Phenquestions
Обично, када открије присуство рооткита, жртва треба да поново инсталира ОС и нови хардвер, анализира датотеке које ће се пренети на замену, ау најгорем случају биће потребна замена хардвера.Важно је нагласити могућност лажно позитивних резултата, ово је главни проблем цхкрооткита, стога када се открије пријетња препоручује се покретање додатних алтернатива прије подузимања мјера, овај водич ће укратко истражити ркхунтер као алтернативу. Такође је важно рећи да је овај водич оптимизован за кориснике Дебиан-а и Линук дистрибуција, једино ограничење за остале кориснике дистрибуције је инсталациони део, употреба цхкрооткита је иста за све дистро-ове.
Будући да рооткитови имају разне начине да постигну своје циљеве скривајући злонамерни софтвер, Цхкрооткит нуди низ алата који могу приуштити ове начине. Цхкрооткит је пакет алата који укључује главни програм цхкрооткит и додатне библиотеке које су наведене у наставку:
цхкрооткит: Главни програм који проверава бинарне датотеке оперативног система на модификације рооткита како би сазнао да ли је код фалсификован.
ифпромисц.ц: проверава да ли је интерфејс у промискуитетном режиму. Ако је мрежни интерфејс у промискуитетном режиму, нападач или злонамерни софтвер може га користити за хватање мрежног промета да би га касније анализирао.
цхкластлог.ц: проверава брисање последњег дневника. Ластлог је наредба која приказује информације о последњим пријавама. Нападач или рооткит могу изменити датотеку како би избегли откривање ако сисадмин провери ову наредбу да би сазнао информације о пријавама.
цхквтмп.ц: проверава брисање втмп-а. Слично претходној скрипти, цхквтмп проверава датотеку втмп која садржи информације о пријављивањима корисника како би покушао да открије модификације на њој у случају да је рооткит изменио уносе како би спречио откривање упада.
цхецк_втмпк.ц: Ова скрипта је иста као и горња, али системи Соларис.
цхкпроц.ц: проверава знакове тројанаца у ЛКМ-у (учитани модули језгра).
цхкдирс.ц: има исту функцију као горе, проверава тројанце у модулима језгра.
жице.ц: брза и прљава замена жица са циљем да сакрије природу рооткита.
цхкутмп.ц: ово је слично цхквтмп, али уместо тога проверава утмп датотеку.
Све горе поменуте скрипте се извршавају када покренемо цхкрооткит.
Покрените инсталирање цхкрооткит-а на Дебиан и Линук дистрибуције засноване на:
# апт инсталирај цхкрооткит -и
Једном инсталиран за његово покретање извршава:
# судо цхкрооткит
Током процеса можете видети како се извршавају све скрипте које интегришу цхкрооткит радећи сваки свој део.
Можете добити угоднији приказ помоћу померања додавањем цеви и мање:
# судо цхкрооткит | мање
Резултате такође можете извести у датотеку користећи следећу синтаксу:
# судо цхкрооткит> резултати
Затим да бисте видели тип излаза:
# мање резултата
Белешка: можете да замените „резултате“ било којим именом које желите да дате излазној датотеци.
Подразумевано морате покренути цхкрооткит ручно како је горе објашњено, али свакодневно аутоматско скенирање можете дефинисати уређивањем конфигурационе датотеке цхкрооткит која се налази на / етц / цхкрооткит.цонф, испробајте користећи нано или било који уређивач текста који вам се свиђа:
# нано / етц / цхкрооткит.цонф
Да би се постигло дневно аутоматско скенирање, први ред садржи РУН_ДАИЛИ = "фалсе" треба уредити РУН_ДАИЛИ = "тачно"
Ево како би то требало изгледати:
Притисните ЦТРЛ+Икс и И да бисте сачували и изашли.
Рооткит Хунтер, алтернатива цхкрооткит-у:
Друга опција за цхкрооткит је РоотКит Хунтер, такође је допуна с обзиром на то да ли сте пронашли рооткитс користећи један од њих, коришћење алтернативе је обавезно за одбацивање лажних позитивних резултата.
Да бисте започели РоотКитХунтер, инсталирајте га покретањем:
# апт инсталирати ркхунтер -и
Једном инсталирани, за покретање теста извршите следећу наредбу:
# ркхунтер --цхецкКао што видите, попут цхкрооткит-а, први корак РкХунтера је анализа системских бинарних датотека, али и библиотека и низова:
Као што ћете видети, супротно цхкрооткит-у, РкХунтер ће од вас затражити да притиснете ЕНТЕР да бисте наставили са следећим корацима, претходно је РоотКит Хунтер проверавао системске бинарне датотеке и библиотеке, а сада ће ићи на познате рооткитове:
Притисните ЕНТЕР да допустите РкХунтеру да настави са претрагом рооткитова:
Затим ће, попут цхкрооткит-а, проверити ваше мрежне интерфејсе, а такође и портове познате по томе што их користе бацкдоор или тројанци:
На крају ће се одштампати резиме резултата.
Увек можете приступити резултатима сачуваним на / вар / лог / ркхунтер.Пријава:
Ако сумњате да је ваш уређај можда заражен рооткитом или је угрожен, можете следити препоруке наведене на хттпс: // линукхинт.цом / идентифи_линук_систем_хацкед /.
Надам се да вам је ово упутство о инсталирању, конфигурисању и коришћењу цхкрооткита било корисно. Пратите ЛинукХинт за више савета и ажурирања о Линуку и умрежавању.
