Rootkit: chúng là gì và làm thế nào để phát hiện chúng trong linux

Có khả năng kẻ xâm nhập có thể lẻn vào hệ thống của bạn, điều đầu tiên họ sẽ làm là cài đặt một loạt các rootkit. Với điều này, bạn sẽ giành được quyền kiểm soát hệ thống từ thời điểm đó. Những công cụ được đề cập đại diện cho một rủi ro lớn. Do đó, điều cực kỳ cần thiết là phải biết những gì họ nói về, hoạt động của họ và làm thế nào để phát hiện ra chúng.

Lần đầu tiên họ nhận thấy sự tồn tại của nó là vào những năm 90, trong hệ điều hành SUN Unix. Điều đầu tiên các quản trị viên nhận thấy là hành vi lạ trên máy chủ. CPU bị lạm dụng, thiếu không gian đĩa cứng và các kết nối mạng không xác định thông qua lệnh netstat .

ROOTKITS: Chúng là gì và cách phát hiện chúng trong Linux

Rootkit là gì?

Chúng là các công cụ, với mục tiêu chính là che giấu bản thân và ẩn bất kỳ trường hợp nào khác cho thấy sự hiện diện xâm nhập trong hệ thống. Ví dụ, bất kỳ sửa đổi trong các quy trình, chương trình, thư mục hoặc tập tin. Điều này cho phép kẻ xâm nhập xâm nhập hệ thống từ xa và không thể nhận ra, trong hầu hết các trường hợp cho các mục đích xấu như trích xuất thông tin có tầm quan trọng lớn hoặc thực hiện các hành động phá hoại. Tên của nó xuất phát từ ý tưởng rằng một rootkit cho phép bạn truy cập nó dễ dàng như một người dùng root, sau khi cài đặt nó.

Hoạt động của nó tập trung vào thực tế thay thế các tệp chương trình hệ thống bằng các phiên bản đã thay đổi, để thực hiện các hành động cụ thể. Đó là, họ bắt chước hành vi của hệ thống, nhưng giữ kín các hành động và bằng chứng khác về kẻ xâm nhập hiện có. Những phiên bản sửa đổi này được gọi là Trojans. Về cơ bản, rootkit là một bộ Trojans.

Như chúng ta biết, trong Linux, virus không phải là mối nguy hiểm. Rủi ro lớn nhất là các lỗ hổng được phát hiện từng ngày trong các chương trình của bạn. Mà có thể được khai thác cho một kẻ xâm nhập để cài đặt rootkit. Ở đây có tầm quan trọng của việc giữ cho hệ thống được cập nhật toàn bộ, liên tục xác minh trạng thái của nó.

Một số tệp thường là nạn nhân của Trojans là đăng nhập, telnet, su, ifconfig, netstat, find, trong số những người khác.

Cũng như, những người thuộc danh sách /etc/inetd.conf.

Bạn có thể thích đọc: Mẹo để không có phần mềm độc hại trên Linux

Các loại rootkit

Chúng ta có thể phân loại chúng theo công nghệ họ sử dụng. Theo đó, chúng tôi có ba loại chính.

• Binaries: Những người quản lý để ảnh hưởng đến một tập hợp các tệp hệ thống quan trọng. Thay thế các tập tin nhất định với sửa đổi tương tự của họ. Core: Những người ảnh hưởng đến các thành phần cốt lõi. Từ thư viện: Họ sử dụng các thư viện hệ thống để giữ lại Trojan.

Phát hiện Rootkit

Chúng tôi có thể làm điều này theo nhiều cách:

• Xác minh tính hợp pháp của các tập tin. Điều này thông qua các thuật toán được sử dụng để kiểm tra tổng. Các thuật toán này là kiểu tổng kiểm tra MD5 , chỉ ra rằng để tổng hai tệp bằng nhau, cần phải có cả hai tệp giống nhau. Vì vậy, là một quản trị viên giỏi, tôi phải lưu trữ tổng kiểm tra hệ thống của mình trên một thiết bị bên ngoài. Bằng cách này, sau này tôi sẽ có thể phát hiện sự tồn tại của rootkit thông qua việc so sánh các kết quả đó với kết quả của một thời điểm nhất định, với một số công cụ đo lường được thiết kế cho mục đích đó. Ví dụ, Tripwire . Một cách khác cho phép chúng tôi phát hiện sự tồn tại của rootkit là thực hiện quét cổng từ các máy tính khác, để xác minh xem có các backtime nào đang nghe trên các cổng thường không được sử dụng hay không. phát hiện các nỗ lực cài đặt và trong một số trường hợp thậm chí ngăn nó xảy ra và thông báo cho quản trị viên. Một công cụ khác là loại tập lệnh shell, chẳng hạn như Chkrootkit , chịu trách nhiệm xác minh sự tồn tại của nhị phân trong hệ thống, được sửa đổi bởi rootkit.

CHÚNG TÔI ĐỀ NGHỊ BẠN Các lựa chọn thay thế tốt nhất cho Microsoft Paint trên Linux

Hãy cho chúng tôi biết nếu bạn là nạn nhân của một cuộc tấn công bằng rootkit, hoặc thực hành của bạn là gì để tránh nó?

Liên hệ với chúng tôi cho bất kỳ câu hỏi. Và tất nhiên, hãy đi tới phần Hướng dẫn hoặc danh mục Linux của chúng tôi, nơi bạn sẽ tìm thấy nhiều thông tin hữu ích để tận dụng tối đa hệ thống của chúng tôi.