Phenquestions
Meestal moet het slachtoffer, wanneer de aanwezigheid van een rootkit wordt gedetecteerd, het besturingssysteem en nieuwe hardware opnieuw installeren, bestanden analyseren die naar de vervanging moeten worden overgebracht en in het ergste geval zal hardwarevervanging nodig zijn.Het is belangrijk om de mogelijkheid van valse positieven te benadrukken, dit is het grootste probleem van chkrootkit, daarom is de aanbeveling om, wanneer een bedreiging wordt gedetecteerd, extra alternatieven uit te voeren voordat maatregelen worden genomen. Deze tutorial zal ook kort rkhunter als alternatief onderzoeken. Het is ook belangrijk om te zeggen dat deze tutorial is geoptimaliseerd voor gebruikers van Debian en gebaseerde Linux-distributies, de enige beperking voor andere gebruikers van distributies is het installatiegedeelte, het gebruik van chkrootkit is hetzelfde voor alle distro's.
Omdat rootkits verschillende manieren hebben om hun doelen te bereiken door schadelijke software te verbergen, biedt Chkrootkit een verscheidenheid aan tools om deze manieren te betalen. Chkrootkit is een toolsuite die het belangrijkste chkrootkit-programma en aanvullende bibliotheken bevat die hieronder worden vermeld:
chkrootkit: Hoofdprogramma dat binaire bestanden van het besturingssysteem controleert op wijzigingen in de rootkit om te zien of de code is vervalst.
ifpromisc.c: controleert of de interface in promiscue modus staat. Als een netwerkinterface in promiscue modus is, kan deze door een aanvaller of schadelijke software worden gebruikt om het netwerkverkeer vast te leggen om het later te analyseren.
chklastlog.c: controleert op verwijderingen van het laatste logboek. Lastlog is een commando dat informatie toont over de laatste logins. Een aanvaller of rootkit kan het bestand wijzigen om detectie te voorkomen als de systeembeheerder deze opdracht controleert om informatie over aanmeldingen te verkrijgen.
chkwtmp.c: controleert op wtmp-verwijderingen. Op dezelfde manier als het vorige script, controleert chkwtmp het bestand wtmp, dat informatie bevat over de aanmeldingen van gebruikers om te proberen wijzigingen erin te detecteren in het geval dat een rootkit de vermeldingen heeft gewijzigd om detectie van indringers te voorkomen.
check_wtmpx.c: Dit script is hetzelfde als het bovenstaande, maar Solaris-systemen.
chkproc.c: controleert op tekenen van trojans binnen LKM (Loadable Kernel Modules).
chkdirs.c: heeft dezelfde functie als de bovenstaande, controleert op trojans in kernelmodules.
snaren.c: snelle en vuile vervanging van snaren om de aard van de rootkit te verbergen.
chkutmp.c: dit lijkt op chkwtmp maar controleert in plaats daarvan het utmp-bestand file.
Alle hierboven genoemde scripts worden uitgevoerd wanneer we uitvoeren chkrootkit.
Om te beginnen met het installeren van chkrootkit op Debian en gebaseerde Linux-distributies:
# apt installeer chkrootkit -y
Eenmaal geïnstalleerd om het uit te voeren, voert u het volgende uit:
# sudo chkrootkit
Tijdens het proces kun je zien dat alle scripts waarin chkrootkit is geïntegreerd, worden uitgevoerd en elk hun deel doen.
U kunt een comfortabeler beeld krijgen door te scrollen door een pijp toe te voegen en minder:
# sudo chkrootkit | minder
U kunt de resultaten ook naar een bestand exporteren met behulp van de volgende syntaxis:
# sudo chkrootkit > resultaten
Om vervolgens het uitvoertype te zien:
# minder resultaten
Opmerking: u kunt "resultaten" vervangen voor elke naam die u aan het uitvoerbestand wilt geven.
Standaard moet u chkrootkit handmatig uitvoeren zoals hierboven uitgelegd, maar u kunt dagelijkse automatische scans definiëren door het chkrootkit-configuratiebestand te bewerken dat zich bevindt in /etc/chkrootkit.conf, probeer het met nano of een andere teksteditor die je leuk vindt:
# nano /etc/chkrootkit.conf
Om dagelijkse automatische scan te bereiken, scant u de eerste regel met: RUN_DAILY=”false” moet worden bewerkt tot RUN_DAILY="waar"
Zo zou het eruit moeten zien:
druk op CTRL+X en Y om op te slaan en af te sluiten.
Rootkit Hunter, een alternatief voor chkrootkit:
Een andere optie voor chkrootkit is RootKit Hunter, het is ook een aanvulling als je bedenkt of je rootkits hebt gevonden die een van hen gebruiken, het gebruik van het alternatief is verplicht om valse positieven te verwijderen.
Om te beginnen met RootKitHunter, installeer het door het volgende uit te voeren:
# apt installeer rkhunter -y
Na de installatie voert u de volgende opdracht uit om een test uit te voeren:
# rkhunter --checkZoals je kunt zien, is de eerste stap van RkHunter, net als chkrootkit, het analyseren van de systeembinaries, maar ook bibliotheken en strings:
Zoals u zult zien, zal RkHunter u, in tegenstelling tot chkrootkit, vragen om op ENTER te drukken om door te gaan met de volgende stappen, voorheen controleerde RootKit Hunter de binaire bestanden en bibliotheken van het systeem, nu gaat het voor bekende rootkits:
Druk op ENTER om RkHunter door te laten gaan met zoeken naar rootkits:
Vervolgens controleert het, net als chkrootkit, uw netwerkinterfaces en ook poorten waarvan bekend is dat ze worden gebruikt door achterdeurtjes of trojans:
Ten slotte zal het een samenvatting van de resultaten afdrukken.
Je hebt altijd toegang tot resultaten die zijn opgeslagen op /var/log/rkhunter.log:
Als u vermoedt dat uw apparaat is geïnfecteerd door een rootkit of is gecompromitteerd, kunt u de aanbevelingen volgen die worden vermeld op: https://linuxhint.com/detect_linux_system_hacked/.
Ik hoop dat je deze tutorial over het installeren, configureren en gebruiken van chkrootkit nuttig vond. Blijf Linux volgen Hint voor meer tips en updates over Linux en netwerken.
