Rootkity: co jsou a jak je detekovat v Linuxu

Je pravděpodobné, že vetřelec se může do vašeho systému vplížit, první věcí, kterou udělá, je instalace řady rootkitů. Díky tomu získáte kontrolu nad systémem od tohoto okamžiku. Tyto nástroje představují velké riziko. Proto je nesmírně nutné vědět, o co jde, jak fungují a jak je detekovat.

Poprvé si všimli jeho existence v 90. letech, v operačním systému SUN Unix. První věcí, kterou si správci všimli, bylo podivné chování na serveru. Nadměrně využívané CPU, nedostatek místa na pevném disku a neidentifikovaná síťová připojení pomocí příkazu netstat .

ROOTKITS: Co to jsou a jak je detekovat v Linuxu

Co jsou Rootkity?

Jsou to nástroje, jejichž hlavním cílem je skrýt sebe a skrýt všechny další případy, které odhalují dotěrnou přítomnost v systému. Například jakékoli změny v procesech, programech, adresářích nebo souborech. To umožňuje vetřelci vstoupit do systému vzdáleně a nepostřehnutelně, ve většině případů pro škodlivé účely, jako je získávání informací velké důležitosti nebo provádění destruktivních akcí. Jeho název pochází z myšlenky, že rootkit vám po instalaci umožňuje snadný přístup jako uživatel root.

Jeho činnost se zaměřuje na skutečnost, že soubory systémových programů jsou nahrazeny pozměněnými verzemi za účelem provádění konkrétních akcí. To znamená, že napodobují chování systému, ale skrývají ostatní akce a důkazy o existujícím vetřelci. Tyto upravené verze se nazývají trojské koně. Takže rootkit je v podstatě sada trojských koní.

Jak víme, v Linuxu viry nehrozí. Největším rizikem jsou zranitelnosti, které se objevují každý den ve vašich programech. Což může být zneužito pro vetřelce k instalaci rootkitu. V této souvislosti je důležité udržovat systém aktualizovaný v celém rozsahu a průběžně ověřovat jeho stav.

Některé ze souborů, které jsou obvykle oběťmi trojských koní, jsou mimo jiné přihlašovací jméno, telnet, su, ifconfig, netstat.

Stejně jako ty, které patří do seznamu /etc/inetd.conf.

Možná vás bude zajímat čtení: Tipy, jak v Linuxu zůstat bez malwaru

Druhy rootkitů

Můžeme je klasifikovat podle technologie, kterou používají. V souladu s tím máme tři hlavní typy.

• Binární soubory: Ty, které dokážou ovlivnit soubor kritických systémových souborů. Nahrazování určitých souborů jejich modifikovanými podobnými soubory. Core: Ty, které ovlivňují základní komponenty. Z knihoven: K udržení trojských koní využívají systémové knihovny.

Detekce rootkitů

Můžeme to udělat několika způsoby:

• Ověření legitimity souborů. To pomocí algoritmů používaných ke kontrole součtu. Tyto algoritmy jsou stylem kontrolního součtu MD5 , což znamená, že pro součet dvou souborů je nutné, aby oba soubory byly identické. Jako dobrý administrátor tedy musím svůj kontrolní systém uložit na externí zařízení. Tímto způsobem budu později schopen detekovat existenci rootkitů porovnáním těchto výsledků s výsledky určitého okamžiku, s některým měřicím nástrojem určeným pro tento účel. Například Tripwire . Jiným způsobem, který nám umožňuje detekovat existenci rootkitů, je provádět skenování portů z jiných počítačů, abychom ověřili, zda existují zadní dveře, které naslouchají na portech, které nejsou obvykle používány. Existují také specializované démony, jako je rkdet pro detekovat pokusy o instalaci a v některých případech dokonce zabránit tomu, aby se to stalo, a informovat správce.Jiným nástrojem je typ shellového skriptu, jako je Chkrootkit , který je zodpovědný za ověření existence binárních souborů v systému, modifikovaných rootkity.

DOPORUČUJEME Nejlepší alternativy k programu Microsoft Paint v systému Linux

Řekněte nám, zda jste se stali obětí útoku s rootkity, nebo jaké jsou vaše praktiky, jak tomu zabránit?

Kontaktujte nás pro jakékoli dotazy. A samozřejmě přejděte do sekce Výukové programy nebo do naší kategorie Linux, kde najdete spoustu užitečných informací, jak z našeho systému vytěžit maximum.