RootKit

Sådan installeres Chkrootkit

Sådan installeres Chkrootkit
Denne vejledning fokuserer på rootkits og hvordan man finder dem ved hjælp af chkrootkit. Rootkits er værktøjer designet til at give adgang eller privilegier, mens de skjuler deres egen tilstedeværelse, eller tilstedeværelsen af ​​en ekstra software, der giver adgang, "rootkit" -begrebet fokuserer på skjulingsaspekt. For at opnå skjult en skadelig software rootkit formår at integrere i målets kerne, software eller i værste fald inden for hardware firmware.

Når det registreres tilstedeværelsen af ​​et rootkit, skal offeret normalt geninstallere OS og ny hardware, analysere filer, der skal overføres til udskiftningen, og i værste fald er det nødvendigt med udskiftning af hardware.Det er vigtigt at fremhæve muligheden for falske positive, dette er hovedproblemet med chkrootkit. Derfor, når en trussel opdages, er anbefalingen at køre yderligere alternativer, inden der træffes foranstaltninger, denne tutorial vil også kort undersøge rkhunter som et alternativ. Det er også vigtigt at sige, at denne tutorial er optimeret til Debian og baserede Linux-distributionsbrugere, den eneste begrænsning for andre distributionsbrugere er installationsdelen, brugen af ​​chkrootkit er den samme for alle distroer.

Da rootkits har en række forskellige måder at nå sine mål på, der skjuler ondsindet software, tilbyder Chkrootkit en række forskellige værktøjer, der har råd til disse måder. Chkrootkit er en værktøjssuite, der inkluderer det vigtigste chkrootkit-program og yderligere biblioteker, der er anført nedenfor:

chkrootkit: Hovedprogram, der kontrollerer operativsystembinarer for rootkit-ændringer for at finde ud af, om koden blev forfalsket.

ifpromisc.c: kontrollerer, om grænsefladen er i promiskuøs tilstand. Hvis en netværksgrænseflade er i promiskuøs tilstand, kan den bruges af en hacker eller ondsindet software til at fange netværkstrafikken til senere at analysere den.

chklastlog.c: kontrollerer for sletning af lastlog. Lastlog er en kommando, der viser oplysninger om sidste login. En angriber eller rootkit kan ændre filen for at undgå detektion, hvis sysadmin kontrollerer denne kommando for at lære oplysninger om logins.

chkwtmp.c: kontrollerer for wtmp-sletninger. På samme måde kontrollerer chkwtmp til det forrige script filen wtmp, som indeholder oplysninger om brugernes logins for at forsøge at opdage ændringer på den, hvis et rootkit ændrede posterne for at forhindre påvisning af indtrængen.

check_wtmpx.c: Dette script er det samme som ovenstående, men Solaris-systemer.
chkproc.c: kontrollerer tegn på trojanske heste inden for LKM (Loadable Kernel Modules).
chkdirs.c: har den samme funktion som ovenfor, kontrollerer for trojanske heste i kernemoduler.
strenge.c: hurtig og snavset udskiftning af strenge, der sigter mod at skjule rodkitets natur.
chkutmp.c: dette svarer til chkwtmp, men kontrollerer i stedet utmp-filen.

Alle ovennævnte scripter udføres, når vi kører chkrootkit.

For at begynde at installere chkrootkit på Debian og baserede Linux-distributionskør:

# apt install chkrootkit -y

Når den er installeret til at køre, skal den udføres:

# sudo chkrootkit

Under processen kan du se alle scripts, der integrerer chkrootkit, udføres ved at gøre hver sin del.

Du kan få en mere behagelig visning ved at rulle tilføje rør og mindre:

# sudo chkrootkit | mindre

Du kan også eksportere resultaterne til en fil ved hjælp af følgende syntaks:

# sudo chkrootkit> resultater

Så for at se outputtypen:

# færre resultater

Bemærk: du kan erstatte “resultater” for ethvert navn, du vil give outputfilen.

Som standard skal du køre chkrootkit manuelt som forklaret ovenfor, men alligevel kan du definere daglige automatiske scanninger ved at redigere chkrootkit-konfigurationsfil placeret på / etc / chkrootkit.conf, prøv det ved hjælp af nano eller en hvilken som helst teksteditor, du kan lide:

# nano / etc / chkrootkit.konf

For at opnå daglig automatisk scanning af den første linje, der indeholder RUN_DAILY = ”falsk” skal redigeres til RUN_DAILY = ”sand”

Sådan skal det se ud:

Trykke CTRL+x og Y for at gemme og afslutte.

Rootkit Hunter, et alternativ til chkrootkit:

En anden mulighed for at chkrootkit er RootKit Hunter, det er også et supplement overvejer, om du fandt rootkits ved hjælp af et af dem, brug af alternativet er obligatorisk for at kassere falske positive.

Til at begynde med RootKitHunter skal du installere det ved at køre:

# apt install rkhunter -y

Når du er installeret, skal du køre en test udføre følgende kommando:

# rkhunter - tjek

Som du kan se, ligesom chkrootkit, er det første trin i RkHunter at analysere systembinarierne, men også biblioteker og strenge:

Som du vil se, i modsætning til chkrootkit vil RkHunter bede dig om at trykke på ENTER for at fortsætte med de næste trin, før RootKit Hunter kontrollerede systembinarierne og bibliotekerne, nu går det efter kendte rootkits:

Tryk på ENTER for at lade RkHunter fortsætte med rootkits-søgning:

Ligesom chkrootkit vil det derefter kontrollere dine netværksgrænseflader og også porte, der er kendt for at blive brugt af bagdøre eller trojanske heste:

Endelig vil den udskrive et resumé af resultaterne.

Du kan altid få adgang til resultater, der er gemt på / var / log / rkhunter.log:

Hvis du har mistanke om, at din enhed kan være inficeret af et rootkit eller kompromitteret, kan du følge de anvisninger, der er anført på https: // linuxhint.com / detect_linux_system_hacked /.

Jeg håber, du fandt denne vejledning om, hvordan du installerer, konfigurerer og bruger chkrootkit nyttigt. Fortsæt med at følge LinuxHint for flere tip og opdateringer om Linux og netværk.

Bedste apps til Gamepad Mapping til Linux
Hvis du kan lide at spille spil på Linux med en gamepad i stedet for et typisk tastatur- og musesystem, er der nogle nyttige apps til dig. Mange pc-sp...
Nyttige værktøjer til Linux-spillere
Hvis du kan lide at spille spil på Linux, er chancerne for, at du måske har brugt apps og hjælpeprogrammer som Wine, Lutris og OBS Studio for at forbe...
HD Remastered-spil til Linux, der aldrig tidligere havde haft en Linux-udgivelse
Mange spiludviklere og udgivere kommer med HD-remaster af gamle spil for at forlænge franchisens levetid. Venligst fans, der anmoder om kompatibilitet...