Rootkit: apa itu dan bagaimana mendeteksi mereka di linux

Kemungkinan penyusup dapat menyusup ke sistem Anda, hal pertama yang akan mereka lakukan adalah memasang serangkaian rootkit. Dengan ini, Anda akan mendapatkan kendali sistem sejak saat itu. Alat-alat yang disebutkan ini mewakili risiko besar. Oleh karena itu, sangat penting untuk mengetahui tentang apa itu, operasi mereka dan bagaimana cara mendeteksi mereka.

Pertama kali mereka mengetahui keberadaannya adalah di tahun 90-an, di sistem operasi SUN Unix. Hal pertama yang dilihat administrator adalah perilaku aneh di server. CPU yang digunakan secara berlebihan, kekurangan ruang hard disk, dan koneksi jaringan yang tidak dikenal melalui perintah netstat .

ROOTKITS: Apa itu dan bagaimana cara mendeteksinya di Linux

Apa itu Rootkit?

Mereka adalah alat, yang tujuan utamanya adalah menyembunyikan diri dan menyembunyikan contoh lain yang mengungkapkan kehadiran mengganggu dalam sistem. Misalnya, setiap modifikasi dalam proses, program, direktori atau file. Hal ini memungkinkan penyusup memasuki sistem dari jarak jauh dan tidak terlihat, dalam banyak kasus untuk tujuan jahat seperti mengekstraksi informasi yang sangat penting atau melakukan tindakan destruktif. Namanya berasal dari gagasan bahwa rootkit memungkinkan Anda untuk mengaksesnya dengan mudah sebagai pengguna root, setelah instalasi.

Operasinya berfokus pada fakta mengganti file program sistem dengan versi yang diubah, untuk menjalankan tindakan tertentu. Artinya, mereka meniru perilaku sistem, tetapi menyembunyikan tindakan lain dan bukti penyusup yang ada. Versi modifikasi ini disebut Trojans. Jadi pada dasarnya, rootkit adalah seperangkat Trojans.

Seperti yang kita ketahui, di Linux, virus tidak berbahaya. Risiko terbesar adalah kerentanan yang ditemukan hari demi hari dalam program Anda. Yang dapat dieksploitasi untuk penyusup untuk menginstal rootkit. Di sinilah letak pentingnya menjaga sistem diperbarui secara keseluruhan, terus memverifikasi statusnya.

Beberapa file yang biasanya menjadi korban Trojan adalah login, telnet, su, ifconfig, netstat, find, dan lainnya.

Dan juga, mereka yang termasuk dalam daftar /etc/inetd.conf.

Anda mungkin tertarik membaca: Kiat untuk tetap bebas malware di Linux

Jenis rootkit

Kita dapat mengklasifikasikannya sesuai dengan teknologi yang mereka gunakan. Oleh karena itu, kami memiliki tiga tipe utama.

• Binari: Yang berhasil memengaruhi sekumpulan file sistem penting. Mengganti file tertentu dengan modifikasi yang serupa. Inti: Yang mempengaruhi komponen inti. Dari perpustakaan: Mereka menggunakan perpustakaan sistem untuk mempertahankan Trojan.

Mendeteksi Rootkit

Kita dapat melakukan ini dengan beberapa cara:

• Verifikasi keabsahan file. Ini melalui algoritma yang digunakan untuk memeriksa jumlah. Algoritma ini adalah gaya MD5 checksum , yang menunjukkan bahwa untuk jumlah dua file yang sama, perlu kedua file identik. Jadi, sebagai administrator yang baik, saya harus menyimpan checksum sistem saya di perangkat eksternal. Dengan cara ini, nantinya saya akan dapat mendeteksi keberadaan rootkit melalui perbandingan hasil-hasil tersebut dengan hasil pada saat tertentu, dengan beberapa alat pengukuran yang dirancang untuk tujuan itu. Misalnya, Tripwire . Cara lain yang memungkinkan kita mendeteksi keberadaan rootkit adalah dengan melakukan pemindaian port dari komputer lain, untuk memverifikasi apakah ada backdoors yang mendengarkan pada port yang biasanya tidak digunakan. Ada juga daemon khusus seperti rkdet untuk mendeteksi upaya instalasi dan dalam beberapa kasus bahkan mencegahnya terjadi dan memberi tahu administrator. Alat lain adalah jenis skrip shell, seperti Chkrootkit , yang bertanggung jawab untuk memverifikasi keberadaan binari dalam sistem, dimodifikasi oleh rootkit.

KAMI MENYARANKAN ANDA Alternatif terbaik untuk Microsoft Paint di Linux

Beri tahu kami jika Anda telah menjadi korban serangan dengan rootkit, atau apa praktik Anda untuk menghindarinya?

Hubungi kami untuk pertanyaan. Dan tentu saja, buka bagian Tutorial kami atau kategori Linux kami, di mana Anda akan menemukan banyak informasi berguna untuk mendapatkan hasil maksimal dari sistem kami.