Как да проверите за Rootkits на Linux, BSD и OSX
Тези от нас в UNIX-земя (и да, хора от Mac, които включват вас) често не се налага да се справят със злонамерен софтуер. Има достатъчно място за обсъждане на точните причини за това, но малцина ще твърдят, че Linux, BSD и OSX се удрят толкова силно, колкото и Windows. Това обаче не ни прави имунизирани срещу злонамерен софтуер. Ние всички изтегляме софтуер онлайн, а дори и тези, които се придържат само към пакетите на техния доставчик на софтуер, все още могат да бъдат засегнати от бъгове или дупки в сигурността, които могат да позволят на лоши хора или софтуер вътре. Както се казва в старата поговорка, "унция на превенцията струва един килограм лек". Днес бихме искали да ви покажем някои начини, по които можете да сканирате системата си, за да сте сигурни, че в сенките няма да има лоши руткитове.
Бързото и мръсно лично сканиране
Общата техника, използвана от някои автори на злонамерен софтуер, е да замени нормална система двоична с тази, която предприема допълнителни или алтернативни действия. Много от тях се опитват да се защитят, като правят своите корумпирани версии неизменни в опит да направят инфекцията по-трудно да се отстранят. За щастие, това оставя следи зад това, което може да бъде повдигнато от обикновените системни инструменти.
Използвайте командата lsattr, за да покажете атрибутите на двоичните файлове на вашата система на места като / bin, / sbin и / usr / bin, както е показано тук.
lsattr / usr / bin
Нормалната, не подозрителна продукция трябва да изглежда нещо подобно.
Може да се наложи да имате нужда от root за сканиране на някои места като / sbin . Ако изходът съдържа други атрибути като s, i или a, това може би е знак, че нещо не е наред и може да искате да опитате по-дълбоко сканиране, както е показано по-долу.
Скенер # 1 - Chkrootkit
Chkrootkit е инструмент за сканиране на вашите системи от жизненоважни файлове, за да се определи дали някой от тях показва признаци на известен злонамерен софтуер. Това е група от скриптове, които използват съществуващи системни инструменти и команди за валидиране на системните файлове и / proc информация. Поради това се препоръчва, отколкото да се изпълнява от компактдиск на живо, където може да има по-голяма увереност, че базовите инструменти вече не са компрометирани. Можете да го стартирате от командния ред само
# Може да се нуждаете от "sudo" за root права chkrootkit
но тъй като chkrootkit не създава по подразбиране лог файл, бих препоръчал пренасочването на изхода към лог файл, както при
chkrootkit> mylogfile.txt
и когато приключи, просто отворете файла с журнали в текстовия редактор по избор.
Скенер # 2 - Универсален ловец (rkhunter)
Rootkit Hunter действа много като chkrootkit, но основава голяма част от функционалността си върху проверките на хеш. Софтуерът включва известни SHA-1 хешове на обикновени системни файлове и ако установи, че вашите се различават, той ще издаде грешка или предупреждение, ако е необходимо. Rootkit Hunter може да се нарече по-задълбочено от chkrootkit, тъй като включва допълнителни проверки относно състоянието на мрежата, ядровите модули и други части, които chkrootkit не сканира.
За да стартирате нормално локално сканиране, просто стартирайте
# Може да се наложи "sudo" за привилегиите на root rkhunter -c
Когато приключите, ще получите обобщение с резултатите от сканирането.
Rootkit Hunter създава по подразбиране лог файл и го запазва в /var/log/rkhunter.log .
заключение
Бъдете предупредени - и двете приложения, както и "ръчният" метод, могат да доведат до фалшиви положителни резултати. Ако получите положителен резултат, разучете я внимателно, преди да предприемете каквото и да било действие. Надяваме се, че един от тези методи може да ви помогне да откриете заплаха, преди да се превърне в проблем. Ако имате други предложения за начини за откриване на гадни файлове или приложения, моля, уведомете ни в коментарите по-долу.
Кредит за изображението: rykerstribe