Mik rootkitek és hogyan kell harcolni velük
Mik rootkitek és hogyan kell harcolni velük
Egy új szerver telepítése Linux utolsó kérdés, eltávolítjuk a felesleges szolgáltatásokat, tűzfal úgy van kialakítva, hogy a féltékeny barátok. Most már nyugodtan pochityvat fikció és kávét kortyolgatva. És itt-ott. Tehát lehet, gondolom, hogy a rendszergazda, aki még soha nem próbálkozott a betörjenek a rendszerük.
Sajnos, mivel a pályán, észrevettem egy furcsa mintát. Néhányan azok közül jelen vakon bízni a tűzfal, amely általában egy nagyon egyszerű feltevést, hogy ha ő tartja a nem kívánt részét a forgalom, a támadó egyszerűen nem lehet bejutni a számítógépet. Igen, valóban, tűzfal eljárva a klasszikus rendszer „barát vagy ellenség”, csökkenti a nem kívánt csomagokat rendszergazda. De ha például nyitott port 80 elérni a webszerver, és szánt csomagokat a port, szabadon átmegy rajta, és természetesen, miután a törvények Murphy, léteznie kell egy biztonsági rés található a „jogi” szolgáltatás, nem is beszélve, hogy a tűzfal önmagában lehet kötni támadást. Aztán, ahogy mondják, ez mind idő kérdése.
Ahhoz, hogy menjen előre és hátra vzlomanykh rendszer, így a rendszergazda nem látta őket, és tetteik nem regisztrálja a rendszer, a támadó létrehoz egy modern változata egy trójai, egy sor eszközt - rootkitek. Jellemzően ez a készlet tartalmaz egy szippantás, amellyel a hálózat figyeli a lehetséges lehallgatási értékes információt (jelszó, például), a módosított sor alapvető rendszerszoftver (ps, ls, aki megtalálja, netstat, ifconfig.), Scripts tisztítási naplóban. Távirányítható fut egy illegális hozzáférést démon, amely megnyitja a hálózati port, amely „nem veszi észre” módosított segédprogramot. Ugyanakkor, hogy tartsa meg a maximális közelítés az eredeti fájlt, troyanennye közművek szimulálható a fájl létrehozásának dátuma és a méret.
Egy kis történelem rootkitek
Silvio. ahol egészen a közelmúltig feküdt fájl runtime-kernel-kmem-patching.txt, de most valamilyen oknál fogva, elveszett, vagy például nem kevesebb, mint három cikket a szobában 58 (r58-0h06 fájlok r58-0h07, r58-0h08) magazin Phrack «Sub proc_root Quando Sumus (előleget a kernel Hacking) »,«Linux-the-fly kernel foltozás nélkül LKM»és«IA32 Advanced Function HUROKZÁRÁS», és van-e információ az alábbi kérdések a folyóirat.
Hogyan véd rootkitek?
# Nmap -v -P0 -sU ST -p 1-65535 IP_ADDRESS
Így ellenőrizze az összes TCP - és UDP-portok, bár némi időt vesz igénybe.
akkor kap egy ötletet a megváltozott fájlokat. Ha a fájl üres, akkor nincs változás, de az is igaz, hogy nem erősíti meg, hogy a rendszer tiszta. De ha lesz egy ilyen sor:
S.5. T c /etc/hotplug/usb.usermap
S.5. T c / etc / sysconfig / pcmcia
A módosított fájlokat kell ellenőrizni:
- M - különböző állapotban (beleértve a jogosultságok és fájltípus).
- S - fájlméret eltér.
- 5 - MD5 ellenőrző összeget különbözik.
- D - nem felel meg a számát major / minor eszközök.
- L - nem felel meg az utat readlink (2).
- U - különböző felhasználói tulajdonosa.
- G - különböző csoport tulajdonosa.
- T - különböző Midő.
Annak érdekében, hogy ne szórakozz az egész rendszert, és egy kicsit megkönnyíti a feladatot, akkor először meg kell, hogy ellenőrizze a net-tools csomagot, fileutils, util-linux, procps, psmisc és findutils (rpm -V package_name parancs). Azonban ebben a példában ez az összes konfigurációs fájl, amely természetesen voltak változások, mint az eredeti, de ha kiesik a katalógusban fájlokat tartalmazó futtatható fájlok, meg kell őr. A parancs rpm -qf / path / to / file, akkor ellenőrizze, hogy az adott fájl része a csomagnak. A megfigyelt eltérés természetesen megmentésével megváltozott fájlokat további tanulmányozásra, majd vissza.
# Rpm -Uvh -force <имя_файла.rpm>
döngölő / aide.html) lehetővé teszi, hogy automatizálják a folyamat számítási ellenőrző összegeket, és kibocsátja az összehasonlítás eredménye. De amikor használja őket kívánatos, hogy az adatbázist egy másik adathordozóra, ezáltal megvédve azt a módosítást. Szintén lehetséges szennyeződés utalhat szokatlan viselkedést kedvenc eszköze, hiszen protroyanenny saját belátása némileg eltérhet indítási lehetőségek.
ROOTDIR a `/”
Ellenőrzés `amd”. Nem talált
Ellenőrzés `basename”. Nem fertőzött
Ellenőrzés `Biff.” Nem található
Ellenőrzés `chfn”. Nem fertőzött
A segédprogram három, véleményem szerint, méltó a munka gombot. Ha azt szeretnénk, hogy teszteljék a rendszert indítva egy másik számítógépen, vagy használja a LiveCD, akkor használja a -r kapcsolót, akkor adja meg a könyvtárat, ahol a gyökér a keresést.
# ./chkrootkit -r / mnt / teszt
Mivel chkrootkit használja annak működését néhány tipikus UNIX-segédprogram (awk, cut, egrep, találni, fej, id, ls, netstat, ps, húrok, sed, uname), amely veszélybe kerülhet, annak érdekében, hogy elkerüljék a hibákat, amikor keresi szükséges használja statikusan fordított változatai ezek a közművek (amellett, mentés valahol messze), és a könyvtárat, ahol azok találhatók, jelezze használatával -p:
# ./chkrootkit -p / mnt / safebin
Hogy vizsgálja meg a gyanús húrok bináris fájlokat, akkor fuss ez a teszt üzemmódban, a gomb -x:
# ./chkrootkit -x | több
ifpromisc segédprogram lehetővé teszi, hogy meghatározza, ha a hálózati interfész van PROMISCIOUS-módban.
eth0 nem promisc
Kimutatására szolgáló trójai a kernel modul felelős közüzemi chkproc és chkdirs. Utilities chklastlog, chkwtmp check_wtmpx ellenőrizni és törli az adatokat a log fájlokat, húrok biztosít munkát húr. És az online eszköz egy nagy számú linkek anyagok a témában a cikk.
A find parancs (ha lehet bízni) képes érzékelni a fájlokat és könyvtárakat, akiknek a neve kezdődik egy pont (vagy hézagokat), amelyek általánosan használt tárolására kekszet az adatokat.
SysCall Cím
sys_exit 0xc0117ce4
sys_fork 0xc0108ebc
sys_read 0xc012604c
És most, rendszeresen összehasonlítjuk a kapott értékeket ellenőrizni tudja az ilyen típusú rootkit a rendszerben. És ha a végén mi lesz valami hasonló:
sys_kill 0xc28465d4 FIGYELEM! Kell lennie 0xc01106b4
a költségek egy kicsit gondolkodni, hogy mi történik a rendszerben.
# Gcc -o rkscan rkscan1.0.c
És futni, mint egy normál felhasználói, mert a gyökér esküszik program, és nem akar dolgozni.
*** Don „t futtatni ezt lapolvasómhoz. ***
-= - Rootkit Scanner - = -
-= - által [email protected] - = -
Szkennelés ADORE verzió 0,14, 0,24 és 2.0b.
ADORE rootkit nem található a rendszerben.
Szkennelés KNARK verzió 0,59.
KNARK rootkit nem található a rendszerben.
Ez alapvetően minden, amit el akartam mondani ma. Csak egy következtetés - az admin kell lennie egy kis paranoid, mert a csatár mindig egy lépéssel előrébb. Sok szerencsét.