Juurikomplektit: mitä ne ovat ja kuinka tunnistaa ne Linuxissa
Sisällysluettelo:
- JUOKSIKIT: Mitä ne ovat ja kuinka havaita ne Linuxissa
- Mitä ovat Rootkit?
- Juurikittien tyypit
- Juurtumien havaitseminen
On todennäköistä, että tunkeilija voi hiipiä järjestelmääsi, ensimmäinen asia, jonka he tekevät, on asentaa sarja juurikomiteoita. Tämän avulla saat järjestelmän hallinnan siitä hetkestä lähtien. Nämä mainitut työkalut edustavat suurta riskiä. Siksi on erittäin tärkeää tietää, mistä he ovat, niiden toiminnasta ja kuinka tunnistaa ne.
Ensimmäistä kertaa he huomasivat sen olemassaolon 90-luvulla, SUN Unix -käyttöjärjestelmässä. Ensimmäinen asia, jonka järjestelmänvalvojat huomasivat, oli outo käyttäytyminen palvelimella. Liiassa käytetty prosessori, kiintolevytilan puute ja tuntemattomat verkkoyhteydet netstat- komennon kautta.
JUOKSIKIT: Mitä ne ovat ja kuinka havaita ne Linuxissa
Mitä ovat Rootkit?
Ne ovat työkaluja, joiden päätavoite on piiloutua ja piilottaa kaikki muut tapaukset, jotka paljastavat häiritsevän läsnäolon järjestelmässä. Esimerkiksi prosessien, ohjelmien, hakemistojen tai tiedostojen muutokset. Tämän ansiosta tunkeilija voi päästä järjestelmään etäkäyttöä ja käsittämättömästi, useimmissa tapauksissa haitallisiin tarkoituksiin, kuten erittäin tärkeiden tietojen poistoon tai tuhoisien toimien suorittamiseen. Sen nimi tulee ajatuksesta, että juurikoodin avulla voit käyttää sitä helposti pääkäyttäjänä asennuksen jälkeen.
Sen toiminta keskittyy siihen, että järjestelmäohjelmatiedostot korvataan muutetulla versiolla tiettyjen toimintojen suorittamiseksi. Toisin sanoen ne matkivat järjestelmän käyttäytymistä, mutta pitävät muut toiminnot ja todisteet olemassa olevasta tunkeilijasta piilossa. Näitä muokattuja versioita kutsutaan troijalaisiksi. Joten periaatteessa rootkit on joukko troijalaisia.
Kuten tiedämme, Linuxissa virukset eivät ole vaaraa. Suurin riski on haavoittuvuudet, jotka havaitaan ohjelmistosi päivittäin. Mitä hyökkääjää voidaan hyödyntää asentaaksesi juurikoodi. Tässä on tärkeätä pitää järjestelmä päivitettynä kokonaisuudessaan tarkistamalla jatkuvasti sen tila.
Jotkut troijalaisten uhreista ovat muun muassa kirjautuminen, telnet, su, ifconfig, netstat, find.
Samoin kuin ne, jotka kuuluvat /etc/inetd.conf-luetteloon.
Saatat olla kiinnostunut lukemaan: Vinkkejä pysyäksesi haittaohjelmien ulkopuolella Linuxissa
Juurikittien tyypit
Voimme luokitella ne heidän käyttämänsä tekniikan mukaan. Siksi meillä on kolme päätyyppiä.
- Binaarit: Ne, jotka onnistuvat vaikuttamaan kriittisiin järjestelmätiedostoihin. Tiettyjen tiedostojen korvaaminen samankaltaisilla. Ydin: Ne, jotka vaikuttavat ydinkomponentteihin. Kirjastot: He käyttävät järjestelmäkirjastoja pitämään troijalaisia.
Juurtumien havaitseminen
Voimme tehdä tämän useilla tavoilla:
- Asiakirjojen laillisuuden todentaminen. Tämä läpi algoritmien, joita käytettiin summan tarkistamiseen. Nämä algoritmit ovat MD5-tarkistussummatyyliä , jotka osoittavat, että kahden tiedoston summan ollessa yhtä suuri on välttämätöntä, että molemmat tiedostot ovat identtisiä. Joten minun on hyvä järjestelmänvalvojana tallentaa järjestelmän tarkistussumma ulkoiselle laitteelle. Tällä tavoin myöhemmin voin havaita juurikomiteoiden olemassaolon vertaamalla näitä tuloksia tietyn ajankohdan tuloksiin jonkin tätä tarkoitusta varten suunnitellun mittaustyökalun avulla. Esimerkiksi Tripwire . Toinen tapa, jonka avulla voimme havaita juurikomiteoiden olemassaolon, on suorittaa porttiskannaukset muilta tietokoneilta sen tarkistamiseksi, onko takaovia, jotka kuuntelevat satamissa, joita normaalisti ei käytetä. On myös erikoistuneita demonit, kuten rkdet havaita asennusyritykset ja joissain tapauksissa jopa estää sitä tapahtumasta ja ilmoittaa siitä järjestelmänvalvojalle. Toinen työkalu on shell-komentosarjan tyyppi, kuten Chkrootkit , joka on vastuussa binaarien olemassaolon tarkistamisesta järjestelmässä, jota rootkit- sovellukset ovat muokkaaneet .
Kerro meille, jos olet joutunut rootkit-iskujen hyökkäyksen kohteeksi, tai mitkä käytännössä käytät sitä välttämään?
Ota yhteyttä jos sinulla on kysyttävää. Ja tietysti, siirry Tutorials- osioon tai Linux- luokkaan, josta löydät paljon hyödyllistä tietoa, jotta saat parhaan hyödyn järjestelmästämme.
Mitä ovat moba- ja mmo-pelit: kaikki mitä sinun tarvitsee tietää
Selitämme kaiken MOBA- ja MMOG-peleistä yksityiskohtaisesti. Missä otsikot, kuten League Of Legend ja Dota 2, ovat ilmaisten pelien kuninkaita.
Mitä ovat dns ja mitä varten ne ovat? kaikki tiedot, jotka sinun pitäisi tietää
Selitämme, mitä DNS on ja mistä se on päivittäisessä mielessämme. Puhumme myös välimuistista ja DNSSEC-tietoturvasta.
Mitä ovat ja mitä ovat selaimen evästeet
Mitkä ovat selaimesi evästeet ja mihin ne ovat? Lisätietoja selaimesi evästeiden määritelmästä ja hyödyllisyydestä.