Руткиты: что это такое и как их обнаружить в linux

Вероятно, что злоумышленник может проникнуть в вашу систему, первое, что он сделает, это установит серию руткитов. С этим вы получите контроль над системой с этого момента. Эти упомянутые инструменты представляют большой риск. Поэтому крайне необходимо знать, о чем они, как они работают и как их обнаружить.

Впервые они заметили его существование в 90-х годах в операционной системе SUN Unix. Первое, что заметили администраторы, это странное поведение на сервере. Чрезмерно загруженный процессор, нехватка места на жестком диске и неопознанные сетевые подключения с помощью команды netstat .

ROOTKITS: что это такое и как их обнаружить в Linux

Что такое руткиты?

Это инструменты, главная цель которых - скрыть себя и скрыть любой другой случай, который обнаруживает навязчивое присутствие в системе. Например, любые изменения в процессах, программах, каталогах или файлах. Это позволяет злоумышленнику входить в систему удаленно и незаметно, в большинстве случаев в злонамеренных целях, таких как извлечение важной информации или выполнение деструктивных действий. Его название происходит от идеи, что руткит позволяет вам легко получить к нему доступ как пользователь root после его установки.

Его работа сосредоточена на факте замены файлов системных программ измененными версиями для выполнения определенных действий. То есть они имитируют поведение системы, но скрывают другие действия и свидетельства существующего злоумышленника. Эти модифицированные версии называются троянами. Таким образом, руткит - это набор троянов.

Как известно, в Linux вирусы не представляют опасности. Наибольший риск представляют уязвимости, которые ежедневно обнаруживаются в ваших программах. Который может быть использован злоумышленником для установки руткита. В этом заключается важность постоянного обновления системы в целом, постоянной проверки ее статуса.

Некоторые из файлов, которые обычно являются жертвами троянских программ, это, среди прочего, login, telnet, su, ifconfig, netstat, find.

А также те, которые принадлежат списку /etc/inetd.conf.

Вы можете быть заинтересованы в чтении: Советы, как избежать вредоносных программ в Linux

Типы руткитов

Мы можем классифицировать их в соответствии с технологией, которую они используют. Соответственно, у нас есть три основных типа.

• Двоичные файлы: те, которые могут влиять на набор критических системных файлов. Замена определенных файлов их модифицированными аналогами. Ядро: те, которые влияют на основные компоненты. Из библиотек: они используют системные библиотеки для сохранения троянов.

Обнаружение руткитов

Мы можем сделать это несколькими способами:

• Проверка легитимности файлов. Это с помощью алгоритмов, используемых для проверки суммы. Эти алгоритмы имеют стиль контрольной суммы MD5 , который указывает, что для того, чтобы сумма двух файлов была одинаковой, необходимо, чтобы оба файла были идентичными. Поэтому, как хороший администратор, я должен хранить контрольную сумму своей системы на внешнем устройстве. Таким образом, позже я смогу обнаружить наличие руткитов путем сравнения этих результатов с результатами определенного момента, с помощью некоторого инструмента измерения, разработанного для этой цели. Например, Tripwire . Еще один способ, позволяющий обнаружить наличие руткитов, - выполнить сканирование портов с других компьютеров, чтобы проверить, есть ли задние двери , которые прослушивают порты, которые обычно не используются. Существуют также специализированные демоны, такие как rkdet для обнаруживать попытки установки, а в некоторых случаях даже предотвращать ее и уведомлять администратора.Другим инструментом является тип сценария оболочки, такой как Chkrootkit , который отвечает за проверку существования двоичных файлов в системе, измененных руткитами.

МЫ РЕКОМЕНДУЕМ ВАМ Лучшие альтернативы Microsoft Paint на Linux

Сообщите нам, если вы стали жертвой атаки с использованием руткитов или как вы ее избегаете?

Свяжитесь с нами по любым вопросам. И, конечно же, перейдите в раздел « Учебники » или в категорию « Linux », где вы найдете много полезной информации, чтобы максимально эффективно использовать нашу систему.