รูทคิท: สิ่งที่พวกเขาและวิธีการตรวจสอบพวกเขาในลินุกซ์
สารบัญ:
มีโอกาสที่ ผู้บุกรุกจะแอบเข้าไปในระบบของคุณสิ่งแรกที่พวกเขาจะทำคือติดตั้งชุดของรูทคิท ด้วยวิธีนี้คุณจะได้รับการควบคุมของระบบจากช่วงเวลานั้น เครื่องมือที่กล่าวถึงเหล่านี้มีความเสี่ยง สูง ดังนั้นจึงจำเป็นอย่างยิ่งที่จะต้องรู้ว่าพวกเขากำลังทำอะไรการดำเนินงานและวิธีการตรวจจับพวกมัน
ครั้งแรกที่พวกเขาสังเกตเห็นการมีอยู่ของมันในยุค 90 ในระบบปฏิบัติการ SUN Unix สิ่งแรกที่ผู้ดูแลระบบสังเกตเห็นคือพฤติกรรมที่ผิดปกติบนเซิร์ฟเวอร์ CPU มากเกินไป, การขาดแคลนพื้นที่ว่างในฮาร์ดดิสก์และการเชื่อมต่อเครือข่ายที่ไม่ระบุชื่อผ่านคำสั่ง netstat
ROOTKITS: พวกมันคืออะไรและวิธีการตรวจจับพวกมันใน Linux
รูทคิทคืออะไร
พวกเขาเป็นเครื่องมือ ที่มีวัตถุประสงค์หลักเพื่อซ่อนตัวเองและซ่อนตัวอย่างอื่น ๆ ที่เผยให้เห็นการปรากฏตัวล่วงล้ำในระบบ ตัวอย่างเช่นการแก้ไขใด ๆ ในกระบวนการโปรแกรมไดเรกทอรีหรือไฟล์ สิ่งนี้ จะช่วยให้ผู้บุกรุกเข้าสู่ระบบจากระยะไกลและมองไม่เห็น ในกรณีส่วนใหญ่สำหรับวัตถุประสงค์ที่เป็นอันตรายเช่นการดึงข้อมูลที่มีความสำคัญมากหรือดำเนินการทำลายล้าง ชื่อของมันมาจากแนวคิดที่ว่ารูทคิทช่วยให้คุณเข้าถึงได้อย่างง่ายดายในฐานะ ผู้ใช้รู ทหลังจากการติดตั้ง
การดำเนินการของมันมุ่งเน้นไปที่ข้อเท็จจริงของการแทนที่ไฟล์โปรแกรมระบบด้วยเวอร์ชันที่เปลี่ยนแปลงเพื่อดำเนินการบางอย่าง นั่นคือพวกเขา เลียนแบบพฤติกรรมของระบบ แต่ให้การกระทำและหลักฐานอื่น ๆ ของผู้บุกรุกที่มีอยู่ที่ซ่อนอยู่ เวอร์ชันที่แก้ไขเหล่านี้เรียกว่าโทรจัน โดยพื้นฐานแล้วรูทคิตคือชุดของโทรจัน
อย่างที่เราทราบกันดีว่าใน Linux ไวรัสไม่ได้เป็นอันตราย ความเสี่ยงที่ยิ่งใหญ่ที่สุดคือช่องโหว่ที่พบได้ทุกวันในโปรแกรมของคุณ ซึ่งสามารถใช้ประโยชน์จากการที่ผู้บุกรุกทำการติดตั้งรูทคิท ในที่นี้ความ สำคัญของการทำให้ระบบมีการปรับปรุงอย่างครบถ้วนและ ยืนยันสถานะอย่างต่อเนื่อง
ไฟล์ บาง ไฟล์ที่มักตกเป็นเหยื่อของโทรจัน ได้แก่ ล็อกอิน, telnet, su, ifconfig, netstat, find และอื่น ๆ
รวมถึงรายการที่อยู่ในรายการ /etc/inetd.conf
คุณอาจสนใจในการอ่าน: เคล็ดลับในการพักมัลแวร์ฟรีบน Linux
ประเภทของรูทคิท
เราสามารถจำแนกพวกมันตามเทคโนโลยีที่ใช้ ดังนั้นเรามีสามประเภทหลัก
- ไบนารี: ผู้ที่จัดการเพื่อส่งผลกระทบต่อชุดของไฟล์ระบบที่สำคัญ การแทนที่ไฟล์บางไฟล์ด้วยการแก้ไขที่คล้ายคลึงกัน หลัก: สิ่งที่มีผลต่อองค์ประกอบหลัก จากไลบรารี: พวกเขาใช้ประโยชน์จากไลบรารีระบบเพื่อเก็บโทรจัน
ตรวจจับรูทคิท
เราสามารถทำได้หลายวิธี:
- การตรวจสอบความถูกต้องของไฟล์ ผ่านขั้นตอนวิธีที่ใช้ในการตรวจสอบผลรวม อัลกอริทึมเหล่านี้เป็นสไตล์การ ตรวจสอบ MD5 ซึ่งระบุว่า สำหรับผลรวมของสองไฟล์ให้เท่ากันจำเป็นต้องใช้ทั้งสองไฟล์เหมือนกัน ดังนั้นในฐานะผู้ดูแลระบบที่ดีฉันต้องเก็บการ ตรวจสอบระบบของฉัน ไว้ในอุปกรณ์ภายนอก ด้วยวิธีนี้ต่อมาฉันจะสามารถ ตรวจสอบการมีอยู่ของรูทคิทผ่านการเปรียบเทียบ ผลลัพธ์เหล่านั้นกับช่วงเวลาหนึ่งด้วยเครื่องมือวัดบางอย่างที่ออกแบบมาเพื่อจุดประสงค์นั้น ตัวอย่างเช่น Tripwire อีกวิธีหนึ่งที่ช่วยให้เราสามารถตรวจสอบการมีอยู่ของรูทคิทคือทำการ สแกนพอร์ตจากคอมพิวเตอร์เครื่องอื่น เพื่อตรวจสอบว่ามีแบ็คดอร์ที่กำลังฟังพอร์ตที่ไม่ได้ใช้งานตามปกติ ตรวจสอบความพยายามในการติดตั้งและในบางกรณีอาจป้องกันไม่ให้เกิดขึ้นและแจ้งให้ผู้ดูแลระบบทราบ อีก เครื่องมือ หนึ่ง คือ เชลล์สคริปต์ ชนิดเช่น Chkrootkit ซึ่งมีหน้าที่ตรวจสอบการมีอยู่ของไบนารีในระบบซึ่งแก้ไขโดยรูทคิท
บอกเราว่าคุณเป็นเหยื่อของการโจมตีด้วยรูทคิทหรือคุณมีวิธีปฏิบัติอะไรเพื่อหลีกเลี่ยง
ติดต่อเราสำหรับคำถามใด ๆ และแน่นอนไปที่หมวด บทเรียน หรือหมวดหมู่ ลินุกซ์ ของเราซึ่งคุณจะพบข้อมูลที่มีประโยชน์มากมายเพื่อใช้ประโยชน์สูงสุดจากระบบของเรา
