Rootkits: vad de är och hur man upptäcker dem i Linux

Det är troligt att en inkräktare kan smyga in i ditt system, det första de kommer att göra är att installera en serie rootkits. Med detta kommer du att få kontroll över systemet från det ögonblicket. Dessa nämnda verktyg utgör en stor risk. Därför är det extremt nödvändigt att veta vad de handlar om, hur de fungerar och hur man upptäcker dem.

Första gången de märkte att det fanns på 90-talet, i operativsystemet SUN Unix. Det första administratörer märkte var konstigt beteende på servern. Överanvänd CPU, brist på hårddiskutrymme och oidentifierade nätverksanslutningar via netstat- kommandot.

ROOTKITS: Vad är de och hur upptäcker du dem i Linux

Vad är rootkits?

De är verktyg vars huvudmål är att gömma sig och dölja alla andra instanser som avslöjar den påträngande närvaron i systemet. Till exempel alla ändringar i processer, program, kataloger eller filer. Detta gör det möjligt för inkräktaren att komma in i systemet på distans och omöjligt sätt, i de flesta fall för skadliga syften som att extrahera information av stor vikt eller genomföra förstörande handlingar. Namnet kommer från idén att ett rootkit tillåter dig att få åtkomst till det enkelt som root-användare efter installationen.

Verksamheten fokuserar på att ersätta systemprogramfiler med ändrade versioner för att utföra specifika åtgärder. Det vill säga de efterliknar systemets beteende, men håller andra handlingar och bevis på den befintliga inkräktaren dolda. Dessa modifierade versioner kallas trojaner. Så i grund och botten är en rootkit en uppsättning trojaner.

Som vi vet är virus inte en fara i Linux. Den största risken är de sårbarheter som upptäcks dag för dag i dina program. Som kan utnyttjas för en inkräktare för att installera en rootkit. Här ligger vikten av att hålla systemet uppdaterat i sin helhet och kontinuerligt verifiera dess status.

Några av de filer som vanligtvis är offer för trojaner är inloggning, telnet, su, ifconfig, netstat, hitta bland andra.

Förutom de som tillhör listan /etc/inetd.conf.

Du kanske är intresserad av att läsa: Tips för att förbli malwares-fria på Linux

Typer av rootkits

Vi kan klassificera dem enligt den teknik de använder. Därför har vi tre huvudtyper.

• Binaries: De som lyckas påverka en uppsättning kritiska systemfiler. Ersätta vissa filer med deras modifierade liknande. Kärna: De som påverkar kärnkomponenterna. Från bibliotek: De använder systembibliotek för att behålla trojaner.

Upptäcker rootkits

Vi kan göra detta på flera sätt:

• Verifiering av filernas legitimitet. Detta genom algoritmer som används för att kontrollera summan. Dessa algoritmer är MD5-kontrollsumstil , vilket indikerar att för summan av två filer att vara lika, är det nödvändigt att båda filerna är identiska. Så som en bra administratör måste jag lagra mitt systemkontrollsumma på en extern enhet. På detta sätt kommer jag senare att kunna upptäcka förekomsten av rootkits genom en jämförelse av dessa resultat med resultaten från ett visst ögonblick, med ett mätverktyg som är utformat för det ändamålet. Exempelvis Tripwire . Ett annat sätt som gör det möjligt för oss att upptäcka förekomsten av rootkits är att utföra portskanningar från andra datorer för att verifiera om det finns bakdörrar som lyssnar på portar som normalt inte används. Det finns också specialiserade demoner som rkdet för upptäcka installationsförsök och i vissa fall till och med förhindra att det inträffar och meddela administratören. Ett annat verktyg är shell- skriptyp , t.ex. Chkrootkit , som ansvarar för att verifiera förekomsten av binära filer i systemet, ändrat av rootkits.

VI rekommenderar dig De bästa alternativen till Microsoft Paint på Linux

Berätta om du har blivit offer för en attack med rootkits, eller vad är dina metoder för att undvika det?

Kontakta oss för frågor. Och naturligtvis, gå till vårt avsnitt Tutorials eller vår Linux- kategori, där du hittar massor av användbar information för att få ut mesta möjliga av vårt system.