Zwykle po wykryciu obecności rootkita ofiara musi ponownie zainstalować system operacyjny i świeży sprzęt, przeanalizuj pliki do wymiany, a w najgorszym przypadku potrzebne będzie wymiana sprzętu.Ważne jest, aby podkreślić możliwość fałszywych pozytywów, jest to główny problem Chkrootkit, dlatego po wykryciu zagrożenia zaleceniem jest uruchomienie dodatkowych alternatyw przed podjęciem środków, samouczek ten krótko odkryje Rkhunter jako alternatywę. Ważne jest również, aby powiedzieć, że ten samouczek jest zoptymalizowany dla użytkowników dystrybucji Linuksa Debian i opartych na oparciu o to, że jedynym ograniczeniem dla innych dystrybucji użytkowników jest część instalacji, użycie chkrootkit jest takie samo dla wszystkich dystrybucji.
Ponieważ Rootkits mają wiele sposobów na osiągnięcie celów ukrywających złośliwe oprogramowanie, Chkrootkit oferuje różnorodne narzędzia, na które można pozwolić na te sposoby. Chkrootkit to pakiet narzędzi, który zawiera główny program Chkrootkit i dodatkowe biblioteki, które są wymienione poniżej:
Chkrootkit: Program główny, który sprawdza pliki binarne systemu operacyjnego modyfikacji rootkit, aby dowiedzieć się, czy kod został zafałszowany.
ifpromisc.C: Sprawdza, czy interfejs jest w trybie rozwiązłego. Jeśli interfejs sieciowy jest w trybie rozwiązłego, może być używany przez atakującego lub złośliwego oprogramowania do przechwytywania ruchu sieciowego, aby go później przeanalizować.
Chklastlog.C: kontrole delecji LastLog. LastLog to polecenie, które pokazuje informacje o ostatnich loginach. Atakujący lub rootkit może zmodyfikować plik, aby uniknąć wykrycia, jeśli sysadmin sprawdzi to polecenie, aby dowiedzieć się informacji o loginach.
CHKWTMP.C: kontrole delecji WTMP. Podobnie, do poprzedniego skryptu, CHKWTMP sprawdza plik WTMP, który zawiera informacje o loginach użytkowników, aby spróbować wykryć na nim modyfikacje w przypadku zmodyfikowania wpisów, aby zapobiec wykryciu ingerencji.
Check_Wtmpx.C: Ten skrypt jest taki sam jak powyższe, ale systemy solaris.
CHKPROC.C: Sprawdzanie znaków trojanów w obrębie LKM (moduły jądra ładowania).
Chkdirs.C: ma taką samą funkcję co powyższe, sprawdzanie trojanów w modułach jądra.
smyczki.C: Szybkie i brudne zastępowanie ciągów, mając na celu ukrycie natury korzeniowego.
Chkutmp.C: Jest to podobne do ChKWTMP, ale zamiast tego sprawdza plik UTMP.
Wszystkie wymienione powyżej skrypty są wykonywane podczas biegania Chkrootkit.
Aby rozpocząć instalowanie Chkrootkit w dystrybucjach Debian i opartych na Linux:
# apt Zainstaluj chkrootkit -y
Po zainstalowaniu, aby uruchomić go wykonać:
# sudo chkrootkit
Podczas procesu można zobaczyć wszystkie skrypty integrujące chkrootkit są wykonywane, wykonując każdą swoją część.
Możesz uzyskać wygodniejszy widok z przewijającą rury i mniej:
# sudo chkrootkit | mniej
Możesz także wyeksportować wyniki do pliku za pomocą następującej składni:
# sudo chkrootkit> wyniki
Następnie, aby zobaczyć typ wyjściowy:
# mniej wyników
Notatka: Możesz zastąpić „wyniki” dla dowolnej nazwy, którą chcesz podać plik wyjściowy.
Domyślnie musisz uruchomić Chkrootkit ręcznie, jak wyjaśniono powyżej, ale możesz zdefiniować codzienne automatyczne skany, edytując plik konfiguracyjny Chkrootkit zlokalizowany w /etc /chkrootkit.Conf, spróbuj za pomocą nano lub dowolnego edytora tekstu, który lubisz:
# nano /etc /chkrootkit.conf
Aby osiągnąć codzienne automatyczne skanowanie pierwszej linii zawierającej Run_daily = ”false” powinien być edytowany do Run_daily = ”true”
Tak to powinno wyglądać:
Naciskać KLAWISZ KONTROLNY+X I Y Aby zapisać i wyjść.
Rootkit Hunter, alternatywa dla Chkrootkit:
Inną opcją dla Chkrootkit jest Rootkit Hunter, jest to również uzupełnienie, biorąc pod uwagę, że znalazłeś rootkits za pomocą jednego z nich, użycie alternatywy jest obowiązkowe do odrzucenia fałszywych pozytywów.
Aby rozpocząć od rootkithunter, zainstaluj go, uruchamiając:
# apt Zainstaluj rkhunter -y
Po zainstalowaniu, aby uruchomić test, wykonaj następujące polecenie:
# rkhunter -sprawdź
Jak widać, podobnie jak Chkrootkit, pierwszym krokiem Rkhunter jest analiza systemów systemowych, ale także biblioteki i struny:
Jak zobaczysz, w przeciwieństwie do Chkrootkit Rkhunter poprosi Cię o naciśnięcie ENTER, aby kontynuować kolejne kroki, wcześniej Rootkit Hunter sprawdził binarie i biblioteki systemowe, teraz będzie to możliwe do znanych rootkits:
Naciśnij Enter, aby Rkhunter poszedł z RootKits:
Następnie, podobnie jak Chkrootkit, sprawdzi interfejsy sieciowe, a także porty znane z tego, że są używane przez backdoors lub trojany:
Wreszcie wydrukuje podsumowanie wyników.
Zawsze możesz uzyskać dostęp do wyników zapisanych pod adresem /var/log/rkhunter.dziennik:
Jeśli podejrzewasz, że urządzenie może zostać zainfekowane przez rootkit lub narażone na szwank, możesz śledzić zalecenia wymienione na stronie https: // linuxhint.com/detect_linux_system_hacked/.
Mam nadzieję, że znalazłeś ten samouczek na temat instalacji, skonfigurowania i użycia przydatnego. Śledź śledź Linuxhint, aby uzyskać więcej wskazówek i aktualizacji na temat Linux i sieci.