Wenn das Opfer das Vorhandensein eines Rootkits erkennt.Es ist wichtig, die Möglichkeit falscher Positives hervorzuheben. Dies ist das Hauptproblem von Chkrootkit. Wenn daher eine Bedrohung festgestellt wird, wird die Empfehlung darin bestehen, zusätzliche Alternativen vor der Erfassung von Maßnahmen durchzuführen, dieses Tutorial wird RKHUNTER auch kurz als Alternative untersuchen. Es ist auch wichtig zu sagen.
Da Rootkits eine Vielzahl von Möglichkeiten haben, seine Ziele zu erreichen, die bösartige Software verstecken, bietet Chkrootkit eine Vielzahl von Tools, um sich diese Wege zu leisten. Chkrootkit ist eine Tools -Suite, die das Hauptchkrootkit -Programm und zusätzliche Bibliotheken enthalten, die unten aufgeführt sind:
Chkrootkit: Hauptprogramm, das Betriebssystem -Binärdateien für RootKit -Änderungen überprüft, um zu erfahren, ob der Code verfälscht wurde.
Ifpromisc.C: Überprüft, ob sich die Schnittstelle im promiskuitiven Modus befindet. Wenn sich eine Netzwerkschnittstelle im promiskuitiven Modus befindet, kann sie von einem Angreifer oder einer böswilligen Software verwendet werden, um den Netzwerkverkehr zu erfassen, um ihn später zu analysieren.
Chklastlog.C: Schecks auf Lastlog -Löschungen. LastLog ist ein Befehl, der Informationen zu letzten Anmeldungen zeigt. Ein Angreifer oder Rootkit kann die Datei ändern, um die Erkennung zu vermeiden, wenn der Sysadmin diesen Befehl überprüft, um Informationen zu Anmeldungen zu erlernen.
chkwtmp.C: Schecks auf WTMP -Löschungen. In ähnlicher Weise überprüft CHKWTMP im vorherigen Skript die Datei WTMP, die Informationen zu den Anmeldungen der Benutzer enthält, um zu versuchen, Änderungen daran zu erkennen, falls ein Rootkit die Einträge geändert hat, um die Erkennung von Intrusionen zu verhindern.
check_wtmpx.C: Dieses Skript entspricht dem oben genannten, aber Solaris -Systemen.
ChkProc.C: Schecks auf Anzeichen von Trojanern innerhalb von LKM (ladbare Kernelmodule).
Chkdirs.C: hat die gleiche Funktion wie die oben genannten, überprüft nach Trojanern innerhalb von Kernelmodulen.
Saiten.C: Schneller und schmutziger Strings Ersatz, um die Natur des Rootkit zu verbergen.
Chkutmp.C: Dies ähnelt CHKWTMP, überprüft jedoch stattdessen die UTMP -Datei.
Alle oben genannten Skripte werden beim Ausführen ausgeführt Chkrootkit.
Um mit der Installation von Chkrootkit auf Debian und basierten Linux -Distributionen zu beginnen:
# APT CHKROOTKIT -Y INSTALLIEN
Einmal installiert, um es auszuführen: Ausführende Ausführung:
# sudo chkrootkit
Während des Vorgangs sehen Sie, dass alle Skripte, die Chkrootkit integrieren.
Sie können eine komfortablere Aussicht mit dem Scrolling -Hinzufügen von Rohr und weniger erhalten:
# sudo chkrootkit | weniger
Sie können die Ergebnisse auch mit der folgenden Syntax in eine Datei exportieren:
# sudo chkrootkit> Ergebnisse
Dann den Ausgangstyp sehen:
# weniger Ergebnisse
Notiz: Sie können „Ergebnisse“ für jeden Namen ersetzen, den Sie der Ausgabedatei angeben möchten.
Standardmäßig müssen Sie Chkrootkit wie oben erläutert manuell ausführen. Sie können jedoch tägliche automatische Scans definieren, indem Sie die Chkrootkit -Konfigurationsdatei unter /etc /chkrootkit bearbeiten.Conf, versuchen Sie es mit Nano oder einem beliebigen Texteditor, den Sie mögen:
# Nano /etc /chkrootkit.Conf
Um den täglichen automatischen Scan die erste Zeile zu erreichen, die enthält Run_daily = "false" sollte bearbeitet werden zu Run_daily = "true"
So sollte es aussehen:
Drücken Sie Strg+X Und Y Zu speichern und beenden.
Rootkit Hunter, eine Alternative zu Chkrootkit:
Eine weitere Option für Chkrootkit ist Rootkit Hunter. Es ist auch eine Komplement.
Installieren Sie es, um mit Rootkithunter zu beginnen, indem Sie ausführen:
# APT Installieren Sie Rkhunter -y
Nach der Installation zum Ausführen eines Tests führen Sie den folgenden Befehl aus:
# RKHUNTER -CHECK
Wie Sie sehen können, besteht der erste Schritt von Rkhunter, wie Chkrootkit die Systembinärdateien, aber auch Bibliotheken und Zeichenfolgen, zu analysieren:
Wie Sie sehen werden, wird im Gegensatz zu Chkrootkit Rkhunter Sie aufgefordert, die Eingabetaste zu drücken, um mit den nächsten Schritten fortzufahren, zuvor Rootkit Hunter überprüft die Systembinärdateien und Bibliotheken. Jetzt wird es bekannt für bekannte Rootkits:
Drücken Sie die Eingabetaste, um RKHUNTER zuzulassen, um die Rootkits -Suche durchzuführen:
Wie bei Chkrootkit werden dann Ihre Netzwerkschnittstellen und auch Ports überprüft, die für die Verwendung von Backdoors oder Trojanern bekannt sind:
Schließlich wird eine Zusammenfassung der Ergebnisse drucken.
Sie können jederzeit auf Ergebnisse zugreifen, die gespeichert sind bei /var/log/rkhunter.Protokoll:
Wenn Sie vermuten, dass Ihr Gerät möglicherweise von einem Rootkit oder einer Kompromisse infiziert wird, können Sie den Empfehlungen befolgen.com/detekt_linux_system_hacked/.
Ich hoffe, Sie haben dieses Tutorial zur Installation, Konfiguration und Verwendung von Chkrootkit nützlich gefunden. Folgen Sie LinuxHint weiter, um weitere Tipps und Updates unter Linux und Networking zu erhalten.