Rootkity: čo sú a ako ich odhaliť v Linuxe

Je pravdepodobné, že votrelec sa môže vkradnúť do vášho systému, prvá vec, ktorú urobia, je inštalácia radu rootkitov. Týmto získate od tohto okamihu kontrolu nad systémom. Tieto nástroje predstavujú veľké riziko. Preto je mimoriadne dôležité vedieť, o čom sú, ich fungovanie a ako ich odhaliť.

Prvýkrát si všimli jeho existenciu v 90. rokoch, v operačnom systéme SUN Unix. Prvá vec, ktorú si správcovia všimli, bolo zvláštne správanie na serveri. Nadmerne využívané CPU, nedostatok miesta na pevnom disku a neidentifikované sieťové pripojenia prostredníctvom príkazu netstat .

ROOTKITS: Čo sú zač a ako ich v Linuxe odhaliť

Čo sú Rootkity?

Sú to nástroje, ktorých hlavným cieľom je skryť sa a skryť všetky ďalšie prípady, ktoré odhaľujú rušivú prítomnosť v systéme. Napríklad akákoľvek zmena procesov, programov, adresárov alebo súborov. To umožňuje útočníkovi vstupovať do systému na diaľku a nepostrehnuteľne, vo väčšine prípadov na škodlivé účely, ako je získavanie informácií veľmi dôležitých alebo vykonávanie deštruktívnych akcií. Jeho názov pochádza z myšlienky, že rootkit vám po jeho inštalácii umožňuje jednoduchý prístup ako root.

Jeho činnosť sa zameriava na skutočnosť, že súbory systémových programov sa nahrádzajú zmenenými verziami, aby sa mohli vykonávať konkrétne akcie. To znamená, že napodobňujú správanie systému, ale skrývajú iné akcie a dôkazy o existujúcom votrelcovi. Tieto upravené verzie sa nazývajú trójske kone. Takže rootkit je v podstate sada trójskych koní.

Ako vieme, v Linuxe vírusy nepredstavujú nebezpečenstvo. Najväčším rizikom sú zraniteľné miesta, ktoré sa objavujú každý deň vo vašich programoch. Čo môže útočník využiť na inštaláciu rootkitu. V tejto súvislosti je dôležité neustále aktualizovať systém a neustále overovať jeho stav.

Niektoré zo súborov, ktoré sú zvyčajne obeťami trójskych koní, sú okrem iného login, telnet, su, ifconfig, netstat.

Rovnako ako tí, ktorí patria do zoznamu /etc/inetd.conf.

Možno vás bude zaujímať čítanie: Tipy, ako v systéme Linux zostať bez škodlivého softvéru

Druhy rootkitov

Môžeme ich klasifikovať podľa technológie, ktorú používajú. Preto máme tri hlavné typy.

• Binárne súbory: tie, ktoré dokážu ovplyvniť skupinu kritických systémových súborov. Nahradenie určitých súborov ich modifikovanými podobnými súbormi. Jadro: Tie, ktoré ovplyvňujú základné komponenty. Z knižníc: Na udržanie trójskych koní využívajú systémové knižnice.

Detekcia rootkitov

Môžeme to urobiť niekoľkými spôsobmi:

• Overenie zákonnosti spisov. To pomocou algoritmov použitých na kontrolu súčtu. Tieto algoritmy sú štýlom kontrolného súčtu MD5 , ktorý naznačuje, že na to, aby sa súčet dvoch súborov rovnal, je potrebné, aby boli oba súbory identické. Takže ako dobrý správca musím svoj systémový kontrolný súčet uložiť na externé zariadenie. Týmto spôsobom budem neskôr schopný zistiť existenciu rootkitov porovnaním týchto výsledkov s výsledkami v určitom okamihu, s nejakým meracím nástrojom určeným na tento účel. Napríklad Tripwire . Ďalším spôsobom, ktorý nám umožňuje zisťovať existenciu rootkitov, je vykonávať kontroly portov z iných počítačov, aby sme overili, či existujú zadné dvere, ktoré počúvajú na portoch, ktoré nie sú bežne používané. Existujú aj špecializované démony, ako napríklad rkdet for detekovať pokusy o inštaláciu a v niektorých prípadoch im dokonca zabrániť a upozorniť správcu. Ďalším nástrojom je typ skriptu shellu, napríklad Chkrootkit , ktorý je zodpovedný za overovanie existencie binárnych súborov v systéme, ktoré sú modifikované rootkitmi.

DOPORUČUJEME Najlepšie alternatívy k programu Microsoft Paint v systéme Linux

Povedzte nám, či ste sa stali obeťou útoku s rootkitmi, alebo aké sú vaše postupy, ako sa tomu vyhnúť?

V prípade akýchkoľvek otázok nás kontaktujte. A samozrejme, choďte do našej sekcie Tutoriály alebo do kategórie Linux, kde nájdete množstvo užitočných informácií, ako z nášho systému vyťažiť maximum.