Rootkit'ler: Ne oldukları ve Linux'ta nasıl tespit edileceği

Bir davetsiz misafirin sisteminize gizlice girmesi muhtemeldir, yapacakları ilk şey bir dizi rootkit kurmaktır. Bununla o andan itibaren sistemin kontrolünü kazanacaksınız. Bahsedilen bu araçlar büyük bir risk oluşturmaktadır. Bu nedenle, ne hakkında olduklarını, operasyonlarını ve nasıl tespit edileceğini bilmek son derece gereklidir.

Varlığını ilk kez 90'larda, SUN Unix işletim sisteminde fark ettiler. Yöneticilerin fark ettiği ilk şey, sunucudaki garip davranışlardı. Netstat komutu ile aşırı CPU, sabit disk alanı yetersizliği ve tanımlanamayan ağ bağlantıları.

ROOTKİTLER: Linux'ta bunlar nedir ve nasıl tespit edilir?

Rootkit'ler nedir?

Ana amacı kendilerini gizlemek ve sistemdeki müdahaleci varlığı ortaya çıkaran diğer herhangi bir örneği gizlemek olan araçlardır. Örneğin, işlemlerde, programlarda, dizinlerde veya dosyalarda yapılan herhangi bir değişiklik. Bu , saldırganın, büyük önem taşıyan bilgileri çıkarmak veya yıkıcı eylemleri yürütmek gibi kötü amaçlı amaçlarla sisteme uzaktan ve algılanamaz bir şekilde girmesini sağlar. Adı, rootkit'in kurulumundan sonra root kullanıcısı olarak kolayca erişmenize izin verdiği fikrinden gelir.

İşlemi, belirli eylemleri yürütmek için sistem program dosyalarını değiştirilmiş sürümlerle değiştirmeye odaklanır. Yani, sistemin davranışını taklit ederler, ancak mevcut saldırganın diğer eylemlerini ve kanıtlarını gizli tutarlar. Bu değiştirilmiş sürümlere Truva atları denir. Temel olarak, bir rootkit bir takım Truva atlarıdır.

Bildiğimiz gibi, Linux'ta virüsler bir tehlike değildir. En büyük risk, programlarınızda her gün keşfedilen güvenlik açıklarıdır. Bir davetsiz misafir için bir rootkit kurmak için kullanılabilir. Burada sistemi bütünüyle güncel tutmanın ve durumunu sürekli doğrulamanın önemi yatmaktadır.

Truva atlarının kurbanı olan dosyalardan bazıları login, telnet, su, ifconfig, netstat, find, dosyalarıdır.

Ayrıca, /etc/inetd.conf listesine ait olanlar.

Okumak ilginizi çekebilir: Linux'ta kötü amaçlı yazılımlardan uzak durmaya yönelik ipuçları

Rootkit türleri

Bunları kullandıkları teknolojiye göre sınıflandırabiliriz. Buna göre üç ana tipimiz var.

• İkili dosyalar: Bir dizi kritik sistem dosyasını etkilemeyi başaranlar. Bazı dosyaların değiştirilmiş benzerleri ile değiştirilmesi. Çekirdek: Çekirdek bileşenleri etkileyenler. Kütüphanelerden: Truva atlarını korumak için sistem kütüphanelerinden yararlanırlar.

Kök Takımlarını Tespit Etme

Bunu birkaç şekilde yapabiliriz:

• Dosyaların meşruiyetinin doğrulanması. Bu, toplamı kontrol etmek için kullanılan algoritmalar aracılığıyla. Bu algoritmalar, iki dosyanın toplamının eşit olması için her iki dosyanın da aynı olması gerektiğini gösteren MD5 sağlama toplamı stilidir. Bu nedenle, iyi bir yönetici olarak sistem sağlama toplamımı harici bir cihazda saklamalıyım. Bu şekilde, daha sonra, bu sonuçların belirli bir anın sonuçlarıyla karşılaştırılması yoluyla rootkit'lerin varlığını tespit edebileceğim, bu amaçla tasarlanmış bazı ölçüm araçlarıyla. Örneğin, Tripwire : Kök setlerinin varlığını tespit etmemizi sağlayan başka bir yol da, normalde kullanılmayan bağlantı noktalarını dinleyen arka kapılar olup olmadığını doğrulamak için diğer bilgisayarlardan bağlantı noktası taramaları gerçekleştirmektir. yükleme denemelerini algılayabilir ve hatta bazı durumlarda olmasını engeller ve yöneticiye bildirir.Başka bir araç , rootkit'ler tarafından değiştirilen sistemdeki ikili dosyaların varlığını doğrulamaktan sorumlu olan Chkrootkit gibi kabuk komut dosyası türüdür.

SİZE TAVSİYE EDİYOR Linux'ta Microsoft Paint için en iyi alternatifler

Bize rootkit'lerle yapılan bir saldırının kurbanı olup olmadığını veya bundan kaçınmak için uygulaman neler olduğunu söyle.

Sorularınız için bize ulaşın. Ve elbette, sistemimizden en iyi şekilde yararlanmak için birçok yararlı bilgi bulabileceğiniz Öğreticiler bölümüne veya Linux kategorimize gidin.