Kā instalēt Chkrootkit

Šajā apmācībā galvenā uzmanība tiek pievērsta rootkitiem un tam, kā tos atklāt, izmantojot chkrootkit. Rootkit ir rīki, kas paredzēti piekļuves vai privilēģiju piešķiršanai, slēpjot savu klātbūtni, vai papildu programmatūras klātbūtnei, kas piešķir piekļuvi, termins “rootkit” koncentrējas uz aspekta slēpšanu. Lai paslēptu ļaunprātīgas programmatūras rootkit, izdodas integrēties mērķa kodolā, programmatūrā vai sliktākajā gadījumā aparatūras programmaparatūrā.

Parasti, atklājot rootkit klātbūtni, upurim jāpārinstalē OS un jauna aparatūra, jāanalizē faili, kas jāpārsūta uz nomaiņu, un sliktākajā gadījumā aparatūra būs nepieciešama.Ir svarīgi izcelt viltus pozitīvu iespēju, tā ir galvenā chkrootkit problēma, tādēļ, kad tiek atklāti draudi, ieteicams pirms pasākumu veikšanas palaist papildu alternatīvas, šajā apmācībā īsumā tiks pētīta arī rkhunter kā alternatīva. Ir svarīgi arī teikt, ka šī apmācība ir optimizēta Debian un balstītu Linux izplatītāju lietotājiem, vienīgais ierobežojums citiem izplatīšanas lietotājiem ir instalēšanas daļa, chkrootkit izmantošana ir vienāda visiem apgabaliem.

Tā kā rootkitiem ir dažādi veidi, kā sasniegt savus mērķus, slēpjot ļaunprātīgu programmatūru, Chkrootkit piedāvā dažādus rīkus, lai atļautos šos veidus. Chkrootkit ir rīku komplekts, kas ietver galveno chkrootkit programmu un papildu bibliotēkas, kas ir uzskaitītas zemāk:

chkrootkit: Galvenā programma, kas pārbauda, ​​vai operētājsistēmas bināros failos nav modificētas rootkit modifikācijas, lai uzzinātu, vai kods ir viltots.

ja prom.c: pārbauda, ​​vai saskarne ir nederīgā režīmā. Ja tīkla saskarne ir neskaidrā režīmā, uzbrucējs vai ļaunprātīga programmatūra to var izmantot, lai uztvertu tīkla trafiku, lai vēlāk to analizētu.

chklastlog.c: pārbauda, ​​vai ir izdzēsti pēdējie žurnāli. Lastlog ir komanda, kas parāda informāciju par pēdējiem pieteikšanās gadījumiem. Uzbrucējs vai rootkit var modificēt failu, lai izvairītos no noteikšanas, ja sysadmin pārbauda šo komandu, lai uzzinātu informāciju par pieteikšanos.

chkwtmp.c: pārbauda wtmp dzēšanu. Līdzīgi kā iepriekšējā skriptā, chkwtmp pārbauda failu wtmp, kas satur informāciju par lietotāju pieteikšanās gadījumiem, lai mēģinātu atklāt tajā izmaiņas, ja rootkit modificētu ierakstus, lai novērstu ielaušanos.

check_wtmpx.c: Šis skripts ir tāds pats kā iepriekš minētais, bet Solaris sistēmas.
chkproc.c: pārbauda Trojas zirgu pazīmes LKM (ielādējamā kodola moduļi).
chkdirs.c: tai ir tāda pati funkcija kā iepriekš minētajai, kodola moduļos tiek pārbaudīti Trojas zirgi.
stīgas.c: ātra un netīra virkņu nomaiņa, kuras mērķis ir slēpt rootkit raksturu.
chkutmp.c: tas ir līdzīgs chkwtmp, bet tā vietā pārbauda utmp failu.

Visi iepriekš minētie skripti tiek izpildīti, kad mēs darbojamies chkrootkit.

Lai sāktu chkrootkit instalēšanu Debian un palaistos Linux izplatījumos:

# apt instalēt chkrootkit -y

Kad tas ir instalēts, lai palaistu, izpildiet:

# sudo chkrootkit

Procesa laikā jūs varat redzēt, kā tiek izpildīti visi skripti, kas integrē chkrootkit, darot katru daļu.

Jūs varat iegūt ērtāku skatu, ritinot, pievienojot cauruli un mazāk:

# sudo chkrootkit | mazāk

Rezultātus var eksportēt arī uz failu, izmantojot šādu sintaksi:

# sudo chkrootkit> rezultāti

Tad, lai redzētu izvades veidu:

# rezultāti mazāk

Piezīme: “rezultātus” var aizstāt jebkuram nosaukumam, kuram vēlaties piešķirt izvades failu.

Pēc noklusējuma chkrootkit ir jāpalaiž manuāli, kā paskaidrots iepriekš, tomēr jūs varat definēt ikdienas automātisko skenēšanu, rediģējot chkrootkit konfigurācijas failu, kas atrodas / etc / chkrootkit.conf, izmēģiniet to, izmantojot nano vai jebkuru jums patīkamu teksta redaktoru:

# nano / etc / chkrootkit.konf

Lai sasniegtu ikdienas automātisko skenēšanu, pirmajā rindā ir RUN_DAILY = ”nepatiesa” vajadzētu rediģēt RUN_DAILY = “patiess”

Šādi tam vajadzētu izskatīties:

Nospiediet CTRL+X un Jā lai saglabātu un izietu.

Rootkit Hunter, alternatīva chkrootkit:

Vēl viena chkrootkit iespēja ir RootKit Hunter, tas ir arī papildinājums, ņemot vērā, ja esat atradis rootkit, izmantojot vienu no tiem, alternatīvas izmantošana ir obligāta, lai izmestu nepatiesus pozitīvus.

Lai sāktu ar RootKitHunter, instalējiet to, palaižot:

# apt instalēt rkhunter -y

Kad tas ir instalēts, lai palaistu testu, izpildiet šādu komandu:

# rkhunter - pārbaudiet

Kā redzat, tāpat kā chkrootkit, RkHunter pirmais solis ir analizēt sistēmas bināros failus, bet arī bibliotēkas un virknes:

Kā redzēsit, pretēji chkrootkit RkHunter pieprasīs nospiest taustiņu ENTER, lai turpinātu nākamās darbības, iepriekš RootKit Hunter pārbaudīja sistēmas bināros failus un bibliotēkas, tagad tas notiks ar zināmiem rootkitiem:

Nospiediet ENTER, lai ļautu RkHunter turpināt meklēt rootkit:

Pēc tam, tāpat kā chkrootkit, tas pārbaudīs jūsu tīkla saskarnes un arī ostas, kuras pazīstamas kā aizmugures durvis vai Trojans:

Visbeidzot, tas izdrukās rezultātu kopsavilkumu.

Jūs vienmēr varat piekļūt rezultātiem, kas saglabāti vietnē / var / log / rkhunter.žurnāls:

Ja jums ir aizdomas, ka jūsu ierīci var inficēt rootkit vai tā ir apdraudēta, varat ievērot ieteikumus, kas uzskaitīti vietnē https: // linuxhint.com / detect_linux_system_hacked /.

Es ceru, ka šī apmācība par chkrootkit instalēšanu, konfigurēšanu un lietošanu jums ir noderīga. Turpiniet sekot LinuxHint, lai iegūtu vairāk padomu un atjauninājumu par Linux un tīklu.