Hardware

Rootkit: cosa sono e come rilevarli in Linux

2024
Rootkit: cosa sono e come rilevarli in Linux

Sommario:

Anonim

È probabile che un intruso possa intrufolarsi nel tuo sistema, la prima cosa che faranno è installare una serie di rootkit. Con questo otterrai il controllo del sistema da quel momento. Questi strumenti citati rappresentano un grande rischio. Pertanto, è estremamente necessario sapere di cosa trattano, il loro funzionamento e come rilevarli.

La prima volta che hanno notato la sua esistenza è stata negli anni '90, nel sistema operativo SUN Unix. La prima cosa che gli amministratori hanno notato è stato un comportamento strano sul server. CPU abusata, carenza di spazio su disco rigido e connessioni di rete non identificate tramite il comando netstat .

ROOTKITS: cosa sono e come rilevarli in Linux

Cosa sono i rootkit?

Sono strumenti, il cui obiettivo principale è nascondersi e nascondere qualsiasi altra istanza che rivela la presenza intrusiva nel sistema. Ad esempio, qualsiasi modifica in processi, programmi, directory o file. Ciò consente all'intruso di accedere al sistema da remoto e in modo impercettibile, nella maggior parte dei casi per scopi dannosi come l'estrazione di informazioni di grande importanza o l'esecuzione di azioni distruttive. Il suo nome deriva dall'idea che un rootkit ti consente di accedervi facilmente come utente root, dopo la sua installazione.

Il suo funzionamento si concentra sul fatto di sostituire i file di programma di sistema con versioni modificate, al fine di eseguire azioni specifiche. Cioè, imitano il comportamento del sistema, ma mantengono nascoste altre azioni e prove dell'intruso esistente. Queste versioni modificate si chiamano Trojan. Quindi, fondamentalmente, un rootkit è un insieme di Trojan.

Come sappiamo, in Linux, i virus non rappresentano un pericolo. Il rischio maggiore sono le vulnerabilità che vengono scoperte giorno per giorno nei programmi. Che può essere sfruttato per un intruso per installare un rootkit. Qui sta l' importanza di mantenere il sistema aggiornato nella sua interezza, verificando continuamente il suo stato.

Alcuni dei file che sono solitamente vittime di Trojan sono login, telnet, su, ifconfig, netstat, find, tra gli altri.

Inoltre, quelli appartenenti all'elenco /etc/inetd.conf.

Potresti essere interessato a leggere: Suggerimenti per rimanere senza malware su Linux

Tipi di rootkit

Possiamo classificarli in base alla tecnologia che usano. Di conseguenza, abbiamo tre tipi principali.

  • Binari: quelli che riescono a influenzare una serie di file di sistema critici. Sostituzione di alcuni file con i loro simili modificati. Core: quelli che influenzano i componenti core. Dalle librerie: fanno uso delle librerie di sistema per conservare i Trojan.

Rilevamento di rootkit

Possiamo farlo in diversi modi:

  • Verifica della legittimità dei file. Questo attraverso algoritmi utilizzati per verificare la somma. Questi algoritmi sono in stile checksum MD5 , che indicano che affinché la somma di due file sia uguale, è necessario che entrambi i file siano identici. Quindi, come un buon amministratore, devo archiviare il mio checksum di sistema su un dispositivo esterno. In questo modo, in seguito sarò in grado di rilevare l'esistenza di rootkit attraverso un confronto di quei risultati con quelli di un certo momento, con alcuni strumenti di misurazione progettati a tale scopo. Ad esempio, Tripwire . Un altro modo che ci consente di rilevare l'esistenza di rootkit è quello di eseguire scansioni delle porte da altri computer, al fine di verificare se ci sono backdoor in ascolto su porte normalmente non utilizzate. Esistono anche demoni specializzati come rkdet per rilevare i tentativi di installazione e in alcuni casi addirittura impedire che ciò accada e avvisare l'amministratore.Un altro strumento è il tipo di script della shell, come Chkrootkit , che è responsabile della verifica dell'esistenza dei binari nel sistema, modificato dai rootkit.
Ti consigliamo le migliori alternative a Microsoft Paint su Linux

Comunicaci se sei stato vittima di un attacco con rootkit o quali sono le tue pratiche per evitarlo?

Contattaci per qualsiasi domanda. E, naturalmente, vai alla nostra sezione Tutorial o alla nostra categoria Linux, dove troverai molte informazioni utili per ottenere il massimo dal nostro sistema.

Applicazioni portatili: cosa sono e a cosa servono?

Applicazioni portatili: cosa sono e a cosa servono?

Le applicazioni portatili sono software che è possibile eseguire e utilizzare sul computer senza occupare spazio aggiuntivo.

Il miglior cdn per il tuo sito Web o wordpress: cosa sono e a cosa servono?

Il miglior cdn per il tuo sito Web o wordpress: cosa sono e a cosa servono?

Spieghiamo cos'è una CDN e quali sono attualmente le migliori CDN. Tra questi ci sono CloudFlare, Amazon AWS / Cloudfront e MaxCDN.

Cosa sono e cosa sono i cookie del browser

Cosa sono e cosa sono i cookie del browser

Quali sono i cookie del tuo browser ea cosa servono? Scopri di più sulla definizione e l'utilità dei cookie nel tuo browser.

Hardware

Scelta dell'editore

HTC sta perdendo interesse per Windows Phone?

HTC sta perdendo interesse per Windows Phone?

2024
Samsung Ativ Q

Samsung Ativ Q

2024
Immagini di quello che potrebbe essere il nuovo Nokia Lumia EOS

Immagini di quello che potrebbe essere il nuovo Nokia Lumia EOS

2024
Dispositivi Build 2013: in attesa dei produttori

Dispositivi Build 2013: in attesa dei produttori

2024
Back to top button