Phenquestions
Obvykle, když je detekována přítomnost rootkitu, oběť potřebuje přeinstalovat OS a nový hardware, analyzovat soubory, které mají být přeneseny na náhradu, a v nejhorším případě bude nutná výměna hardwaru.Je důležité zdůraznit možnost falešných poplachů, to je hlavní problém chkrootkitu, proto je-li zjištěna hrozba, je doporučeno spustit další alternativy před přijetím opatření, tento tutoriál také krátce prozkoumá rkhunter jako alternativu. Je také důležité říci, že tento výukový program je optimalizován pro uživatele distribucí Debian a Linuxu, jediným omezením pro ostatní uživatele distribucí je instalační část, použití chkrootkit je stejné pro všechny distribuce.
Vzhledem k tomu, že rootkity mají různé způsoby, jak dosáhnout svých cílů skrývajících škodlivý software, nabízí Chkrootkit řadu nástrojů, které si tyto způsoby mohou dovolit. Chkrootkit je sada nástrojů, která zahrnuje hlavní program chkrootkit a další knihovny, které jsou uvedeny níže:
chkrootkit: Hlavní program, který kontroluje binární soubory operačního systému, zda neobsahují úpravy rootkitu, aby zjistil, zda nebyl kód znehodnocen.
ifpromisc.C: zkontroluje, zda je rozhraní v promiskuitním režimu. Pokud je síťové rozhraní v promiskuitním režimu, může jej použít útočník nebo škodlivý software k zachycení síťového provozu a jeho pozdější analýze.
chklastlog.C: zkontroluje odstranění lastlogu. Lastlog je příkaz, který zobrazuje informace o posledních přihlášeních. Útočník nebo rootkit může upravit soubor, aby se vyhnul detekci, pokud sysadmin zkontroluje tento příkaz a zjistí informace o přihlášení.
chkwtmp.C: zkontroluje odstranění wtmp. Podobně jako v předchozím skriptu chkwtmp zkontroluje soubor wtmp, který obsahuje informace o přihlašování uživatelů, aby se pokusil zjistit jeho úpravy v případě, že rootkit upravil položky, aby zabránil detekci vniknutí.
check_wtmpx.C: Tento skript je stejný jako výše uvedený, ale systémy Solaris.
chkproc.C: kontroluje známky trojských koní v LKM (Loadable Kernel Modules).
chkdirs.C: má stejnou funkci jako výše, kontroluje trojské koně v modulech jádra.
struny.C: rychlá a špinavá výměna řetězců s cílem skrýt povahu rootkitu.
chkutmp.C: je to podobné jako s chkwtmp, ale místo toho kontroluje soubor utmp.
Všechny výše uvedené skripty se spustí, když spustíme chkrootkit.
Chcete-li začít instalovat chkrootkit na Debian a spuštěné distribuce Linuxu, spusťte:
# apt nainstalovat chkrootkit -y
Po instalaci jej spusťte:
# sudo chkrootkit
Během procesu můžete vidět, že jsou prováděny všechny skripty integrující chkrootkit, které provádějí jednotlivé části.
Můžete získat pohodlnější pohled s rolováním přidání potrubí a méně:
# sudo chkrootkit | méně
Výsledky můžete také exportovat do souboru pomocí následující syntaxe:
# sudo chkrootkit> výsledky
Pak uvidíte typ výstupu:
# méně výsledků
Poznámka: „výsledky“ můžete nahradit libovolným názvem, kterému chcete dát výstupní soubor.
Ve výchozím nastavení musíte chkrootkit spustit ručně, jak je vysvětleno výše, ale můžete definovat denní automatické kontroly úpravou konfiguračního souboru chkrootkit umístěného na / etc / chkrootkit.conf, zkuste to pomocí nano nebo jiného textového editoru, který se vám líbí:
# nano / etc / chkrootkit.konf
K dosažení denního automatického skenování obsahuje první řádek RUN_DAILY = ”false” by měl být upraven na RUN_DAILY = ”true”
Takto by to mělo vypadat:
lis CTRL+X a Y uložit a ukončit.
Rootkit Hunter, alternativa k chkrootkit:
Další možností chkrootkit je RootKit Hunter, je to také doplněk vzhledem k tomu, zda jste našli rootkity pomocí jednoho z nich, použití alternativy je povinné pro vyřazení falešných pozitiv.
Chcete-li začít s RootKitHunter, nainstalujte jej spuštěním:
# apt install rkhunter -y
Po instalaci proveďte test spuštěním následujícího příkazu:
# rkhunter --checkJak vidíte, jako chkrootkit je prvním krokem RkHunter analýza systémových binárních souborů, ale také knihoven a řetězců:
Jak uvidíte, na rozdíl od chkrootkit vás RkHunter požádá o stisknutí klávesy ENTER, abyste mohli pokračovat v dalších krocích, dříve RootKit Hunter zkontroloval systémové binární soubory a knihovny, nyní půjde o známé rootkity:
Stisknutím klávesy ENTER necháte RkHunter pokračovat v hledání rootkitů:
Poté, stejně jako chkrootkit, zkontroluje vaše síťová rozhraní a také porty známé tím, že je používají zadní vrátka nebo trojské koně:
Nakonec vytiskne souhrn výsledků.
Vždy máte přístup k výsledkům uloženým na / var / log / rkhunter.log:
Pokud máte podezření, že vaše zařízení může být infikováno rootkitem nebo ohroženo, můžete postupovat podle doporučení uvedených na https: // linuxhint.com / detect_linux_system_hacked /.
Doufám, že vám tento návod, jak nainstalovat, konfigurovat a používat chkrootkit, připadal užitečný. Pokračujte v LinuxHintu, kde najdete další tipy a aktualizace pro Linux a sítě.
