Thứ Bảy, Tháng 4 19, 2025
Google search engine
HomelinuxBảo vệCách quét Linux-Distro của bạn để tìm Bộ dụng cụ gốc
linuxBảo vệ

Cách quét Linux-Distro của bạn để tìm Bộ dụng cụ gốc

admin
By admin
0
14

Cách quét Linux-Distro của bạn để tìm Bộ dụng cụ gốc

Bạn có nghi ngờ rằng bạn có một hệ thống bị xâm phạm?
Kiểm trabây giờbộ dụng cụ gốcmà kẻ xâm nhập có thể đã cài đặt !!!

Vậy … root kit là cái quái gì vậy ???
Mộtbộ rễlà một tập hợp các chương trình mà những kẻ xâm nhập thường cài đặt sau khi chúng xâm nhập tài khoản gốc của một hệ thống.
Các chương trình này sẽ giúp những kẻ xâm nhập xóa sạch dấu vết của chúng, cũng như cung cấp quyền truy cập trở lại hệ thống.
Bộ dụng cụ gốcđôi khi sẽ để các tiến trình đang chạy để kẻ xâm nhập có thể quay lại dễ dàng mà quản trị viên hệ thống không hề hay biết!

Dung dịch….

Các tập lệnh như chkrootkit sẽ tự động thực hiện công việc cho bạn.

chkrootkit V. 0,46a

Nelson Murilo [[email được bảo vệ]] (tác giả chính)
Klaus Steding-Jessen [[email được bảo vệ]] (đồng tác giả)

Chương trình này kiểm tra cục bộ các dấu hiệu của rootkit.
chkrootkit hiện có tại: http://www.chkrootkit.org/

Không có hoạt động bất hợp pháp được khuyến khích! Tôi không chịu trách nhiệm về bất cứ điều gì bạn có thể làm với nó.

Công cụ này bao gồm phần mềm được phát triển bởi DFN-CERT, Univ. của Hamburg (chklastlog và chkwtmp), và các phần nhỏ của ifconfig do Fred N. van Kempen phát triển, [[email được bảo vệ]].

Chkrootkit là gì?
chkrootkitlà một công cụ để kiểm tra cục bộ các dấu hiệu của rootkit. Nó chứa:

*chkrootkit: một tập lệnh shell kiểm tra các mã nhị phân của hệ thống để sửa đổi rootkit.

*ifpromisc.c: kiểm tra xem giao diện mạng có ở chế độ không.

*chklastlog.c: kiểm tra việc xóa sổ cuối cùng.

*chkwtmp.c: kiểm tra việc xóa wtmp.

*check_wtmpx.c: kiểm tra việc xóa wtmpx. (Chỉ Solaris)

*chkproc.c: kiểm tra các dấu hiệu của trojan LKM.

*chkdirs.c: kiểm tra các dấu hiệu của trojan LKM.

*string.c: thay dây nhanh chóng và bẩn.

*chkutmp.c: kiểm tra việc xóa utmp.

chkwtmpchklastlog* thử * để kiểm tra các mục đã xóa trong wtmp
và các tệp lastlog, nhưng nó * không * được đảm bảo rằng bất kỳ sửa đổi nào
sẽ được phát hiện.

Người ngoài hành tinhcố gắng tìm nhật ký trình thám thính và tệp cấu hình rootkit. Nó trông
đối với một số vị trí tệp mặc định – vì vậy nó cũng không được đảm bảo
sẽ thành công trong mọi trường hợp.

chkprockiểm tra xem các mục nhập / proc có bị ẩn khỏi ps và readdir hay không
cuộc gọi hệ thống. Đây có thể là dấu hiệu của một trojan LKM. Bạn có thể
cũng chạy lệnh này với tùy chọn -v (tiết).

ĐƯỢC RỒI ! Lý thuyết đủ rồi … Bây giờ chúng ta hãy làm một số việc bẩn thỉu!

CHÚ Ý !!! KHÔNG cài đặt chkrootkit trên hệ thống của bạn và chỉ cần chạy nó theo định kỳ.
Kẻ tấn công có thể chỉ cần tìm thấy bản cài đặt và thay đổi nó để nó không phát hiện ra sự hiện diện của hắn.
Biên dịch nó và đặt nó trên phương tiện di động hoặc chỉ đọc.

BƯỚC 1

Tải xuống tarball nguồn mới nhất (37140 byte).
Từvỏ bọcchạy…

# wget ftp://ftp.pangeia.com.br/pub/seg/pac/chkrootkit.tar.gz

BƯỚC 2

Sau đó xác minh chữ ký MD5 của tarball.
Từvỏ bọcchạy…

# md5sum verify chkrootkit.tar.gz

BƯỚC 3

Sử dụngtarđể … giải nén mã nguồn.
Từvỏ bọcchạy…

# tar -xzf chkrootkit.tar.gz

BƯỚC 4

Biên dịchchrootkit. Đi vào thư mục mà nó đã tạo và nhập từ đóvỏ bọc

# make sense

BƯỚC 5

Chạychkrootkittừ thư mục mà nó đã được tích hợp sẵn. Từvỏ bọc

# ./chkrootkit

Nó sẽ in từng bài kiểm tra mà nó thực hiện và kết quả của bài kiểm tra:

ROOTDIR là `/ '
Đang kiểm tra `amd '... không tìm thấy
Kiểm tra tên cơ sở ... không bị nhiễm
Đang kiểm tra `biff '... không tìm thấy
Kiểm tra `chfn '... không bị nhiễm
Kiểm tra `chsh '... không bị nhiễm
Kiểm tra `cron '... không bị nhiễm
Kiểm tra `ngày '... không bị nhiễm
Kiểm tra `du '... không bị nhiễm
Kiểm tra `dirname '... không bị nhiễm
Kiểm tra `` echo '' ... không bị nhiễm
Kiểm tra `egrep '... không bị nhiễm
Kiểm tra `env '... không bị nhiễm
Kiểm tra `tìm '... không bị nhiễm
Đang kiểm tra `fingerd '... không tìm thấy
Kiểm tra `gpm '... không bị nhiễm
Kiểm tra `grep '... không bị nhiễm
.
.
.
chkutmp: không có gì bị xóa

Không thú vị cho lắm ???
Cảm ơn Chúa tôi không bị nhiễm bệnh !!!

chrootkitcũng có thể chạy trên các đĩa được gắn trong một máy khác, chỉ cần chỉ định điểm gắn kết cho phân vùng với-rquyền mua :

# ./chrootkit -r /mnt/hda2_image

Đó là tất cả…
tôi hi vọngbạn khôngbị nhiễm quá !!!

PS

Nếu bạn không bị nhiễm, tôi nghĩ đây là thời điểm thích hợp để tạo một bản sao đĩa của bạn …
Tạo tổng kiểm tra cho phân vùng bạn muốn hình ảnh, chạy từ đóvỏ bọc

# md5sum /dev/hdc2 > /tmp/hdc2.md5

Để tạo bản sao của (các) đĩa, chúng tôi sẽ sử dụngddyêu cầu. Từvỏ bọc

# dd if=/dev/hdc of=/tmp/hdc.img

Bạn sẽ cần đủ không gian trong/tmpgiữ một bản sao của toàn bộ/dev/hdclái xe.
Điều này có nghĩa rằng/tmpkhông nên là một đĩa RAM và không nên được lưu trữ trên/dev/hdc.
Ghi nó vào một đĩa cứng khác!
Xem, kết quả khác!
Liên kết liên quan …

Previous articlePHP và JavaScript: So sánh sâu về hai ngôn ngữ kịch bản
Next articleNhà điều hành Tìm kiếm của Google: 40 Lệnh cần biết vào năm 2022 (Cải thiện Nghiên cứu, Phân tích Cạnh tranh và SEO)
admin
adminhttps://khanhle.id.vn/
RELATED ARTICLES

LEAVE A REPLY

Please enter your comment!
Please enter your name here

- Advertisment -
Google search engine

Most Popular

Load more

Recent Comments

Mark on 33 Phông chữ Chữ thảo đẹp để Nâng cao Trang web của Bạn

EDITOR PICKS

POPULAR POSTS

POPULAR CATEGORY

ABOUT US

Newspaper is your news, entertainment, music fashion website. We provide you with the latest breaking news and videos straight from the entertainment industry.

Contact us: contact@yoursite.com

FOLLOW US

© Newspaper WordPress Theme by TagDiv