Hvordan finne rootkits med rkhunter
En av de mest fremtredende og stadig tilstedeværende farene ved å koble seg til Internett er et omfattende system der angripere kan bruke enhetene dine til å stjele personlig informasjon og annen sensitiv informasjon.
Selv om det er forskjellige metoder noen kan bruke til å angripe et system, er rootkits et populært valg blant ondsinnede hackere. Essensen av denne opplæringen er å hjelpe deg med å forbedre sikkerheten til Linux -enheten din ved å bruke RKHUNTER eller Rootkit Hunter.
La oss komme i gang.
Hva er rootkits?
Rootkits er kraftige og ondsinnede programmer og kjørbare filer installert på et kompromittert system for å bevare tilgangen selv om et system har en sikkerhetsverdighetsoppdatering.
Teknisk sett er rootkits noen av de mest fantastiske ondsinnede verktøyene som brukes i det andre til det siste trinnet i penetrasjonstestingstrinnet (opprettholder tilgang).
Når noen installerer en rootkit i et system, gir det angriperen fjernkontroll tilgang til systemet eller nettverket. I de fleste tilfeller er rootkits mer enn en enkelt fil som utfører forskjellige oppgaver, inkludert å lage brukere, startprosesser, slette filer og andre handlinger som er skadelige for systemet.
Morsom referanse: En av de beste illustrasjonene av hvor skadelige rootkits er i TV -showet MR. Robot. Episode 101. Minutter 25-30. Sitat MR. Robot ("Beklager, det er en ondsinnet kode som tar over systemet deres. Det kan slette systemfiler, installere programmer, virus, ormer ... det er grunnleggende usynlig, du kan ikke stoppe det.)
Type rootkits
Det er forskjellige typer rootkits, som hver utfører forskjellige oppgaver. Jeg vil ikke dykke inn i hvordan de fungerer eller hvordan jeg skal bygge en. De inkluderer:
Kernelnivå rootkits: Disse typene rootkits fungerer på kjernenivå; De kan utføre operasjoner i kjernedelen av operativsystemet.
Brukernivå rootkits: Disse rootkits fungerer i normal brukermodus; De kan utføre oppgaver som å navigere i kataloger, slette filer osv.
Minnenivå rootkits: Disse rootkits ligger i systemets hovedminne og hogger systemets ressurser. Siden de ikke injiserer noen kode i systemet, kan en enkel omstart hjelpe deg med å fjerne dem.
Bootloader nivå rootkits: Disse rootkits målretter hovedsakelig bootloader -systemet og påvirker hovedsakelig bootloader og ikke systemfiler.
Firmware rootkits: De er en veldig alvorlig type rootkits som påvirker firmware for systemet, og smitter dermed alle andre deler av systemet ditt, inkludert maskinvare. De er svært uoppdagelige under et normalt AV -program.
Hvis du ønsker å eksperimentere med rootkits utviklet av andre eller bygge din, kan du vurdere å lære mer av følgende ressurs:
https: // AwesomePensource.com/prosjekt/d30sa1/rootkits-list-download
MERK: Test rootkits på en virtuell maskin. Bruk på egen risiko!
Hva er RKHUNTER
RKHUNTER, ofte kjent som RKH, er et UNIX -verktøy som lar brukere skanne systemer for rootkits, utnyttelser, bakdører og keyloggers. RKH fungerer ved å sammenligne hashes generert fra filer fra en online database med upåvirkede hashes.
Lær mer om hvordan RKH fungerer ved å lese wiki fra ressursen som er gitt nedenfor:
https: // sourceforge.nett/p/rkhunter/wiki/indeks/
Installere rkhunter
RKH er tilgjengelig i store Linux -distribusjoner, og du kan installere den ved hjelp av populære pakkeledere.
Installer på Debian/Ubuntu
Å installere på Debian eller Ubuntu:
sudo apt-get oppdatering
sudo apt -get install rkhunter -y
Installer på centos/rehl
For å installere på REHL -systemer, last ned pakken med Curl som vist nedenfor:
Curl -olj https: // sourceforge.nett/prosjekter/rkhunter/filer/siste/nedlasting
Når du har lastet ned pakken, pakker du ut arkivet og kjører installasjonsskriptet som følger med.
[centos@centos8 ~] $ tar xvf rkhunter-1.4.6.tjære.gz
[centos@centos8 ~] $ cd rkhunter-1.4.6/
[centos@centos8 rkhunter-1.4.6] $ sudo ./Installasjonsprogram.sh - -installer
Når installasjonsprogrammet er fullført, bør du ha RKHUNTER installert og klar til bruk.
Hvordan du kjører en systemsjekk ved hjelp av rkhunter
For å kjøre en systemsjekk ved hjelp av RKHUNTER -verktøyet, bruk kommandoen:
CSUDO RKHUNTER -Sjekk
Gjennomføring av denne kommandoen vil lansere RKH og kjøre en full systemsjekk på systemet ditt ved å bruke en interaktiv økt som vist nedenfor:
Etter ferdigstillelse bør du få en full systemkontrollrapport og logger på det spesifiserte stedet.
Konklusjon
Denne opplæringen har gitt deg en bedre ide om hva rootkits er, hvordan du installerer RKHUNTER, og hvordan du utfører en systemsjekk for rootkits og andre utnyttelser. Vurder å kjøre en dypere systemsjekk for kritiske systemer og fikse dem.
Happy Rootkit Hunting!