Όσοι από εμάς σε UNIX-γη (και ναι, Mac άνθρωποι, που περιλαμβάνει εσείς) δεν έχουν συχνά να ασχοληθεί με κακόβουλο λογισμικό. Υπάρχει περιθώριο συζήτησης για τους ακριβείς λόγους, αλλά λίγοι θα υποστήριζαν ότι το Linux, το BSD και το OSX χτυπούν τόσο σκληρά όσο και συχνά όπως τα Windows. Ωστόσο, αυτό δεν μας κάνει να είμαστε ανοσοποιημένοι σε κακόβουλα προγράμματα. Παίρνουμε όλοι το λογισμικό στο διαδίκτυο και ακόμη και εκείνοι που εμμένουν μόνο στα πακέτα του παρόχου λογισμικού τους εξακολουθούν να υποφέρουν από σφάλματα ή τρύπες ασφαλείας που μπορούν να επιτρέψουν στο εσωτερικό τους δυσάρεστο άτομο ή λογισμικό. Όπως λέει η παλιά παροιμία, "μια ουγγιά πρόληψης αξίζει μια λίβρα θεραπείας". Σήμερα θα θέλαμε να σας παρουσιάσουμε μερικούς τρόπους ώστε να μπορείτε να σαρώσετε το σύστημά σας για να βεβαιωθείτε ότι δεν υπάρχουν κακόβουλες rootkits που κρύβονται στις σκιές.

Η γρήγορη και βρώμικη προσωπική σάρωση

Μια κοινή τεχνική που χρησιμοποιείται από ορισμένους συντάκτες κακόβουλου λογισμικού είναι να αντικαταστήσει ένα κανονικό δυαδικό σύστημα με ένα σύστημα που λαμβάνει πρόσθετες ή εναλλακτικές ενέργειες. Πολλοί από αυτούς προσπαθούν να προστατεύσουν τον εαυτό τους κάνοντας τις αλλοιωμένες εκδόσεις τους αμετάβλητες σε μια προσπάθεια να καταστήσουν τη μόλυνση πιο δύσκολη. Ευτυχώς, αυτό αφήνει ίχνη πίσω από αυτά που μπορούν να ληφθούν από τα κανονικά εργαλεία του συστήματος.

Χρησιμοποιήστε την εντολή lsattr για να εμφανίσετε τα χαρακτηριστικά των δυαδικών αρχείων του συστήματός σας σε τοποθεσίες όπως / bin, / sbin και / usr / bin, όπως φαίνεται εδώ.

 lsattr / usr / bin 

Κανονική, μη ύποπτη παραγωγή θα πρέπει να μοιάζει με κάτι τέτοιο.

Μπορεί να χρειαστείτε δικαιώματα root για να σαρώσετε ορισμένα μέρη όπως / sbin . Αν η έξοδος περιέχει άλλα χαρακτηριστικά όπως το s, i ή a, που θα μπορούσε ενδεχομένως να είναι ένα σημάδι ότι κάτι είναι λάθος και μπορεί να θέλετε να δοκιμάσετε μια βαθύτερη σάρωση όπως φαίνεται παρακάτω.

Σαρωτής # 1 - Chkrootkit

Το Chkrootkit είναι ένα εργαλείο για να σαρώσετε τα συστήματα ζωτικής σημασίας αρχείων σας για να διαπιστώσετε εάν κάποιο από αυτά εμφανίζει σημάδια γνωστού κακόβουλου λογισμικού. Πρόκειται για μια ομάδα σεναρίων που χρησιμοποιούν υπάρχοντα εργαλεία και εντολές συστήματος για την επικύρωση των αρχείων του συστήματος και των πληροφοριών / proc . Εξαιτίας αυτού, συνιστάται να εκτελείται από ένα ζωντανό CD, όπου μπορεί να υπάρχει μεγαλύτερη εμπιστοσύνη ότι τα βασικά εργαλεία δεν έχουν ήδη συμβιβαστεί. Μπορείτε να το εκτελέσετε από τη γραμμή εντολών μόνο

 # Μπορεί να χρειαστείτε το "sudo" για δικαιώματα root root chkrootkit 

αλλά δεδομένου ότι το chkrootkit δεν δημιουργεί ένα αρχείο καταγραφής από προεπιλογή, θα συνιστούσα την ανακατεύθυνση της εξόδου σε ένα αρχείο καταγραφής, όπως με

 chkrootkit> mylogfile.txt 

και όταν τελειώσει, απλά ανοίξτε το αρχείο καταγραφής στον επεξεργαστή κειμένου που έχετε επιλέξει.

Σαρωτής # 2 - Κυνηγός Rootkit (rkhunter)

Το Rootkit Hunter ενεργεί πολύ όπως το chkrootkit, αλλά βασίζει μεγάλο μέρος της λειτουργίας του σε ελέγχους κατακερματισμού. Το λογισμικό περιλαμβάνει γνωστά καλά SHA-1 hashes των κοινών αρχείων συστήματος και αν διαπιστώσει ότι τα δικά σας διαφέρουν, θα εκδίδει ένα σφάλμα ή μια προειδοποίηση, όπως αρμόζει. Το Rootkit Hunter θα μπορούσε επίσης να καλείται πιο λεπτομερής από το chkrootkit, καθώς περιλαμβάνει πρόσθετους ελέγχους σχετικά με την κατάσταση του δικτύου, τις μονάδες του πυρήνα και άλλα κομμάτια που το chkrootkit δεν σαρώνει.

Για να ξεκινήσετε μια κανονική τοπική σάρωση, απλά τρέξτε

 # Μπορεί να χρειαστείτε το "sudo" για τα προνόμια root rkhunter -c 

Όταν ολοκληρωθεί, θα εμφανιστεί μια σύνοψη με τα αποτελέσματα της σάρωσης.

Το Rootkit Hunter δημιουργεί ένα αρχείο καταγραφής από προεπιλογή και το αποθηκεύει στο /var/log/rkhunter.log .

συμπέρασμα

Να είστε προειδοποιημένοι - και οι δύο αυτές εφαρμογές, καθώς και η "χειροκίνητη" μέθοδος, μπορεί να παράγουν ψευδή θετικά αποτελέσματα. Αν έχετε θετικό αποτέλεσμα, ερευνήστε το καλά πριν κάνετε οποιαδήποτε ενέργεια. Ας ελπίσουμε ότι μία από αυτές τις μεθόδους μπορεί να σας βοηθήσει να προσδιορίσετε μια απειλή πριν γίνει πρόβλημα. Εάν έχετε άλλες προτάσεις για τρόπους ανίχνευσης δυσάρεστων αρχείων ή εφαρμογών, ενημερώστε μας στα σχόλια παρακάτω.

Πιστωτική εικόνα: rykerstribe