RootKit 介绍与 Linux 部署

地球胖头鱼 2020-11-03
Web安全 发布于 2020-11-03 14:03:45 阅读 54 评论 0

RootKit介绍

 Rootkit 是一种特殊类型的 malware(恶意软件)。

  Rootkit 之所以特殊是因为您不知道它们在做什么事情。Rootkit 基本上是无法检测到的,而且几乎不能删除它们。

  虽然检测工具在不断增多,但是恶意软件的开发者也在不断寻找新的途径来掩盖他们的踪迹。

  Rootkit 的目的在于隐藏自己以及其他软件不被发现。它可以通过阻止用户识别和删除攻击者的软件来达到这个目的。Rootkit 几乎可以隐藏任何软件,包括文件服务器、键盘记录器、Botnet 和 Remailer。许多 Rootkit 甚至可以隐藏大型的文件集合并允许攻击者在您的计算机上保存许多文件,而您无法看到这些文件。 Rootkit 本身不会像病毒或蠕虫那样影响计算机的运行。

  攻击者可以找出目标系统上的现有漏洞。漏洞可能包括:开放的网络端口、未打补丁的系统或者具有脆弱的管理员密码的系统。在获得存在漏洞的系统的访问权限之后,攻击者便可手动安装一个Rootkit。这种类型的偷偷摸摸的攻击通常不会触发自动执行的网络安全控制功能,例如入侵检测系统。

  找出 Rootkit 十分困难。有一些软件包可以检测 Rootkit。这些软件包可划分为以下两类:基于签名的检查程序和基于行为的检查程序。基于签名(特征码)的检查程序,例如大多数病毒扫描程序,会检查二进制文件是否为已知的 Rootkit。基于行为的检查程序试图通过查找一些代表 Rootkit 主要行为的隐藏元素来找出 Rootkit。

  一个流行的基于行为的 Rootkit 检查程序是 Rootkit Revealer,在发现系统中存在 Rootkit 之后,能够采取的补救措施也较为有限。由于 Rootkit 可以将自身隐藏起来,所以您可能无法知道它们已经在系统中存在了多长的时间。而且您也不知道 Rootkit 已经对哪些信息造成了损害。对于找出的 Rootkit,最好的应对方法便是擦除并重新安装系统。虽然这种手段很严厉,但是这是得到证明的唯一可以彻底删除 Rootkit 的方法。

  防止 Rootkit 进入您的系统,是能够使用的最佳办法。为了实现这个目的,可以使用与防范所有攻击计算机的恶意软件一样的深入防卫策略。深度防卫的要素包括:病毒扫描程序、定期更新软件、在主机和网络上安装防火墙,以及强密码策略。

Linux下部署RootKit扫描器

安装

  1. 下载地址
    https://sourceforge.net/projects/rkhunter/files/rkhunter/1.4.6/rkhunter-1.4.6.tar.gz/download
    使用命令
    ./installer.sh --layout default --install    //安装脚本,安装后可以使用--remove参数卸载。
    ./installer.sh --show   //查看安装后的信息。
    /usr/local/bin/   //安装后的默认路径,安装的时候已经设置环境变量,不需要切换到此目录下运行。

运行

使用下面命令运行扫描器

rkhunter -c

第一部分:检测系统命令,主要检测系统的二进制文件,这些文件最容易被rootkit攻击;OK表示正常,Warning表示有异常,None found未找到

第二部分:检测rootkit,主要检测常见的rootkit程序;

第三部分:特殊或附加检测:对rootkit文件或目录检测、对恶意软件检测、对指定内核检测等

第四部分:检测网络、系统端口、系统启动文件、系统用户和组配置、ssh配置、文件系统等

第五部分:应用程序版本检测

第六部分:总结服务器目前的安全状态

检查

使用下面命令进行检查:

rkhunter --check --skip-keypress

操作日志

使用下面命令可以查看操作日志:

tail -f /var/log/rkhunter.log

总结

rookit这种类型的恶意软件,如果不使用特定的扫描工具来进行扫描是很难发现的。该类型的恶意软件有隐藏自己的能力所以很多扫描器无法成功的扫描并卸载所以才出现了这种特定的扫描工具来进行扫描。

本作品采用《CC 协议》,转载必须注明作者和本文链接
讨论数量: 0
(= ̄ω ̄=)··· 暂无内容!
请勿发布不友善或者负能量的内容。与人为善,比聪明更重要!
地球胖头鱼
未填写
  • 作者发布文章121
  • 作者收获粉丝2
  • 作者收到点赞0
  • 所有文章被收藏了0
  • 博客总访问量排行第2
  • 博客总访问量1.2 万(每日更新)
查看所有博文