Kuigi GNU / Linux on äärmiselt turvaline operatsioonisüsteem, meelitatakse paljusid inimesi valesse turvatundesse. Neil on vale idee, et midagi ei saa kunagi juhtuda, kuna nad töötavad turvalises keskkonnas. On tõsi, et Linuxi keskkonnas on väga vähe pahavara, kuid on siiski väga võimalik, et Linuxi installimist võidakse lõpuks ohustada. Kui mitte midagi muud, siis on juurkomplektide ja muude sarnaste rünnakute võimaluse kaalumine süsteemi haldamise oluline osa. Rootkit viitab tööriistakomplektile, mida kolmanda osapoole kasutajad saavad pärast seda, kui nad saavad juurdepääsu arvutisüsteemile, millele neil puudub õigus. Seejärel saab seda komplekti kasutada failide muutmiseks ilma õigustatud kasutajate teadmata. Näita paketti, mis pakub sellist ohustatud tarkvara kiireks leidmiseks vajalikku tehnoloogiat.
Unhide on enamiku suuremate Linuxi distributsioonide hoidlates. Piisab paketihalduri käsu, näiteks sudo apt-get install unfide, kasutamisest, et sundida seda installima Debiani ja Ubuntu maitsetesse. GUI juurdepääsuga serverid võiksid kasutada Synaptic Package Managerit. Fedora ja Archi distributsioonidel on oma paketihaldussüsteemide jaoks varjatud varjatud versioonid. Kui peitmine on installitud, peaksid süsteemiadministraatorid saama seda mitmel erineval viisil kasutada.
1. meetod: protsessi ID-de jõhkraks muutmine
Kõige elementaarsem meetod hõlmab iga protsessi ID jõhkrat kasutamist, veendumaks, et ükski neist pole kasutaja eest varjatud. Kui teil pole juurjuurdepääsu, tippige CLI-i viipale sudo unfide brute -d. Valik d kahekordistab testi, et vähendada teatatud valepositiivsete andmete arvu.
Väljund on äärmiselt elementaarne. Pärast autoriõigustega kaitstud teadet selgitab peitmine selle toiminguid. Seal on rida:
[*] Skaneerimise alustamine toore jõu abil kahvliga PIDS vastu ()ja teine märkides:
[*] Skaneerimise alustamine toore jõuga pthread-funktsioonidega PIDS-i vastu
Kui muud väljundit pole, pole muretsemiseks põhjust. Kui programmi jõhker alamprogramm leiab midagi, teatab ta järgmisest:
Leitud Peidetud PID: 0000
Neli nulli asendatakse kehtiva numbriga. Kui see lihtsalt loeb, et see on mööduv protsess, siis võib see olla valepositiivne. Käivitage test vabalt mitu korda, kuni see annab puhta tulemuse. Kui on lisateavet, võib see õigustada järelkontrolli. Kui vajate logi, saate praeguses kataloogis logifaili loomiseks kasutada lülitit -f. Programmi uuemad versioonid kutsuvad seda faili unside-linux.log ja see sisaldab lihtteksti väljundit.
2. meetod: / proc ja / bin / ps võrdlemine
Selle asemel saate suunata peitmise, et võrrelda / bin / ps ja / proc protsesside loendeid, et veenduda, et need kaks Unixi failipuu loendit sobivad. Kui midagi on valesti, teatab programm ebatavalisest PID-st. Unixi reeglid näevad ette, et käimasolevad protsessid peavad neis kahes loendis esitama ID-numbrid. Testi alustamiseks tippige sudo unfide proc -v. V-le sisselülitamine paneb programmi verbose režiimi.
See meetod tagastab viipa, milles öeldakse:
[*] Varjatud protsesside otsimine / proc stat skannimise kauduKui peaks juhtuma midagi ebatavalist, kuvatakse see selle tekstirea järel.
3. meetod: Proc- ja Procfs-tehnikate kombineerimine
Vajadusel saate tegelikult võrrelda / bin / ps ja / proc Unixi failipuude loendeid, samal ajal võrreldes kogu loendis / bin / ps olevat teavet virtuaalsete procfs-kirjetega. See kontrollib nii Unixi failipuu reegleid kui ka procfs-andmeid. Selle testi tegemiseks tippige sudo unfide procall -v, mis võib võtta üsna palju aega, kuna see peab skannima nii kogu / proc-statistikat kui ka tegema mitmeid muid katseid. See on suurepärane viis veenduda, et kõik serveris olevad asjad on kopaseetilised.
4. meetod: Procf-tulemuste võrdlemine failiga / bin / ps
Eelmised testid on enamiku rakenduste jaoks liiga kaasatud, kuid teatud otstarbekuse huvides võite proc-failisüsteemi kontrolle iseseisvalt käivitada. Sisestage sudo unfide procfs -m, mis viib need kontrollid läbi ja lisaks veel mitu kontrolli, mille pakub -m-i kleepimine.
See on endiselt üsna kaasatud test ja võib võtta aega. See tagastab kolm eraldi väljundirida:
Pidage meeles, et kõigi nende testide abil saate luua täieliku logi, lisades käsule -f.
5. meetod: kiirkontrolli käivitamine
Kui peate lihtsalt käivitama kiire skannimise, ilma et peaksite end põhjalikult kontrollima, sisestage lihtsalt sudo unshide quick, mis peaks käima nii kiiresti kui nimest osutab. See tehnika kontrollib nii proc-loendeid kui ka proc-failisüsteemi. See viib läbi ka kontrolli, mis hõlmab kataloogist / bin / ps kogutud teabe võrdlemist süsteemiressurssidele helistamise kaudu pakutava teabega. See annab ühe rea väljundi, kuid paraku suurendab valepositiivide riski. Pärast eelmiste tulemuste ülevaatamist on kasulik uuesti kontrollida.
Väljund on järgmine:
[*] Varjatud protsesside otsimine süsteemikõnede, proc, dir ja ps tulemuste võrdlemise kauduPärast skannimise käivitamist võite näha mitmeid ajutisi protsesse.
6. meetod: pöördotsingu käivitamine
Suurepärane tehnika juurkomplektide nuusutamiseks hõlmab kõigi ps-i lõimede kontrollimist. Kui käivitate käsu ps CLI-viipal, näete terminalist käivitatud käskude loendit. Pöördskaneerimine kontrollib, et kõigil protsessori lõimudel, mis ps-piltidel on kehtivaid süsteemikõnesid, saab neid otsida procfsi loendist. See on suurepärane viis tagada, et rootkit pole midagi ära tapnud. Selle kontrolli käivitamiseks sisestage lihtsalt sudo näita tagasi. See peaks töötama äärmiselt kiiresti. Selle käivitamisel peaks programm teile teatama, et otsib võltsprotsesse.
7. meetod: / bin / ps võrdlemine süsteemikõnedega
Lõpuks hõlmab kõige põhjalikum kontroll kogu / bin / ps loendist pärineva teabe võrdlemist kehtivatest süsteemikõnedest saadud teabega. Selle testi alustamiseks tippige sudo unside sys. Jooksmine võtab tõenäoliselt rohkem aega kui teised. Kuna see pakub nii palju erinevaid väljundiridu, võiksite kasutada käsku -f log-to-file, et hõlbustada kõigi leitud failide tagasivaatamist.
4 minutit loetud
