Hvordan installere chkrootkit

Denne opplæringen fokuserer på rootkits og hvordan du kan oppdage dem ved hjelp av chkrootkit. Rootkits er verktøy designet for å gi tilgang eller privilegier mens de skjuler sin egen tilstedeværelse, eller tilstedeværelsen av en ekstra programvare som gir tilgangen, "Rootkit" -begrepet fokuserer på skjule aspekt. For å oppnå å skjule en ondsinnet programvare, klarer Rootkit å integrere seg i målets kjerne, programvare eller i verste fall innen maskinvarefirmware.

Vanligvis, når det oppdages tilstedeværelsen av en rootkit, må offeret installere operativsystemet på nytt og fersk maskinvare, analysere filer som skal overføres til erstatningen og i verste fall maskinvareutskifting vil være nødvendig.Det er viktig å synliggjøre muligheten for falske positiver, dette er hovedproblemet med chkrootkit, og når en trussel oppdages anbefalingen er å kjøre flere alternativer før du tar tiltak, vil denne opplæringen også kort utforske Rkhunter som et alternativ. Det er også viktig å si at denne opplæringen er optimalisert for Debian og baserte Linux -distribusjonsbrukere, den eneste begrensningen for andre distribusjonsbrukere er installasjonsdelen, bruken av chkrootkit er den samme for alle distros.

Siden rootkits har en rekke måter å oppnå sine mål som skjuler ondsinnet programvare, tilbyr Chkrootkit en rekke verktøy for å ha råd til disse måtene. Chkrootkit er en verktøysuite som inkluderer det viktigste Chkrootkit -programmet og flere biblioteker som er listet opp nedenfor:

Chkrootkit: Hovedprogram som sjekker operativsystemets binærfiler for rootkit -modifikasjoner for å lære om koden ble forfalsket.

ifpromisc.c: Sjekker om grensesnittet er i promiskuøs modus. Hvis et nettverksgrensesnitt er i promiskuøs modus, kan det brukes av en angriper eller ondsinnet programvare for å fange nettverkstrafikken for å senere analysere den.

Chklastlog.c: Kontroller for sletting av lastlog. Lastlog er en kommando som viser informasjon om siste pålogginger. En angriper eller rootkit kan endre filen for å unngå deteksjon hvis Sysadmin sjekker denne kommandoen for å lære informasjon om pålogginger.

chkwtmp.c: Sjekker for WTMP -sletting. Tilsvarende, til det forrige skriptet, sjekker CHKWTMP filen WTMP, som inneholder informasjon om brukernes pålogginger for å prøve å oppdage modifikasjoner på den i tilfelle en rootkit endret oppføringene for å forhindre påvisning av inntrenging.

check_wtmpx.c: Dette skriptet er det samme som ovennevnte, men Solaris Systems.
CHKPROC.c: Kontroller for tegn på trojanere innen LKM (lastbare kjernemoduler).
Chkdirs.c: har samme funksjon som ovennevnte, sjekker for trojanere innen kjernemoduler.
strenger.c: Rask og skitne strenger erstatning med sikte på å skjule arten av rootkit.
Chkutmp.c: Dette ligner på chkwtmp, men sjekker UTMP -filen i stedet.

Alle skriptene som er nevnt ovenfor blir utført når vi kjører Chkrootkit.

For å begynne å installere Chkrootkit på Debian og baserte Linux -distribusjoner kjører:

# Apt installer chkrootkit -y

Når den er installert for å kjøre den, utfør:

# sudo chkrootkit

Under prosessen kan du se alle skript som integrerer chkrootkit blir utført og gjør hver sin del.

Du kan få en mer behagelig utsikt med rulling og legge til rør og mindre:

# sudo chkrootkit | mindre

Du kan også eksportere resultatene til en fil ved å bruke følgende syntaks:

# sudo chkrootkit> resultater

Så for å se utgangstypen:

# mindre resultater

Merk: Du kan erstatte "resultater" for ethvert navn du vil gi utdatafilen.

Som standard må du kjøre chkrootkit manuelt som forklart ovenfor, men du kan definere daglige automatiske skanninger ved å redigere chkrootkit -konfigurasjonsfilen som ligger på /etc /chkrootkit.Konf, prøv det ved å bruke Nano eller hvilken som helst tekstredigerer du liker:

# nano /etc /chkrootkit.konf

For å oppnå daglig automatisk skanning den første linjen som inneholder Run_daily = ”falsk” skal redigeres til Run_daily = ”sann”

Slik skal det se ut:

trykk Ctrl+X og Y For å lagre og avslutte.

Rootkit Hunter, et alternativ til Chkrootkit:

Et annet alternativ til Chkrootkit er Rootkit Hunter, det er også et komplement med tanke på om du fant Rootkits ved hjelp av en av dem, å bruke alternativet er obligatorisk å forkaste falske positiver.

For å begynne med rootkithunter, installer den ved å kjøre:

# Apt installer Rkhunter -y

Når du er installert, skal du utføre en test følgende kommando: For å kjøre en test:

# RKHUNTER -Check

Som du kan se, som Chkrootkit er det første trinnet i Rkhunter å analysere systembinærene, men også biblioteker og strenger:

Som du vil se, i motsetning til Chkrootkit Rkhunter vil be deg om å trykke på Enter for å fortsette med neste trinn, tidligere Rootkit Hunter sjekket systembinærene og bibliotekene, nå vil det gå for kjente rootkits:

Trykk Enter for å la RKHUNTER for å gå videre med Rootkits -søk:

Så, som Chkrootkit, vil det sjekke nettverksgrensesnittene dine og også porter kjent for å bli brukt av bakdører eller trojanere:

Endelig vil det skrive ut et sammendrag av resultatene.

Du kan alltid få tilgang til resultater som er lagret på /var/log/rkhunter.Logg:

Hvis du mistenker at enheten din kan bli smittet av en rootkit eller kompromittert, kan du følge anbefalingene som er oppført på https: // linuxhint.com/detect_linux_system_hacked/.

Jeg håper du fant denne opplæringen om hvordan du installerer, konfigurerer og bruker chkrootkit nyttig. Fortsett å følge Linuxhint for flere tips og oppdateringer om Linux og nettverksbygging.