Come trovare i rootkit con rkhunter

Usiamo Internet per comunicare, imparare, insegnare, fare acquisti, vendiamo e svolgiamo molte altre attività. Collegiamo costantemente i nostri dispositivi a Internet per condividere e raccogliere informazioni. Tuttavia, farlo arriva con i suoi benefici e pericoli.

Uno dei pericoli più importanti e sempre presenti di connettersi a Internet è un sistema composto in cui gli aggressori possono utilizzare i tuoi dispositivi per rubare informazioni personali e altre informazioni sensibili.

Sebbene ci siano vari metodi che qualcuno può usare per attaccare un sistema, i rootkit sono una scelta popolare tra gli hacker dannosi. L'essenza di questo tutorial è di aiutarti a migliorare la sicurezza del tuo dispositivo Linux utilizzando Rkhunter o Rootkit Hunter.

Iniziamo.

Cosa sono i rootkit?

I rootkit sono programmi potenti e dannosi ed eseguibili installati su un sistema compromesso per preservare l'accesso anche se un sistema ha una patch di vulnerabilità della sicurezza.

Tecnicamente, i rootkit sono alcuni degli strumenti maliziosi più sorprendenti utilizzati nel secondo al passaggio finale nella fase di test di penetrazione (mantenendo l'accesso).

Una volta che qualcuno installa un rootkit in un sistema, fornisce l'accesso del controllo del telecomando al sistema o alla rete. Nella maggior parte dei casi, i rootkit sono più di un singolo file che esegue varie attività tra cui la creazione di utenti, i processi di avvio, l'eliminazione di file e altre azioni dannose per il sistema.

Riferimento divertente: Una delle migliori illustrazioni di quanto siano dannosi rootkit nello show televisivo Sig. Robot. Episodio 101. Minuti 25-30. Citazione MR. Robot ("scusa, è un codice dannoso che prende completamente il loro sistema. Potrebbe eliminare i file di sistema, installare programmi, virus, vermi ... è fondamentalmente invisibile, non puoi fermarlo.")

Tipo di rootkit

Esistono vari tipi di rootkit, ognuno dei quali esegue vari compiti. Non mi immergerò su come funzionano o su come costruirne uno. Loro includono:

Rootkit a livello di kernel: Questi tipi di rootkit operano a livello di kernel; Possono eseguire operazioni nella parte principale del sistema operativo.

Rootkit a livello di utente: Questi rootkit funzionano in modalità utente normale; Possono eseguire attività come directory di navigazione, eliminazione di file, ecc.

Rootkit del livello di memoria: Questi rootkit risiedono nella memoria principale del sistema e acconsentano le risorse del sistema. Poiché non iniettano alcun codice nel sistema, un semplice riavvio può aiutarti a rimuoverli.

Rootkit a livello di bootloader: Questi rootkit prendono di mira principalmente il sistema bootloader e influiscono principalmente sui file di bootloader e non di sistema.

Rootkit del firmware: Sono un tipo molto grave di rootkit che influenzano il firmware del sistema, infettando così tutte le altre parti del sistema, incluso l'hardware. Sono altamente non rilevabili nell'ambito di un normale programma AV.

Se desideri sperimentare i rootkit sviluppati da altri o costruire il tuo, considera di imparare di più dalla seguente risorsa:

https: // Awesomeopensource.com/progetto/d30sa1/rootkits-list-download

NOTA: Testa i rootkit su una macchina virtuale. Utilizzare a proprio rischio!

Cos'è Rkhunter

RKHUNTER, comunemente noto come RKH, è un'utilità UNIX che consente agli utenti di scansionare i sistemi per rootkit, exploit, backdoor e keylogger. RKH funziona confrontando gli hash generati dai file da un database online di hash non affetti.

Scopri di più su come funziona RKH leggendo la sua wiki dalla risorsa fornita di seguito:

https: // sourceforge.net/p/rkhunter/wiki/indice/

Installazione di RKHUNTER

RKH è disponibile nelle principali distribuzioni Linux e puoi installarlo utilizzando i pacchetti popolari.

Installa su Debian/Ubuntu

Per installare su Debian o Ubuntu:

Sudo Apt-get Aggiornamento
sudo apt -get install rkhunter -y

Installa su CentOS/REHL

Per installare sui sistemi REHL, scarica il pacchetto utilizzando Curl come mostrato di seguito:

Curl -olj https: // sourceforge.net/progetti/rkhunter/files/ultimo/download

Una volta scaricato il pacchetto, disimballare l'archivio ed eseguire lo script di installazione fornito.

[Centos@centos8 ~] $ tar xvf rkhunter-1.4.6.catrame.Gz
[Centos@Centos8 ~] $ CD RKHUNTER-1.4.6/
[CentOS@CentOS8 RKHUNTER-1.4.6] $ sudo ./Installatore.Sh -Installa

Una volta completato l'installatore, dovresti avere RKHunter installato e pronto per l'uso.

Come eseguire un controllo di sistema utilizzando rkhunter

Per eseguire un controllo di sistema utilizzando lo strumento RKHunter, utilizzare il comando:

csudo rkhunter --check

L'esecuzione di questo comando lancerà RKH ed eseguirà un controllo completo del sistema sul sistema utilizzando una sessione interattiva come mostrato di seguito:

Dopo il completamento, è necessario ottenere un rapporto di controllo del sistema completo e registri nella posizione specificata.

Conclusione

Questo tutorial ti ha dato un'idea migliore di cosa siano i rootkit, come installare rkhunter e come eseguire un sistema di controllo per rootkit e altri exploit. Prendi in considerazione l'esecuzione di un controllo di sistema più profondo per sistemi critici e risolvili.

Happy Rootkit Hunting!