrin on asennettava käyttöjärjestelmä ja tuore laitteisto uudelleen, analysoitava korvaavaan tiedostoon siirrettävät tiedostot ja pahimmassa tapauksessa tarvitaan laitteiston vaihto.On tärkeää korostaa väärän positiivisen mahdollisuuden, tämä on chkrootkitin suurin ongelma, joten kun uhka havaitaan, on suositeltavaa käyttää muita vaihtoehtoja ennen toimenpiteiden toteuttamista, tässä opetusohjelmassa tutkitaan myös lyhyesti rkhunteria vaihtoehtona. On myös tärkeää sanoa, että tämä opetusohjelma on optimoitu Debianin ja Linux-jakelijoiden käyttäjille, ainoa rajoitus muille jakelujen käyttäjille on asennusosa, chkrootkitin käyttö on sama kaikille distroille.
Koska rootkitillä on erilaisia tapoja saavuttaa tavoitteensa piilottamalla haittaohjelmat, Chkrootkit tarjoaa erilaisia työkaluja näihin tapoihin. Chkrootkit on työkalupaketti, joka sisältää chkrootkit-pääohjelman ja seuraavat luettelot:
chkrootkit: Pääohjelma, joka tarkistaa käyttöjärjestelmän binäärit rootkit-muutosten varalta selvittääkseen, onko koodi väärennetty.
ifpromisc.c: tarkistaa, onko liitäntä räikeässä tilassa. Jos verkkoliitäntä on epäselvässä tilassa, hyökkääjä tai haittaohjelma voi käyttää sitä verkkoliikenteen sieppaamiseen sen analysoimiseksi myöhemmin.
chklastlog.c: tarkistaa lastlog-poistot. Lastlog on komento, joka näyttää tiedot viimeisistä kirjautumisista. Hyökkääjä tai rootkit voi muokata tiedostoa tunnistamisen välttämiseksi, jos sysadmin tarkistaa tämän komennon saadakseen tietoja kirjautumisista.
chkwtmp.c: tarkistaa wtmp-poistot. Samoin kuin edellisessä komentosarjassa, chkwtmp tarkistaa tiedoston wtmp, joka sisältää tietoja käyttäjien sisäänkirjautumisista yrittää havaita siihen tehdyt muutokset siinä tapauksessa, että rootkit muokkaa merkintöjä estääkseen tunkeutumisen.
check_wtmpx.c: Tämä komentosarja on sama kuin yllä, mutta Solaris-järjestelmät.
chkproc.c: tarkistaa troijalaisten merkit LKM: ssä (ladattavat ytimoduulit).
chkdirs.c: on sama toiminto kuin yllä, tarkistaa troijalaiset ytimen moduuleissa.
jouset.c: nopea ja likainen merkkijononvaihto, jonka tarkoituksena on piilottaa rootkitin luonne.
chkutmp.c: tämä on samanlainen kuin chkwtmp, mutta tarkistaa sen sijaan utmp-tiedoston.
Kaikki yllä mainitut komentosarjat suoritetaan, kun suoritamme chkrootkit.
Voit aloittaa chkrootkitin asentamisen Debianiin ja Linux-pohjaisiin jakeluihin:
# apt install chkrootkit -y
Kun se on asennettu suoritettavaksi:
# sudo chkrootkit
Prosessin aikana näet, että kaikki komentosarjat, jotka integroivat chkrootkitin, suoritetaan kullekin osalle.
Saat mukavamman näkymän vierittämällä lisäämällä putkea ja vähemmän:
# sudo chkrootkit | Vähemmän
Voit myös viedä tulokset tiedostoon seuraavalla syntaksilla:
# sudo chkrootkit> tulokset
Sitten nähdäksesi tulostustyypin:
# vähemmän tuloksia
Merkintä: voit korvata "tulokset" mille tahansa nimelle, jonka haluat antaa tulostetiedostolle.
Oletusarvoisesti sinun on suoritettava chkrootkit manuaalisesti, kuten edellä on selitetty, mutta voit määrittää päivittäiset automaattiset tarkistukset muokkaamalla chkrootkit-määritystiedostoa, joka sijaitsee / etc / chkrootkit.conf, kokeile sitä nanolla tai haluamallasi tekstieditorilla:
# nano / etc / chkrootkit.konf
Päivittäisen automaattisen tarkistuksen saavuttamiseksi ensimmäinen rivi sisältää RUN_DAILY = ”väärä” tulisi muokata osoitteeseen RUN_DAILY = ”tosi”
Näin sen pitäisi näyttää:
Lehdistö CTRL+X ja Y tallentaa ja poistua.
Rootkit Hunter, vaihtoehto chkrootkitille:
Toinen vaihtoehto chkrootkitille on RootKit Hunter, se on myös täydennys, kun otetaan huomioon, jos löysit juuripaketteja käyttämällä yhtä niistä, vaihtoehdon käyttäminen on pakollista väärien positiivisten tietojen poistamiseksi.
Aloita RootKitHunter-ohjelmasta asentamalla se suorittamalla:
# apt install rkhunter -y
Kun testi on asennettu, suorita seuraava komento:
# rkhunter - tarkistaKuten näette, kuten chkrootkit, RkHunterin ensimmäinen vaihe on analysoida järjestelmän binäärit, mutta myös kirjastot ja merkkijonot:
Kuten näette, toisin kuin chkrootkit, RkHunter pyytää sinua painamaan ENTER jatkaaksesi seuraavien vaiheiden kanssa. Aikaisemmin RootKit Hunter tarkisti järjestelmän binäärit ja kirjastot, nyt se menee tunnettujen juuripakettien kohdalle:
Paina ENTER antaa RkHunterin mennä eteenpäin rootkit-haulla:
Sitten, kuten chkrootkit, se tarkistaa verkkoliittymät ja myös portit, jotka tunnetaan takaoven tai troijalaisten käytöstä:
Lopuksi se tulostaa yhteenvedon tuloksista.
Voit aina käyttää osoitteeseen tallennettuja tuloksia / var / log / rkhunter.Hirsi:
Jos epäilet, että laitteesi on saanut rootkit-tartunnan tai se on vaarantunut, voit noudattaa osoitteessa lueteltuja suosituksia https: // linuxhint.fi / detect_linux_system_hacked /.
Toivon, että pidit tämän opetusohjelman chkrootkitin asentamisesta, määrittämisestä ja käytöstä hyödyllisenä. Seuraa LinuxHint-ohjelmaa saadaksesi lisää vinkkejä ja päivityksiä Linuxista ja verkostoitumisesta.
