ルートキット：それらは何であり、どのようにLinuxでそれらを検出するか

侵入者がシステムに侵入する可能性があります。侵入者が最初に行うことは、一連のルートキットをインストールすることです 。これにより、その瞬間からシステムを制御できるようになります。 これらの言及されたツールは大きなリスクを表しています 。したがって、それらが何であるか、それらの操作、およびそれらを検出する方法を知ることは非常に必要です。

彼らがその存在に初めて気付いたのは、90年代のSUN Unixオペレーティングシステムでした。管理者が最初に気づいたのは、サーバーでの奇妙な動作です。 CPUの過剰使用、ハードディスク領域の不足、および netstat コマンドによる未確認のネットワーク接続。

ルートキット：それらは何であり、Linuxでそれらを検出する方法

ルートキットとは何ですか？

それらはツールであり、 その主な目的は、自分自身を非表示にし、システム内の侵入的な存在を明らかにする他のインスタンスを非表示にすることです 。たとえば、プロセス、プログラム、ディレクトリ、またはファイルの変更。これにより、侵入者はシステムにリモートから気付かないうちに侵入できます。ほとんどの場合、非常に重要な情報の抽出や破壊的なアクションの実行などの悪意のある目的で行われます。その名前は、ルートキットを使用すると、インストール後にrootユーザーとして簡単にアクセスできるという考えに由来しています。

その操作は、特定のアクションを実行するために、システムプログラムファイルを変更されたバージョンに置き換えることに焦点を当てています。つまり、システムの動作を模倣しますが、他のアクションや既存の侵入者の証拠を隠します。これらの変更されたバージョンはトロイの木馬と呼ばれます。つまり、基本的に、ルートキットはトロイの木馬のセットです。

ご存知のように、Linuxではウイルスは危険ではありません。最大のリスクは、プログラムで日々発見される脆弱性です。これは、侵入者がルートキットをインストールするために悪用される可能性があります。ここでは、 システム全体を最新の状態に保ち、継続的にステータスを確認することが重要です 。

通常、トロイの木馬の犠牲になるファイルには、ログイン、telnet、su、ifconfig、netstat、findなどがあります。

同様に、/ etc / inetd.confリストに属するもの。

Linuxでマルウェアのない状態を保つためのヒント：

ルートキットの種類

使用するテクノロジーに応じて分類できます。したがって、主に3つのタイプがあります。

バイナリ：一連の重要なシステムファイルに影響を与えるもの。特定のファイルを変更された類似のもので置き換える。 コア：コアコンポーネントに影響を与えるもの。 ライブラリから：システムライブラリを使用してトロイの木馬を保持します。

ルートキットの検出

これにはいくつかの方法があります。

ファイルの正当性の検証。 これは、合計をチェックするために使用されるアルゴリズムを通じて。これらのアルゴリズムは MD5チェックサム スタイルであり、2つのファイルの合計を等しくするには、両方のファイルが同一である必要があることを示しています 。そのため、優れた管理者として、システムチェックサムを外部デバイスに保存する必要があります。このようにして、後でその目的のために設計された測定ツールを使用して、それらの結果を特定の瞬間の結果と比較することにより、ルートキットの存在を検出できるようになります。たとえば、 Tripwireなど 。ルートキットの存在を検出できるもう1つの方法は、他のコンピューターからポートスキャンを実行して、通常は使用されていないポートでリッスンしているバックドアがあるかどうかを確認することです。インストールの試行を検出し、場合によってはそれを阻止して管理者に通知します。別のツールは Chkrootkit などのシェルスクリプトタイプで、ルートキットによって変更されたシステム内のバイナリの存在を確認します。