Jak znaleźć rootkits z rkhunter

Korzystamy z Internetu do komunikowania się, uczenia się, uczenia się, zakupu, sprzedaży i wielu innych działań. Ciągle łączymy nasze urządzenia z Internetem, aby udostępniać i zbierać informacje. Jednak w ten sposób wiąże się z jego korzyściami i niebezpieczeństwami.

Jednym z najbardziej znanych i zawsze obecnych niebezpieczeństw związanych z łączeniem się z Internetem jest system, w którym atakujący mogą korzystać z twoich urządzeń do kradzieży danych osobowych i innych poufnych informacji.

Chociaż istnieją różne metody, które ktoś może użyć do ataku na system, rootkits są popularnym wyborem wśród złośliwych hakerów. Istotą tego samouczka jest pomoc w zwiększeniu bezpieczeństwa urządzenia Linux za pomocą Huntera Rkhuntera lub Rootkit.

Zacznijmy.

Co to są rootkits?

Rootkits to potężne i złośliwe programy i wykonywalne zainstalowane w zagrożonym systemie, aby zachować dostęp, nawet jeśli system ma łatkę bezpieczeństwa.

Technicznie rootkits są jednymi z najbardziej niesamowitych złośliwych narzędzi używanych w drugim do ostatniego etapu etapu testowania penetracji (utrzymanie dostępu).

Gdy ktoś zainstaluje rootkit w systemie, daje on pilotowi dostęp do systemu lub sieci. W większości przypadków rootkits to coś więcej niż pojedynczy plik, który wykonuje różne zadania, w tym tworzenie użytkowników, uruchamianie procesów, usuwanie plików i inne działania szkodliwe dla systemu.

Zabawne odniesienie: Jedna z najlepszych ilustracji tego, jak szkodliwe są rootkity w programie telewizyjnym Pan. Robot. Odcinek 101. Minuty 25-30. Cytuj MR. Robot („Przepraszam, to złośliwy kod, który całkowicie przejmuje ich system. Może usuwać pliki systemowe, instalować programy, wirusy, robaki… jest zasadniczo niewidoczne, nie możesz tego powstrzymać.”)

Rodzaj rootkitów

Istnieją różne rodzaje rootkitów, z których każdy wykonuje różne zadania. Nie będę zanurzyć się w tym, jak działają ani jak ją zbudować. Zawierają:

Rootkits poziomu jądra: Tego rodzaju rootkity działają na poziomie jądra; Mogą wykonywać operacje w podstawowej części systemu operacyjnego.

Rootkits poziomu użytkownika: Te rootkity działają w normalnym trybie użytkownika; Mogą wykonywać zadania, takie jak nawigacja w katalogach, usuwanie plików itp.

Korekty poziomu pamięci: Te rootkity znajdują się w pamięci głównej systemu i zasobów systemu twojego systemu. Ponieważ nie wprowadzają żadnego kodu do systemu, prosty ponowne uruchomienie może pomóc w ich usunięciu.

Poziomy bootloader rootKits: Te rootkity są głównie ukierunkowane na system bootloader i wpływają głównie na bootloader, a nie pliki systemowe.

Rootkits oprogramowania oprogramowania: Są to bardzo ciężki rodzaj korzeniowych, które wpływają na oprogramowanie układowe systemowe, w ten sposób infekując wszystkie inne części systemu, w tym sprzęt. Są wysoce niewykrywalne w ramach normalnego programu AV.

Jeśli chcesz eksperymentować z rootkits opracowanymi przez innych lub budować swoje, rozważ naukę więcej na podstawie następujących zasobów:

https: // AwesomeOpensource.COM/PROJEKT/D30SA1/rootKits-List-Download

NOTATKA: Testuj rootkits na maszynie wirtualnej. Używaj na własne ryzyko!

Co to jest Rkhunter

Rkhunter, powszechnie znany jako RKH, to narzędzie Unix, które pozwala użytkownikom skanować systemy dla rootkits, exploits, backdoors i keyloggers. RKH działa poprzez porównanie skrótów generowanych z plików z internetowej bazy danych niezmienionych skrótów.

Dowiedz się więcej o tym, jak RKH działa, czytając jego wiki z zasobu podanego poniżej:

https: // sourceforge.net/p/rkhunter/wiki/index/

Instalowanie rkhunter

RKH jest dostępny w głównych dystrybucjach Linux i można go zainstalować za pomocą popularnych menedżerów pakietów.

Zainstaluj na Debian/Ubuntu

Zainstalować w Debian lub Ubuntu:

Sudo apt-get Aktualizacja
sudo apt -get instaluj rkhunter -y

Zainstaluj na Centos/Rehl

Aby zainstalować w systemach Rehl, pobierz pakiet za pomocą Curl, jak pokazano poniżej:

curl -olj https: // źródłoforge.net/projekty/rkhunter/files/najnowsze/pobieranie

Po pobraniu pakietu rozpakuj archiwum i uruchom podany skrypt instalatora.

[centos@centos8 ~] $ tar xvf rkhunter-1.4.6.smoła.GZ
[centos@centos8 ~] $ cd rkhunter-1.4.6/
[centos@centos8 rkhunter-1.4.6] $ sudo ./instalator.sh -instalul

Po zakończeniu instalatora powinieneś zainstalować RKHunter i gotować do użycia.

Jak uruchomić kontrolę systemu za pomocą rkhunter

Aby uruchomić kontrolę systemu za pomocą narzędzia RKHunter, użyj polecenia:

Csudo rkhunter -sprawdź

Wykonanie tego polecenia uruchomi RKH i uruchomi pełny kontrola systemu w systemie za pomocą sesji interaktywnej, jak pokazano poniżej:

Po zakończeniu powinieneś uzyskać pełny raport sprawdzania systemu i dzienniki w określonej lokalizacji.

Wniosek

Ten samouczek dał ci lepsze wyobrażenie o tym, czym są rootkits, jak zainstalować Rkhunter i jak wykonać sprawdzenie systemu dla rootkits i innych exploitów. Rozważ uruchomienie głębszego systemu sprawdzania systemów krytycznych i napraw je.

Szczęśliwe polowanie na rootkit!