Sakņu komplekti: kādi tie ir un kā tos atklāt Linux

Iespējams, ka iebrucējs var ielīst jūsu sistēmā, pirmais, ko viņi darīs, ir instalēt sakņu komplektu. Ar to jūs no šī brīža iegūsit kontroli pār sistēmu. Šie minētie rīki rada lielu risku. Tāpēc ir ārkārtīgi nepieciešams zināt, kas tie ir, to darbība un kā tos atklāt.

Pirmo reizi viņi pamanīja tā pastāvēšanu 90. gados SUN Unix operētājsistēmā. Pirmais, ko administratori pamanīja, bija dīvaina uzvedība serverī. Pārmērīgi izmantots centrālais procesors, vietas cietajā diskā trūkums un neidentificēti tīkla savienojumi, izmantojot komandu netstat .

ROOTKITS: Kas tie ir un kā tos atklāt operētājsistēmā Linux

Kas ir sakņu komplekti?

Tie ir instrumenti, kuru galvenais mērķis ir paslēpties un paslēpt jebkuru citu gadījumu, kas atklāj uzmācīgo klātbūtni sistēmā. Piemēram, jebkādas procesu, programmu, direktoriju vai failu modifikācijas. Tas ļauj iebrucējam iekļūt sistēmā attālināti un nemanāmi, vairumā gadījumu ļaunprātīgiem mērķiem, piemēram, iegūt ļoti svarīgu informāciju vai veikt iznīcinošas darbības. Tās nosaukums cēlies no idejas, ka sakņu komplekts pēc instalēšanas ļauj tam viegli piekļūt kā saknes lietotājam.

Tās darbība koncentrējas uz sistēmas programmu failu aizstāšanu ar mainītām versijām, lai izpildītu noteiktas darbības. Tas ir, tie atdarina sistēmas uzvedību, bet citas slēptās darbības un pierādījumus par esošo iebrucēju glabā. Šīs modificētās versijas sauc par Trojas zirgiem. Tātad būtībā sakņu komplekts ir Trojas zirgu komplekts.

Kā mēs zinām, Linux vīrusi nav briesmas. Vislielākais risks ir ievainojamības, kuras katru dienu tiek atklātas jūsu programmās. Ko var izmantot iebrucējiem, lai instalētu sakņu komplektu. Šeit ir svarīgi regulāri atjaunināt sistēmu kopumā, pastāvīgi pārbaudot tās statusu.

Daži no failiem, kas parasti ir Trojas zirgu upuri, ir login, telnet, su, ifconfig, netstat, find, cita starpā.

Kā arī tie, kas pieder /etc/inetd.conf sarakstam.

Jums varētu būt interesanti lasīt: Padomi, kā atbrīvoties no ļaunprātīgas programmatūras operētājsistēmā Linux

Sakņu komplektu veidi

Mēs tos varam klasificēt pēc izmantotās tehnoloģijas. Attiecīgi mums ir trīs galvenie veidi.

• Binārie faili: tie, kuriem izdodas ietekmēt kritisko sistēmas failu kopu. Atsevišķu failu aizstāšana ar modificētajiem līdzīgajiem. Kodols: Tie, kas ietekmē galvenās sastāvdaļas. No bibliotēkām: Trojas zirgu paturēšanai viņi izmanto sistēmas bibliotēkas.

Sakņu komplektu noteikšana

Mēs to varam izdarīt vairākos veidos:

• Datņu likumības pārbaude. Tas tiek veikts caur algoritmiem, kurus izmanto, lai pārbaudītu summu. Šie algoritmi ir MD5 kontrolsummas stils, kas norāda, ka, lai divu failu summa būtu vienāda, ir nepieciešams, lai abi faili būtu identiski. Tā kā man kā labam administratoram mana sistēmas kontrolsumma jāuzglabā ārējā ierīcē. Tādā veidā vēlāk es varēšu noteikt sakņu komplektu esamību, salīdzinot šos rezultātus ar noteikta brīža rezultātiem, izmantojot kādu šim mērķim izstrādātu mērīšanas rīku. Piemēram, Tripwire . Vēl viens veids, kas ļauj noteikt sakņu komplektu esamību, ir portu skenēšana no citiem datoriem, lai pārbaudītu, vai ostās, kuras parasti netiek izmantotas, ir aizmugurējās durvis, kuras klausās, ir arī specializēti dēmoni, piemēram, rkdet atklāt instalēšanas mēģinājumus un dažos gadījumos pat novērst tā atkārtošanos un paziņot administratoram. Vēl viens rīks ir apvalka skripta tips, piemēram, Chkrootkit , kurš ir atbildīgs par bināru esamības pārbaudi sistēmā, ko modificē rootkit.

Mēs iesakām jums labākās alternatīvas Microsoft Paint operētājsistēmā Linux

Pastāstiet mums, vai esat kļuvis par upuri uzbrukumam ar sakņu komplektiem, vai kāda ir jūsu prakse, lai no tā izvairītos?

Sazinieties ar mums, ja jums ir kādi jautājumi. Un, protams, dodieties uz sadaļu Pamācības vai Linux kategoriju, kur atradīsit daudz noderīgas informācijas, lai maksimāli izmantotu mūsu sistēmu.