شناسایی و بررسی rootkit ها

11 بهمن 1397
ارسال شده توسط
مقالات

rootkit چیست

اکثر روت‌کیت ها از قدرت کرنل برای مخفی کردن خودشان استفاده میکنند و آنها تنها از درون Kernel قابل مشاهده هستند. چگونه باید rootkit ها را در سیستم عامل های لینوکس CentOS یاDebian شناسایی کنیم.

یک rootkit برنامه ایست (یا ترکیب چندین برنامه) که برای دریافت کنترل (در اصطلاح unix دسترسی و کنترل root و در اصطلاح ویندوزی دسترسی administrator) یک سیستم کامپیوتری بدون احراز هویت (دریافت user و password) توسط مالکان سیستم و مدیران مجاز، طراحی شده است.

روت‌کیت مجموعه‌ای از نرم‌افزارهاست که کنترل یک سیستم رایانه‌ای را به دست می‌گیرد. در این نوع حمله، کاربر سیستم متوجه حضور روت‌کیت نخواهد شد و هکر رایانه توانایی تغییر تمامی تنظیمات رایانه را دارد.

رایانه‌ای که تحت سلطه روت‌کیت و نهایتاً هکر قرار می‌گیرد را زامبی می‌نامند.

تشخیص Rootkit ها در Linux

شما میتوانید از ابزار زیر برای تشخیص rootkit های لینوکسی استفاده کنید.

نرم افزار Zeppoo

zeppoo برای شما امکان تشخیص rootkit های موجود روی معماری i386 و x86_64 را با استفاده از /dev/kmem و /dev/mem در لینوکس فراهم میکند.
علاوه بر این، این ابزار میتواند هرگونه فراخوانی سیستم، علائم تخریب، تسک ها، و ارتباطات مخفی و موارد بیشمار دیگری را تشخیص دهد. میتوانید سورس آنرا از اینجا دانلود کنید.

نرم افزار Chkrootkit

Chkrootkit ابزاری برای چک کردن سیستم به منظور هر گونه علامتی از یک rootkit میباشد. برای نصب chkroot دستور زیر را اجرا کنید.

$ sudo apt-get install chkrootkit

کار جستجوی rootkit ها را با وارد کردن دستور زیر آغاز کنید.

$ sudo chkrootkit

برای جستجوی عبارت های مشکوک دستور زیر را وارد کنید.

$ sudo chkrootkit -x | less

شما باید مسیر دستورات خارجی که توسط chkroot استفاده میشوند، مانند awk، grep و غیره را مشخص کنید.
با استفاده از nfs مسیر /mnt/safe را در مد read-only مانت کنید و مسیر باینری/mnt/safe را trusted تعریف کنید.
برای این منظور از دستور زیر استفاده میکنیم.

$ sudo chkrootkit -p /mnt/safe

نرم افزار Rkhunter

rkhunter (یا rootkit hunter) یک ابزار یونیکسی میباشد که هر گونه rootkit, backdoor و هر مدل آسیب ممکن دیگری را اسکن میکند.

rkhunter در حقیقت یک شل اسکریپت است که چک های متفاوتی را روی سیستم های لوکال انجام میدهد تا rootkit ها و بدافزارهای شناخته شده را امتحان و تشخیص دهد.
همچنین چک هایی را برای مشاهده این که آیا دستورات و یا فایل های startup سیستم تغییر کرده اند، انجام میدهد بعلاوه چک های متفاوتی روی اینترفیس های شبکه شامل بررسی اپلیکیشن های در حال listen دارد.
دستور زیر را برای نصب rkhunter اجرا کنید.

$ sudo apt-get install rkhunter

دستور زیر برای اجرا کردن چک های متفاوت روی سیستم لوکال مورد استفاده قرار میگیرد.

$ sudo rkhunter –check

دستور زیر باعث میشود rkhunter بررسی کند که آیا ورژن جدیدتری از هر کدام از فایل های متنی دیتای خودش وجود دارد یا خیر.

$ sudo rkhunter –update

دستور زیر مشخص میکند که چه دایرکتوری های برای جستجو و پیدا کردن دستورات متفاوتی که نیاز دارد میباشد.

$ sudo rkhunter –check –bindir /mnt/safe

لینک مقالات مرتبط با این نوشته

لینک مقاله ی اکسپلویت چیست

  مقاله  Malware چیست

آیا سیستم عامل Linux بدون Virus است؟

برچسب ها:

دیدگاهتان را بنویسید