Zatímco GNU / Linux je extrémně bezpečný operační systém, mnoho lidí se nechává nalákat do falešného pocitu bezpečí. Mají špatnou představu, že se nikdy nemůže nic stát, protože pracují v zabezpečeném prostředí. Je pravda, že v prostředí Linuxu existuje velmi málo malwaru, ale stále je velmi možné, že by instalace Linuxu mohla být nakonec kompromitována. Pokud nic jiného, pak je zvažování možnosti rootkitů a dalších podobných útoků důležitou součástí správy systému. Rootkit označuje sadu nástrojů, které uživatelé třetích stran získají poté, co získají přístup k počítačovému systému, ke kterému nemají oprávněný přístup. Tuto sadu lze poté použít k úpravám souborů bez vědomí oprávněných uživatelů. Balíček odkrytí poskytuje technologii potřebnou k rychlému nalezení takto napadeného softwaru.
Unhide je v úložištích většiny hlavních distribucí Linuxu. Použití příkazu správce balíčků, jako je sudo apt-get install unhide, stačí k vynucení instalace na verze Debian a Ubuntu. Servery s přístupem GUI mohou používat Správce balíčků Synaptic. Distribuce Fedora a Arch mají předem připravené verze odkrytí pro jejich vlastní systémy správy balíčků. Jakmile je odkrýt nainstalován, správci systému by měli být schopni jej používat několika různými způsoby.
Metoda 1: Bruteforcing ID procesu
Nejzákladnější technika zahrnuje bruteforcing každého ID procesu, aby bylo zajištěno, že žádný z nich nebyl před uživatelem skryt. Pokud nemáte přístup root, zadejte do příkazového řádku rozhraní příkaz sudo unhide brute -d. Možnost d zdvojnásobí test, aby se snížil počet hlášených falešných poplachů.
Výstup je extrémně základní. Po zprávě o autorských právech bude funkce Hide vysvětlovat kontroly, které provádí. K dispozici bude řádek uvádějící:
[*] Zahájení skenování hrubou silou proti PIDS pomocí vidlice ()a další uvádí:
[*] Zahájení skenování hrubou silou proti PIDS s funkcemi pthread
Pokud neexistuje žádný jiný výstup, není důvod k obavám. Pokud brutální podprogram programu něco najde, bude hlásit něco jako:
Nalezeno SKRYTÉ PID: 0000
Čtyři nuly by byly nahrazeny platným číslem. Pokud pouze čte, že jde o přechodný proces, pak by to mohlo být falešně pozitivní. Nebojte se test spustit několikrát, dokud nedosáhnete čistého výsledku. Pokud existují další informace, může to vyžadovat následnou kontrolu. Pokud potřebujete protokol, můžete pomocí přepínače -f vytvořit soubor protokolu v aktuálním adresáři. Novější verze programu nazývají tento soubor unhide-linux.log a obsahuje výstup ve formátu prostého textu.
Metoda 2: Porovnání / proc a / bin / ps
Místo toho můžete přímo odkrýt a porovnat seznamy procesů / bin / ps a / proc, abyste zajistili shodu těchto dvou samostatných seznamů ve stromu souborů Unix. Pokud je něco špatně, program ohlásí neobvyklý PID. Pravidla Unix stanoví, že běžící procesy musí v těchto dvou seznamech uvádět identifikační čísla. Chcete-li zahájit test, zadejte sudo unhide proc -v. Zapnutím v přepnete program do podrobného režimu.
Tato metoda vrátí výzvu s uvedením:
[*] Hledání skrytých procesů pomocí / proc statistického skenováníPokud dojde k něčemu neobvyklému, objeví se za tímto řádkem textu.
Metoda 3: Kombinace technik Proc a Procfs
V případě potřeby můžete skutečně porovnat seznamy stromů souborů / bin / ps a / proc Unix a zároveň porovnat všechny informace ze seznamu / bin / ps s položkami virtuálních procfs. Tím se zkontrolují jak pravidla unixového stromového souboru, tak i data procfs. Chcete-li provést tento test, zadejte sudo unhide procall -v, což může trvat docela dlouho, protože musí skenovat všechny statistiky / proc a provádět několik dalších testů. Je to vynikající způsob, jak zajistit, aby vše na serveru bylo kopasetické.
Metoda 4: Porovnání výsledků procfs s / bin / ps
Předchozí testy jsou pro většinu aplikací příliš zapojené, ale pro jistotu byste mohli spustit kontroly souborového systému proc nezávisle. Zadejte sudo unhide procfs -m, který provede tyto kontroly plus několik dalších kontrol poskytovaných připínáním na -m.
Toto je stále poměrně zapojený test a může to chvíli trvat. Vrací tři samostatné řádky výstupu:
Mějte na paměti, že pomocí kteréhokoli z těchto testů můžete vytvořit úplný protokol přidáním -f do příkazu.
Metoda 5: Spuštění rychlého skenování
Pokud potřebujete pouze spustit rychlou kontrolu, aniž byste se museli podrobit hloubkovým kontrolám, zadejte pouze sudo unhide quick, které by mělo běžet tak rychle, jak název napovídá. Tato technika kontroluje proc seznamy i systém souborů proc. Spustí také kontrolu, která zahrnuje porovnání informací shromážděných z / bin / ps s informacemi poskytnutými voláními systémových prostředků. To poskytuje jeden řádek výstupu, ale bohužel zvyšuje riziko falešných poplachů. Po kontrole předchozích výsledků je užitečné zkontrolovat je znovu.
Výstup je následující:
[*] Hledání skrytých procesů porovnáním výsledků systémových volání, proc, dir a psPo spuštění této kontroly se může zobrazit několik přechodných procesů.
Metoda 6: Spuštění zpětného skenování
Vynikající technika pro vyčenávání rootkitů zahrnuje ověření všech vláken PS. Pokud spustíte příkaz ps na příkazovém řádku CLI, uvidíte seznam spuštěných příkazů z terminálu. Zpětné skenování ověří, že každé vlákno procesoru, že obrazy ps vykazují platná systémová volání, a lze je vyhledat v seznamu procfs. Je to skvělý způsob, jak zajistit, aby rootkit něco nezabil. Tuto kontrolu spustíte jednoduše zadáním sudo unhide reverse. Měl by běžet extrémně rychle. Po spuštění by vás program měl upozornit, že hledá falešné procesy.
Metoda 7: Porovnání / bin / ps se systémovými voláními
Nakonec nejkomplexnější kontrola zahrnuje srovnání všech informací ze seznamu / bin / ps s informacemi převzatými z platných systémových volání. Chcete-li spustit tento test, zadejte sudo unhide sys. Je více než pravděpodobné, že bude trvat déle než ostatní. Jelikož poskytuje tolik různých výstupních řádků, můžete použít příkaz -f log-to-file, abyste usnadnili ohlédnutí za vším, co našlo.
4 minuty čtení
