Рооткитс: шта су и како их открити у линуку

Вероватно ће уљез проникнути у ваш систем, прво што ће учинити је инсталирати низ рооткита. Овим ћете стећи контролу над системом од тог тренутка. Наведени алати представљају велики ризик. Стога је изузетно потребно знати о чему се ради, њиховом раду и како их детектовати.

Први пут су приметили његово постојање 90-их година и то у оперативном систему СУН Уник. Прво што су администратори приметили било је чудно понашање на серверу. Прекомерна употреба ЦПУ-а, недостатак простора на чврстом диску и неидентификоване мрежне везе путем Нетстат команде.

ПРИЈЕНОСИ: Шта су они и како их открити у Линуку

Шта су коријени?

Они су алати, чији је главни циљ сакрити се и сакрити било коју другу инстанцу која открива наметљиво присуство у систему. На пример, било какве промене у процесима, програмима, директоријама или датотекама. То омогућава уљезу да уђе у систем на даљину и неприметно, у већини случајева у злонамерне сврхе као што су вађење информација од великог значаја или извршавање деструктивних радњи. Његово име потиче од идеје да рооткиту омогућава лако приступање њему као кориснику роот-а, након његове инсталације.

Његов рад је фокусиран на чињеницу да се системске програмске датотеке замењују измењеним верзијама, како би се извршиле одређене радње. Односно, они опонашају понашање система, али остале радње и доказе о постојећем уљезу скривају. Ове модификоване верзије се називају Тројанци. У основи, рооткит је скуп Тројанаца.

Као што знамо, у Линуку вируси не представљају опасност. Највећи ризик су рањивости које се из дана у дан откривају у вашим програмима. Што се може искористити за уљезе да инсталирају рооткит. У томе лежи важност ажурирања система у целости и непрекидно проверавајући његов статус.

Неке датотеке које су обично жртве Тројанаца су логин, телнет, су, ифцонфиг, нетстат, финд, између осталих.

Као и они који припадају /етц/инетд.цонф листи.

Можда ће вас занимати читање: Савети за задржавање злонамјерних софтвера на Линуку

Врсте рооткита

Можемо их класификовати према технологији коју користе. Према томе, имамо три главне врсте.

• Бинарни подаци: Они који успевају да утичу на скуп критичних системских датотека. Замена одређених датотека са њиховим модификованим сличним. Језгра: Они који утичу на основне компоненте. Из библиотека: Они користе системске библиотеке да задрже Тројане.

Откривање коријена

То можемо учинити на неколико начина:

• Провера легитимитета датотека. Ово путем алгоритама који се користе за проверу износа. Ови алгоритми су МД5 контролни зброј, који указују да је за зброј две датотеке једнак, да су обе датотеке идентичне. Као добар администратор морам да чувам контролни зброј система на спољном уређају. На тај начин касније ћу моћи да откријем постојање рооткита путем упоређивања тих резултата са резултатима одређеног тренутка, са неким средством за мерење дизајнираним за ту сврху. На пример, Трипвире . Други начин који нам омогућава да откријемо постојање рооткита је да извршимо скенирање портова са других рачунара, како бисмо проверили да ли постоје позадине које слушају на портовима који се обично не користе. Постоје и специјализовани демони, попут ркдет за открити покушаје инсталације, а у неким случајевима чак и спречити да се то догоди и обавестити администратора. Други алат је тип скрипте љуске, као што је Цхкрооткит , који је одговоран за верификацију постојања бинарних система у систему, модификованих рооткитима.

ПРЕПОРУЧУЈЕМО Вама најбоље алтернативе Мицрософт Паинт на Линуку

Реците нам да ли сте били жртва напада рооткитима или какве су вам праксе да то избегнете?

Контактирајте нас за сва питања. И наравно, идите на одељак Туториали или на нашу Линук категорију, где ћете наћи пуно корисних информација да извучете максимум из нашег система.