Como encontrar Rootkits com Rkhunter

Como encontrar Rootkits com Rkhunter
Usamos a Internet para comunicar, aprender, ensinar, comprar, vender e fazer muitas outras atividades. Estamos constantemente conectando nossos dispositivos à Internet para compartilhar e coletar informações. No entanto, isso vem com seus benefícios e perigos.

Um dos perigos mais proeminentes e sempre presentes de conectar-se à Internet é um sistema compreendido em que os invasores podem usar seus dispositivos para roubar informações pessoais e outras informações confidenciais.

Embora existam vários métodos que alguém pode usar para atacar um sistema, os rootkits são uma escolha popular entre hackers maliciosos. A essência deste tutorial é ajudá -lo a aprimorar a segurança do seu dispositivo Linux usando o RKHunter ou o Rootkit Hunter.

Vamos começar.

O que são rootkits?

Rootkits são programas e executáveis ​​poderosos e maliciosos instalados em um sistema comprometido para preservar o acesso, mesmo que um sistema tenha um patch de vulnerabilidade de segurança.

Tecnicamente, os rootkits são algumas das ferramentas maliciosas mais incríveis usadas no segundo na etapa final no estágio de teste de penetração (mantendo o acesso).

Depois que alguém instala um rootkit em um sistema, ele fornece ao controle remoto do atacante acesso ao sistema ou rede. Na maioria dos casos, os rootkits são mais do que um único arquivo que executa várias tarefas, incluindo a criação de usuários, os processos de partida, a exclusão de arquivos e outras ações prejudiciais ao sistema.

Referência divertida: Uma das melhores ilustrações de como as raízes são nocivas é no programa de TV Senhor. Robô. Episódio 101. Minutos 25-30. Citação m. Robot (“Desculpe, é um código malicioso que assume completamente o sistema deles. Ele pode excluir arquivos do sistema, instalar programas, vírus, vermes ... é fundamentalmente invisível, você não pode impedir.”)

Tipo de rootkits

Existem vários tipos de raiz, cada um executando várias tarefas. Não vou mergulhar em como eles funcionam ou como construir um. Eles incluem:

Rootkits de nível de kernel: Esses tipos de rootkits operam no nível do kernel; Eles podem executar operações na parte central do sistema operacional.

Nível de usuário Rootkits: Esses rootkits operam no modo de usuário normal; Eles podem executar tarefas como navegar em diretórios, exclusão de arquivos, etc.

Rootkits de nível de memória: Esses rootkits residem na memória principal do seu sistema e HOP os recursos do seu sistema. Como eles não injetam nenhum código no sistema, uma reinicialização simples pode ajudá -lo a removê -los.

Rootkits de nível de bootloader: Esses rootkits segmentam principalmente o sistema de carregador de inicialização e afetam principalmente o carregador de inicialização e não os arquivos do sistema.

Rootkits de firmware: Eles são um tipo muito grave de raízes que afetam o firmware do sistema, infectando assim todas as outras partes do seu sistema, incluindo hardware. Eles são altamente indetectáveis ​​em um programa AV normal.

Se você deseja experimentar o Rootkits desenvolvidos por outros ou construir o seu, considere aprender mais com o seguinte recurso:

https: // AwesomeOpensource.com/project/d30sa1/rootkits-list-download

OBSERVAÇÃO: Teste Rootkits em uma máquina virtual. Use por sua conta e risco!

O que é rkhunter

Rkhunter, comumente conhecido como RKH, é um utilitário Unix que permite que os usuários digitalizem sistemas de rootkits, explorações, backdoors e keyloggers. RKH funciona comparando hashes gerados a partir de arquivos de um banco de dados on -line de hashes não afetados.

Saiba mais sobre como o RKH funciona lendo seu wiki a partir do recurso fornecido abaixo:

https: // sourceforge.net/p/rkhunter/wiki/index/

Instalando o RKHunter

RKH está disponível nas principais distribuições Linux e você pode instalá -lo usando gerentes de pacotes populares.

Instale no Debian/Ubuntu

Para instalar em Debian ou Ubuntu:

Atualização de sudo apt-get
sudo apt -get install rkhunter -y

Instale no CentOS/Rehl

Para instalar nos sistemas REHL, faça o download do pacote usando o CURL, como mostrado abaixo:

Curl -olj https: // sourceforge.net/projetos/rkhunter/arquivos/mais recente/download

Depois de baixar o pacote, descompacte o arquivo e execute o script do instalador fornecido.

[CENTOS@CENTOS8 ~] $ TAR XVF RKHUNTER-1.4.6.alcatrão.gz
[CENTOS@CENTOS8 ~] $ CD RKHUNTER-1.4.6/
[CENTOS@CENTOS8 RKHUNTER-1.4.6] $ sudo ./instalador.sh -Instalação

Depois que o instalador concluir, você deve ter o RKHunter instalado e pronto para usar.

Como executar uma verificação do sistema usando RKHunter

Para executar uma verificação do sistema usando a ferramenta RKHunter, use o comando:

Csudo Rkhunter -Check

A execução deste comando iniciará o RKH e executará uma verificação completa do sistema no seu sistema usando uma sessão interativa, como mostrado abaixo:

Após a conclusão, você deve obter um relatório completo de verificação do sistema e logs no local especificado.

Conclusão

Este tutorial deu a você uma idéia melhor do que são rootkits, como instalar o RKHunter e como executar uma verificação do sistema para rootkits e outros explorações. Considere executar uma verificação de um sistema mais profundo para obter sistemas críticos e consertá -los.

Happy Rootkit Hunting!