Phenquestions
Zvyčajne, keď sa zistí prítomnosť rootkitu, musí obeť preinštalovať operačný systém a nový hardvér, analyzovať súbory, ktoré sa majú preniesť na náhradu, a v najhoršom prípade bude potrebná výmena hardvéru.Je dôležité zdôrazniť možnosť falošných pozitívov, toto je hlavný problém programu chkrootkit, preto keď sa zistí hrozba, odporúča sa pred prijatím opatrení spustiť ďalšie alternatívy, v tomto návode sa tiež stručne preskúma rkhunter ako alternatíva. Je tiež dôležité povedať, že tento tutoriál je optimalizovaný pre používateľov distribúcií Linuxu a Debianu. Jediným obmedzením pre ostatných používateľov distribúcií je inštalačná časť, použitie chkrootkit je pre všetky distribúcie rovnaké.
Pretože rootkity majú rôzne spôsoby, ako dosiahnuť svoje ciele skrývaním škodlivého softvéru, ponúka Chkrootkit rôzne nástroje, ktoré si tieto spôsoby môžu dovoliť. Chkrootkit je sada nástrojov, ktorá obsahuje hlavný program chkrootkit a ďalšie knižnice, ktoré sú uvedené nižšie:
chkrootkit: Hlavný program, ktorý kontroluje modifikácie rootkitov v binárnych súboroch operačného systému, aby zistil, či nebol kód falšovaný.
ifpromisc.c: skontroluje, či je rozhranie v promiskuitnom režime. Ak je sieťové rozhranie v promiskuitnom režime, môže ho útočník alebo škodlivý softvér použiť na zachytenie sieťového prenosu a jeho neskoršiu analýzu.
chklastlog.c: skontroluje vymazanie posledného záznamu. Lastlog je príkaz, ktorý zobrazuje informácie o posledných prihláseniach. Útočník alebo rootkit môže upraviť súbor tak, aby sa vyhýbal detekcii, ak sysadmin skontroluje tento príkaz a zistí informácie o prihláseniach.
chkwtmp.c: skontroluje vymazanie súboru wtmp. Podobne ako v predchádzajúcom skripte, chkwtmp skontroluje súbor wtmp, ktorý obsahuje informácie o prihlásení používateľov, aby sa pokúsil zistiť jeho zmeny v prípade, že rootkit upravil položky, aby zabránil detekcii prienikov.
check_wtmpx.c: Tento skript je rovnaký ako vyššie uvedený, ale so systémami Solaris.
chkproc.c: kontroluje prítomnosť trójskych koní v rámci LKM (Loadable Kernel Modules).
chkdirs.c: má rovnakú funkciu ako vyššie, kontroluje trójske kone v rámci modulov jadra.
struny.c: rýchla a špinavá výmena strún, ktorej cieľom je skryť podstatu rootkitu.
chkutmp.c: toto je podobné ako chkwtmp, ale skontroluje namiesto toho súbor utmp.
Všetky vyššie uvedené skripty sa vykonajú pri spustení chkrootkit.
Ak chcete začať inštalovať chkrootkit na Debiane a na spustených distribúciách Linuxu, postupujte takto:
# apt nainštalovať chkrootkit -y
Po nainštalovaní spustite spustenie:
# sudo chkrootkit
Počas procesu môžete vidieť, že všetky skripty integrujúce chkrootkit sú vykonávané s každou jeho časťou.
Pohodlnejším zobrazením získate rolovaním pridaním potrubia a menej:
# sudo chkrootkit | menej
Výsledky môžete tiež exportovať do súboru pomocou nasledujúcej syntaxe:
# sudo chkrootkit> výsledky
Potom uvidíte typ výstupu:
# menej výsledkov
Poznámka: „výsledky“ môžete nahradiť ľubovoľným menom, ktoré chcete označiť ako výstupný súbor.
Podľa predvoleného nastavenia musíte chkrootkit spustiť manuálne, ako je vysvetlené vyššie, denné automatické kontroly však môžete definovať úpravou konfiguračného súboru chkrootkit umiestneného na / etc / chkrootkit.conf, skúste to pomocou nano alebo iného textového editora, ktorý sa vám páči:
# nano / etc / chkrootkit.konf
Na dosiahnutie denného automatického prehľadávania obsahuje prvý riadok RUN_DAILY = ”false” by malo byť upravené na RUN_DAILY = ”true”
Takto by to malo vyzerať:
Stlačte CTRL+X a Y uložiť a ukončiť.
Rootkit Hunter, alternatíva k chkrootkit:
Ďalšou možnosťou chkrootkit je RootKit Hunter, je to tiež doplnok vzhľadom na to, že ak ste našli rootkity pomocou jedného z nich, použitie alternatívy je povinné na vyradenie falošných poplachov.
Ak chcete začať s programom RootKitHunter, nainštalujte ho spustením:
# apt nainštalovať rkhunter -y
Po nainštalovaní spustíte test nasledujúcim príkazom:
# rkhunter - skontrolovaťAko vidíte, prvým krokom programu RkHunter je podobne ako chkrootkit analýza systémových binárnych súborov, ale aj knižníc a reťazcov:
Ako uvidíte, na rozdiel od chkrootkit vás RkHunter požiada o stlačenie klávesu ENTER, aby ste mohli pokračovať v ďalších krokoch, predtým RootKit Hunter skontroloval binárne súbory a knižnice systému, teraz pôjde o známe rootkity:
Stlačením klávesu ENTER umožníte RkHunteru pokračovať v hľadaní rootkitov:
Potom podobne ako chkrootkit skontroluje vaše sieťové rozhrania a tiež porty známe tým, že ich používajú backdoory alebo trójske kone:
Nakoniec vytlačí súhrn výsledkov.
K výsledkom uloženým na adrese máte kedykoľvek prístup / var / log / rkhunter.log:
Ak máte podozrenie, že vaše zariadenie môže byť infikované rootkitom alebo ohrozené, môžete postupovať podľa odporúčaní uvedených na https: // linuxhint.com / detect_linux_system_hacked /.
Dúfam, že vám tento návod na tému Ako nainštalovať, nakonfigurovať a používať chkrootkit bol užitočný. Postupujte podľa pokynov pre systém LinuxHint, kde nájdete ďalšie tipy a aktualizácie pre systém Linux a prácu v sieti.
