Nors GNU / Linux yra nepaprastai saugi operacinė sistema, daugelį žmonių vilioja klaidingas saugumo jausmas. Jie klaidingai galvoja, kad niekada nieko negali atsitikti, nes dirba saugioje aplinkoje. Tiesa, kad „Linux“ aplinkoje yra labai mažai kenkėjiškų programų, tačiau vis tiek gali būti, kad galiausiai bus pažeista „Linux“ diegimo programa. Jei ne kas kita, tai svarbi sistemos administravimo dalis yra rootkitų ir kitų panašių atakų galimybės įvertinimas. „Rootkit“ reiškia įrankių rinkinį, kurį trečiosios šalies vartotojai gauna prieigą prie kompiuterinės sistemos, prie kurios jie teisingai neturi prieigos. Tada šį rinkinį galima naudoti failams modifikuoti be teisėtų vartotojų žinios. Neslėptas paketas suteikia technologiją, reikalingą greitai rasti tokią pažeistą programinę įrangą.
„Unhide“ yra daugumos pagrindinių „Linux“ paskirstymų saugyklose. Pakanka naudoti paketų tvarkyklės komandą, pvz., Sudo apt-get install unfide, kad priverstumėte ją įdiegti Debian ir Ubuntu skoniuose. Serveriai, turintys GUI prieigą, galėtų naudoti „Synaptic Package Manager“. „Fedora“ ir „Arch“ distribucijose yra iš anksto sukurtos „Slėpti“ versijos jų pačių paketų valdymo sistemoms. Įdiegus „Slėpti“, sistemos administratoriai turėtų galėti jį naudoti keliais skirtingais būdais.
1 metodas: bruteforcing proceso ID
Pats paprasčiausias būdas apima kiekvieno proceso ID bruteforcing, kad įsitikintumėte, jog nė vienas iš jų nebuvo paslėptas nuo vartotojo. Jei neturite root prieigos, CLI eilutėje įveskite sudo unfave brute -d. D parinktis padvigubina bandymą, kad sumažėtų melagingų teigiamų rezultatų skaičius.
Rezultatas yra labai paprastas. Po pranešimo dėl autorių teisių, rodyti, bus paaiškinta, kokius patikrinimus jis atlieka. Bus eilutė, nurodanti:
[*] Pradedant nuskaitymą naudojant grubią jėgą prieš PIDS šakute ()ir dar viena:
[*] Nuskaitymo pradžia naudojant grubią jėgą prieš PIDS su pthread funkcijomis
Jei nėra jokio kito išėjimo, tai nėra pagrindo nerimauti. Jei šiurkštus programos paprogramė ką nors ras, ji praneš apie tai:
Rastas paslėptas PID: 0000
Keturi nuliai būtų pakeisti galiojančiu skaičiumi. Jei tai tik parodo, kad tai yra pereinamasis procesas, tai gali būti klaidingai teigiamas. Nedvejodami atlikite testą kelis kartus, kol jo rezultatas bus švarus. Jei yra papildomos informacijos, tai gali reikalauti tolesnio patikrinimo. Jei jums reikia žurnalo, galite naudoti jungiklį -f, kad sukurtumėte žurnalo failą dabartiniame kataloge. Naujesnės programos versijos šį failą vadina „Neslėpti-linux.log“ ir jame yra paprasto teksto išvestis.
2 metodas: palyginkite / proc ir / bin / ps
Vietoj to galite nukreipti rodyti, kad palygintumėte / bin / ps ir / proc procesų sąrašus, kad įsitikintumėte, jog šie du atskiri „Unix“ failų medžio sąrašai sutampa. Jei yra kažkas negerai, programa praneš apie neįprastą PID. „Unix“ taisyklės numato, kad vykdant procesus šiuose dviejuose sąrašuose turi būti nurodyti ID numeriai. Jei norite pradėti testą, įveskite sudo unfide proc -v. Jei užfiksuosite v, programa bus įjungta į daugialypį režimą.
Šis metodas pateiks raginimą, kuriame bus nurodyta:
[*] Paslėptų procesų paieška per / proc stat nuskaitymąJei atsitiktų kas nors neįprasta, tai būtų rodoma po šia teksto eilute.
3 metodas: Proc ir Procfs metodų derinimas
Jei reikia, iš tikrųjų galite palyginti / bin / ps ir / proc „Unix“ failų medžių sąrašus, taip pat palyginti visą informaciją iš / bin / ps sąrašo su virtualių procfs įrašais. Tai patikrina tiek „Unix“ failų medžio taisykles, tiek „procfs“ duomenis. Norėdami atlikti šį bandymą, įveskite sudo unfide procall -v, o tai gali užtrukti gana ilgai, nes ji turi nuskaityti visą / proc statistiką ir atlikti keletą kitų bandymų. Tai puikus būdas įsitikinti, kad viskas serveryje yra kopetiška.
4 metodas: Palyginkite procfs rezultatus su / bin / ps
Ankstesni bandymai yra per daug susiję su daugeliu programų, tačiau jūs galite savarankiškai paleisti proc failų sistemos patikrinimus dėl tam tikro tikslingumo. Įveskite sudo unfide procfs -m, kuris atliks šiuos patikrinimus ir dar kelis patikrinimus, pateiktus užfiksavus -m.
Tai vis dar gana įtemptas testas ir gali užtrukti. Jis pateikia tris atskiras išvesties eilutes:
Atminkite, kad naudodami bet kurį iš šių testų galite sukurti visą žurnalą, komandoje pridėję -f.
5 metodas: greito nuskaitymo vykdymas
Jei jums tereikia atlikti greitą nuskaitymą, nesusimąstant su nuodugniais patikrinimais, tiesiog įveskite „sudo unfide quick“, kuris turėtų vykti taip greitai, kaip rodo pavadinimas. Ši technika nuskaito proc sąrašus ir proc failų sistemą. Taip pat atliekamas patikrinimas, apimantis iš / bin / ps surinktos informacijos palyginimą su informacija, kurią teikia iškvietimai į sistemos išteklius. Tai suteikia vieną išvesties eilutę, bet, deja, padidina klaidingų teigiamų rezultatų riziką. Naudinga dar kartą patikrinti jau peržiūrėjus ankstesnius rezultatus.
Rezultatas yra toks:
[*] Paslėptų procesų paieška palyginant sistemos iškvietimų, proc, dir ir ps rezultatusPaleidus šį nuskaitymą, galite pamatyti kelis pereinamuosius procesus.
6 metodas: Atvirkštinio nuskaitymo vykdymas
Puiki šakninių rinkinių išnaikinimo technika apima visų ps gijų patikrinimą. Jei vykdote ps komandą CLI eilutėje, galite pamatyti komandų, vykdomų iš terminalo, sąrašą. Atvirkštinis nuskaitymas patikrina, ar kiekviena procesoriaus gija, kurioje yra „ps images“, turi galiojančius sistemos iškvietimus ir jų galima ieškoti procfs sąraše. Tai puikus būdas užtikrinti, kad „rootkit“ neužmušė kažko. Jei norite paleisti šį patikrinimą, tiesiog įveskite sudo unfide reverse. Jis turėtų veikti ypač greitai. Kai ji veikia, programa turėtų pranešti jums, kad ji ieško padirbtų procesų.
7 metodas: / bin / ps palyginimas su sistemos skambučiais
Galiausiai išsamiausias patikrinimas apima visos informacijos iš / bin / ps sąrašo palyginimą su informacija, paimta iš galiojančių sistemos skambučių. Jei norite pradėti šį bandymą, įveskite Tai greičiausiai užtruks ilgiau nei kiti. Kadangi jame pateikiama tiek daug skirtingų išvesties eilučių, galbūt norėsite naudoti komandą -f log-to-file, kad būtų lengviau peržiūrėti viską, ką rado.
4 minutes perskaityta
