Rootkits: מה הם ואיך לזהות אותם בלינוקס

סביר להניח כי פורץ יכול להתגנב למערכת שלכם, הדבר הראשון שיעשו הוא להתקין סדרה של ערכות שורש. בעזרת זה תקבלו שליטה על המערכת מאותו הרגע. כלים אלה שהוזכרו מהווים סיכון גדול. לכן, הכרחי ביותר לדעת על מה מדובר, אופן פעולתם וכיצד לאתר אותם.

הפעם הראשונה שהם הבחינו בקיומה הייתה בשנות ה 90, במערכת ההפעלה SUN Unix. הדבר הראשון שמנהלי מערכת הבחינו בו היה התנהגות מוזרה בשרת. מעבד בשימוש יתר, מחסור בשטח בדיסק הקשיח וחיבורי רשת לא מזוהים באמצעות הפקודה netstat .

ROOTKITS: מה הם ואיך לזהות אותם בלינוקס

מהם רוטקיטים?

הם כלים שמטרתם העיקרית היא להסתיר את עצמם ולהסתיר כל מקרה אחר שחושף את הנוכחות הפולשנית במערכת. לדוגמה, כל שינוי בתהליכים, תוכניות, ספריות או קבצים. זה מאפשר לפולש להיכנס למערכת מרחוק ובלתי מורגש, ברוב המקרים למטרות זדוניות כמו חילוץ מידע בעל חשיבות רבה או ביצוע פעולות הרסניות. שמו בא מהרעיון ש- rootkit מאפשר לך לגשת אליו בקלות כמשתמש שורש, לאחר התקנתו.

פעולתו מתמקדת בעובדה החלפת קבצי תוכניות מערכת בגירסאות משתנות, על מנת לבצע פעולות ספציפיות. כלומר, הם מחקים את התנהגות המערכת, אך שומרים על פעולות וראיות אחרות של הפורץ הקיים. גרסאות משונות אלה נקראות טרויאנים. אז בעצם, ערכת שורש היא קבוצה של טרויאנים.

כידוע, בלינוקס וירוסים אינם מהווים סכנה. הסיכון הגדול ביותר הוא הפגיעויות שמתגלות מדי יום בתוכניות שלך. אשר ניתן לנצל לפורץ להתקין ערכת שורש. כאן טמונה החשיבות של עדכון המערכת במלואה, ואימות מתמיד של מעמדה.

חלק מהקבצים שלרוב הם קורבנות טרויאנים הם כניסה, telnet, su, ifconfig, netstat, למצוא, בין היתר.

כמו כן, אלו השייכים לרשימת /etc/inetd.conf.

יתכן שאתה מעוניין לקרוא: טיפים להישאר ללא תוכנה ללא לינוקס

סוגים של ערכות שורש

אנו יכולים לסווג אותם לפי הטכנולוגיה בה הם משתמשים. בהתאם, יש לנו שלושה סוגים עיקריים.

• בינארים: אלה שמצליחים להשפיע על קבוצה של קבצי מערכת קריטיים. החלפת קבצים מסוימים בשינוי דומה. ליבה: אלה שמשפיעים על מרכיבי הליבה. מספריות: הם משתמשים בספריות מערכת כדי לשמור על סוסים טרויאנים.

איתור ערכות שורש

אנו יכולים לעשות זאת בכמה דרכים:

• אימות הלגיטימיות של הקבצים. זאת באמצעות אלגוריתמים המשמשים לבדיקת הסכום. אלגוריתמים אלו הם בסגנון בדיקת MD5 , אשר מצביעים על כך שסכום שני הקבצים יהיה שווה, יש צורך בשני הקבצים זהים. לכן, כמנהל טוב, עלי לאחסן את בדיקת המערכת שלי במכשיר חיצוני. באופן זה, בהמשך אוכל לזהות את קיומם של ערכות שורש באמצעות השוואה של תוצאות אלו עם אלה של רגע מסוים, עם כלי מדידה המיועד למטרה זו. לדוגמה, Tripwire . דרך נוספת המאפשרת לנו לגלות את קיומם של ערכות שורש היא לבצע סריקות יציאה ממחשבים אחרים, על מנת לוודא אם יש דלתות אחור שמאזינות ביציאות שאינם בשימוש בדרך כלל. יש גם דמונים מיוחדים כמו rkdet עבור לזהות ניסיונות התקנה ובמקרים מסוימים אפילו למנוע את התרחשותה ולהודיע ​​למנהל. כלי אחר הוא סוג סקריפט הפגז, כמו Chkrootkit , האחראי לאמת את קיומם של בינאריים במערכת, ששונו על ידי rootkits.

אנו ממליצים לך על החלופות הטובות ביותר ל- Microsoft Paint ב- Linux

ספר לנו אם היית קורבן להתקפה עם ערכות שורש, או מה הנוהגים שלך כדי להימנע ממנה?

צרו קשר לכל שאלה. וכמובן, עבור אל מדור הדרכות או קטגוריית לינוקס שלנו, שם תוכלו למצוא מידע רב שימושי בכדי להפיק את המרב מהמערכת שלנו.