Šaknies rinkiniai: kas jie yra ir kaip juos aptikti Linux

Tikėtina, kad įsibrovėlis gali patekti į jūsų sistemą, pirmiausia jie įdiegs keletą „rootkit“ rinkinių. Tokiu būdu nuo to momento įgysite sistemos kontrolę. Šios paminėtos priemonės kelia didelę riziką. Todėl be galo svarbu žinoti, kas jie yra, jų veikimas ir kaip juos aptikti.

Pirmą kartą jie pastebėjo 90-ąjį dešimtmetį, „SUN Unix“ operacinėje sistemoje. Pirmiausia administratoriai pastebėjo keistą elgesį serveryje. Per didelis CPU, vietos standžiajame diske trūkumas ir nenustatyti tinklo ryšiai per komandą „ netstat“ .

ŠAKNYS: kas jie yra ir kaip juos aptikti „Linux“

Kas yra „Rootkit“?

Tai yra įrankiai, kurių pagrindinis tikslas yra paslėpti save ir paslėpti bet kurią kitą instanciją, kuri atskleidžia įkyrų buvimą sistemoje. Pavyzdžiui, bet kokie procesų, programų, katalogų ar failų pakeitimai. Tai leidžia įsibrovėliams patekti į sistemą nuotoliniu būdu ir nepastebimai, daugeliu atvejų kenkėjiškais tikslais, tokiais kaip svarbios informacijos išgavimas ar destruktyvių veiksmų atlikimas. Jo pavadinimas kilęs iš idėjos, kad „rootkit“ suteikia galimybę lengvai prieiti prie jo kaip pagrindiniam vartotojui įdiegus.

Jos veikimas sutelktas į tai, kad sistemos programų failai būtų pakeisti pakeistomis versijomis, kad būtų galima atlikti konkrečius veiksmus. Tai yra, jie imituoja sistemos elgesį, tačiau kitus veiksmus ir esamo įsibrovėlio įrodymus laiko paslėptus. Šios modifikuotos versijos vadinamos Trojos arklys. Taigi iš esmės „rootkit“ yra Trojos arklys.

Kaip mes žinome, „Linux“ virusai nėra pavojus. Didžiausia rizika yra pažeidžiamumai, kurie kiekvieną dieną atrandami jūsų programose. Kuris gali būti panaudotas įsibrovėliams, norint įdiegti „rootkit“. Čia svarbu nuolat atnaujinti visą sistemą, nuolat tikrinti jos būklę.

Kai kurie failai, dažniausiai nukentėję nuo Trojos arklys, yra prisijungimas, telnet, su, ifconfig, netstat, find, be kita ko.

Taip pat tie, kurie priklauso /etc/inetd.conf sąrašui.

Galbūt jus domina skaitymas: Patarimai, kaip „Linux“ apsaugoti nuo kenkėjiškų programų

Šaknies rinkinių tipai

Mes galime juos klasifikuoti pagal jų naudojamą technologiją. Atitinkamai, mes turime tris pagrindinius tipus.

• Dvejetainiai failai : tie, kurie sugeba paveikti kritinių sistemos failų rinkinį. Tam tikrų failų pakeitimas pakeistais panašiais. Core: Tos, kurios veikia pagrindinius komponentus. Iš bibliotekų: Trojanų laikymui jie naudoja sistemos bibliotekas.

Rootkitų aptikimas

Tai galime padaryti keliais būdais:

• Bylų teisėtumo patikrinimas. Tai naudojant algoritmus, naudojamus sumai patikrinti. Šie algoritmai yra MD5 kontrolinės sumos stiliaus, kuris rodo, kad norint, kad dviejų failų suma būtų lygi, būtina, kad abu failai būtų vienodi. Taigi, kaip geras administratorius, savo sistemos kontrolinę sumą turiu laikyti išoriniame įrenginyje. Tokiu būdu vėliau galėsiu nustatyti „rootkit“ egzistavimą palygindamas tuos rezultatus su tam tikro momento rezultatais ir naudodamas tam skirtą matavimo įrankį. Pavyzdžiui, „ Tripwire“ . Kitas būdas, leidžiantis nustatyti „rootkit“ egzistavimą, yra atlikti uostų nuskaitymą iš kitų kompiuterių, siekiant patikrinti, ar uostuose, kurie paprastai nenaudojami, yra galinių durų, kurios klausosi. Taip pat yra specializuotų demonų, tokių kaip „ rkdet “ aptikti diegimo bandymus ir kai kuriais atvejais net užkirsti kelią tokiam įvykiui ir pranešti administratoriui. Kitas įrankis yra apvalkalo scenarijaus tipas, pavyzdžiui, „ Chkrootkit“ , atsakingas už dvejetainių failų buvimo sistemos tikrinimą, modifikuotus „rootkit“.

REKOMENDUOJAME JUMS Geriausias „Microsoft Paint“ alternatyvas „Linux“

Papasakokite, ar nukentėjote nuo „rootkit“ užpuolimo, ar kaip jūs to išvengiate?

Jei turite klausimų, susisiekite su mumis. Ir, žinoma, eikite į mūsų mokymo skyrių arba „ Linux“ kategoriją, kur rasite daug naudingos informacijos, kad maksimaliai išnaudotumėte mūsų sistemos galimybes.