Rootkits: ce sunt și cum să le detecteze în linux

Este posibil ca un intrus să se strecoare în sistemul dvs., primul lucru pe care îl vor face este să instaleze o serie de rootkits. Prin aceasta veți obține controlul asupra sistemului din acel moment. Aceste instrumente menționate reprezintă un risc mare. Prin urmare, este extrem de necesar să știm despre ce este vorba, funcționarea lor și cum să le detectăm.

Prima dată când au observat existența sa a fost în anii 90, în sistemul de operare SUN Unix. Primul lucru pe care administratorii l-au observat a fost un comportament ciudat pe server. CPU suprautilizat, lipsă de spațiu pe hard disk și conexiuni de rețea neidentificate prin comanda netstat .

ROOTKITS: Ce sunt ele și cum să le detecteze în Linux

Ce sunt Rootkits?

Sunt instrumente, al căror obiectiv principal este să se ascundă și să ascundă orice altă instanță care dezvăluie prezența intruzivă în sistem. De exemplu, orice modificare în procese, programe, directoare sau fișiere. Acest lucru permite intrusului să intre în sistem la distanță și imperceptibil, în majoritatea cazurilor în scopuri rău intenționate, cum ar fi extragerea informațiilor de mare importanță sau executarea acțiunilor distructive. Numele său vine de la ideea că un rootkit vă permite să îl accesați cu ușurință ca utilizator root, după instalarea sa.

Funcționarea sa se concentrează pe faptul că înlocuiește fișierele de program de sistem cu versiuni modificate, pentru a executa acțiuni specifice. Adică mimează comportamentul sistemului, dar păstrează ascunse alte acțiuni și dovezi ale intrusului existent. Aceste versiuni modificate se numesc troieni. Deci, practic, un rootkit este un set de troieni.

După cum știm, în Linux, virusurile nu reprezintă un pericol. Cel mai mare risc este vulnerabilitățile descoperite zi de zi în programele tale. Care poate fi exploatat pentru ca un intrus să instaleze un rootkit. Aici se află importanța actualizării sistemului în întregime, verificându-și continuu starea.

Unele dintre fișierele care sunt de obicei victime ale troienilor sunt login, telnet, su, ifconfig, netstat, find, printre altele.

De asemenea, cei aparținând listei /etc/inetd.conf.

Ați putea fi interesat să citiți: Sfaturi pentru a rămâne fără malware pe Linux

Tipuri de rootkits

Le putem clasifica în funcție de tehnologia pe care o folosesc. În consecință, avem trei tipuri principale.

• Binare: Cele care reușesc să afecteze un set de fișiere de sistem critice. Înlocuirea anumitor fișiere cu modificările lor similare. Nucleu: Cele care afectează componentele de bază. Din biblioteci: folosesc bibliotecile de sistem pentru a reține troienii.

Detectarea rootkit-urilor

Putem face acest lucru în mai multe moduri:

• Verificarea legitimității dosarelor. Aceasta prin algoritmi utilizați pentru verificarea sumei. Acești algoritmi au un stil de control MD5 , care indică faptul că suma a două fișiere este egală, este necesar ca ambele fișiere să fie identice. Deci, ca un bun administrator, trebuie să stochez sistemul meu de control pe un dispozitiv extern. În acest fel, mai târziu voi putea detecta existența rootkit-urilor printr-o comparație a acestor rezultate cu cele ale unui anumit moment, cu un instrument de măsurare conceput în acest scop. De exemplu, Tripwire.Un alt mod care ne permite să detectăm existența rootkit-urilor este să efectuăm scanări de porturi de pe alte computere, pentru a verifica dacă există fundaluri ascultate pe porturi care nu sunt în mod normal utilizate. Există, de asemenea, demoni specializați, cum ar fi rkdet pentru detectează încercările de instalare și, în unele cazuri, chiar împiedică-l să se întâmple și anunțe administratorul.Un alt instrument este tipul script-ului shell, cum ar fi Chkrootkit , care este responsabil pentru verificarea existenței binarelor în sistem, modificate prin rootkits.

VĂ RECOMANDĂM Cele mai bune alternative la Microsoft Paint pe Linux

Spuneți-ne dacă ați fost victima unui atac cu rootkits sau care sunt practicile dvs. pentru a evita acest lucru?

Contactați-ne pentru orice întrebări. Și, bineînțeles, accesați secțiunea Tutoriale sau categoria noastră Linux, unde veți găsi o mulțime de informații utile pentru a beneficia la maxim de sistemul nostru.