اکثر rootkit ها از قدرت کرنل برای مخفی کردن خودشان استفاده میکنند و آنها تنها از درون Kernel قابل مشاهده هستند. چگونه باید rootkit ها را در سیستم عامل های لینوکس CentOS یا Debian شناسایی کنیم.
یک rootkit برنامه ایست (یا ترکیب چندین برنامه) که برای دریافت کنترل (در اصطلاح unix دسترسی و کنترل root و در اصطلاح ویندوزی دسترسی administrator) یک سیستم کامپیوتری بدون احراز هویت (دریافت user و password) توسط مالکان سیستم و مدیران مجاز، طراحی شده است.
همچنین توصیه میشود مطالعه کنید.
نحوه نصب LMD (مخفف Linux Malware Detect) به همراه آنتی ویروس ClamAV
آموزش نصب rkhunter در لینوکس
Malware (بدافزار) چیست ؟
آیا سیستم عامل لینوکس بدون ویروس است ؟
تشخیص Rootkit ها در Linux
شما میتوانید از ابزار زیر برای تشخیص rootkit های لینوکسی استفاده کنید.
نرم افزار Zeppoo
zeppoo برای شما امکان تشخیص rootkit های موجود روی معماری i386 و x86_64 را با استفاده از /dev/kmem و /dev/mem در لینوکس فراهم میکند. علاوه بر این، این ابزار میتواند هرگونه فراخوانی سیستم، علائم تخریب، تسک ها، و ارتباطات مخفی و موارد بیشمار دیگری را تشخیص دهد. میتوانید سورس آنرا از اینجا دانلود کنید.
نرم افزار Chkrootkit
Chkrootkit ابزاری برای چک کردن سیستم به منظور هر گونه علامتی از یک rootkit میباشد. برای نصب chkroot دستور زیر را اجرا کنید.
کار جستجوی rootkit ها را با وارد کردن دستور زیر آغاز کنید.
برای جستجوی عبارت های مشکوک دستور زیر را وارد کنید.
شما باید مسیر دستورات خارجی که توسط chkroot استفاده میشوند، مانند awk، grep و غیره را مشخص کنید. با استفاده از nfs مسیر /mnt/safe را در مد read-only مانت کنید و مسیر باینری /mnt/safe را trusted تعریف کنید. برای این منظور از دستور زیر استفاده میکنیم.
همچنین توصیه میشود مطالعه کنید.
دستور grep در لینوکس به همراه 12 مثال عملی
دستور AWK در لینوکس بخش اول
نرم افزار Rkhunter
rkhunter (یا rootkit hunter) یک ابزار یونیکسی میباشد که هر گونه rootkit, backdoor و هر مدل آسیب ممکن دیگری را اسکن میکند. rkhunter در حقیقت یک شل اسکریپت است که چک های متفاوتی را روی سیستم های لوکال انجام میدهد تا rootkit ها و بدافزارهای شناخته شده را امتحان و تشخیص دهد. همچنین چک هایی را برای مشاهده این که آیا دستورات و یا فایل های startup سیستم تغییر کرده اند، انجام میدهد بعلاوه چک های متفاوتی روی اینترفیس های شبکه شامل بررسی اپلیکیشن های در حال listen دارد. دستور زیر را برای نصب rkhunter اجرا کنید.
دستور زیر برای اجرا کردن چک های متفاوت روی سیستم لوکال مورد استفاده قرار میگیرد.
دستور زیر باعث میشود rkhunter بررسی کند که آیا ورژن جدیدتری از هر کدام از فایل های متنی دیتای خودش وجود دارد یا خیر.
دستور زیر مشخص میکند که چه دایرکتوری های برای جستجو و پیدا کردن دستورات متفاوتی که نیاز دارد میباشد.
امیدوارم مفید واقع شده باشد.
یک rootkit برنامه ایست (یا ترکیب چندین برنامه) که برای دریافت کنترل (در اصطلاح unix دسترسی و کنترل root و در اصطلاح ویندوزی دسترسی administrator) یک سیستم کامپیوتری بدون احراز هویت (دریافت user و password) توسط مالکان سیستم و مدیران مجاز، طراحی شده است.
همچنین توصیه میشود مطالعه کنید.
نحوه نصب LMD (مخفف Linux Malware Detect) به همراه آنتی ویروس ClamAV
آموزش نصب rkhunter در لینوکس
Malware (بدافزار) چیست ؟
آیا سیستم عامل لینوکس بدون ویروس است ؟
تشخیص Rootkit ها در Linux
شما میتوانید از ابزار زیر برای تشخیص rootkit های لینوکسی استفاده کنید.
نرم افزار Zeppoo
zeppoo برای شما امکان تشخیص rootkit های موجود روی معماری i386 و x86_64 را با استفاده از /dev/kmem و /dev/mem در لینوکس فراهم میکند. علاوه بر این، این ابزار میتواند هرگونه فراخوانی سیستم، علائم تخریب، تسک ها، و ارتباطات مخفی و موارد بیشمار دیگری را تشخیص دهد. میتوانید سورس آنرا از اینجا دانلود کنید.
نرم افزار Chkrootkit
Chkrootkit ابزاری برای چک کردن سیستم به منظور هر گونه علامتی از یک rootkit میباشد. برای نصب chkroot دستور زیر را اجرا کنید.
کد PHP:
$ sudo apt-get install chkrootkit
کد PHP:
$ sudo chkrootkit
کد PHP:
$ sudo chkrootkit -x | less
کد PHP:
$ sudo chkrootkit -p /mnt/safe
همچنین توصیه میشود مطالعه کنید.
دستور grep در لینوکس به همراه 12 مثال عملی
دستور AWK در لینوکس بخش اول
نرم افزار Rkhunter
rkhunter (یا rootkit hunter) یک ابزار یونیکسی میباشد که هر گونه rootkit, backdoor و هر مدل آسیب ممکن دیگری را اسکن میکند. rkhunter در حقیقت یک شل اسکریپت است که چک های متفاوتی را روی سیستم های لوکال انجام میدهد تا rootkit ها و بدافزارهای شناخته شده را امتحان و تشخیص دهد. همچنین چک هایی را برای مشاهده این که آیا دستورات و یا فایل های startup سیستم تغییر کرده اند، انجام میدهد بعلاوه چک های متفاوتی روی اینترفیس های شبکه شامل بررسی اپلیکیشن های در حال listen دارد. دستور زیر را برای نصب rkhunter اجرا کنید.
کد PHP:
$ sudo apt-get install rkhunter
کد PHP:
$ sudo rkhunter --check
کد PHP:
$ sudo rkhunter --update
کد PHP:
$ sudo rkhunter --check --bindir /mnt/safe
امیدوارم مفید واقع شده باشد.
کامنت