أول شيء نحتاج إلى معرفته هو ما هو الجذور الخفية؟ لذلك نترك الإجابة لـ Wikipedia:
rootkit هو برنامج يسمح بالوصول المستمر ذي الامتيازات إلى جهاز الكمبيوتر ولكنه يحافظ بنشاط على وجوده مخفيًا عن سيطرة المسؤولين عن طريق إفساد التشغيل العادي لنظام التشغيل أو التطبيقات الأخرى. يأتي المصطلح من سلسلة من الكلمة الإنجليزية "root" والتي تعني الجذر (الاسم التقليدي للحساب المميز في أنظمة تشغيل Unix) والكلمة الإنجليزية "kit" التي تعني مجموعة من الأدوات (في إشارة إلى مكونات البرنامج الذين نفذوا هذا البرنامج). مصطلح "rootkit" له دلالات سلبية لأنه مرتبط بالبرامج الضارة.
بمعنى آخر ، يرتبط عادةً بالبرامج الضارة ، التي تخفي نفسها والبرامج والعمليات والملفات والأدلة ومفاتيح التسجيل والمنافذ الأخرى التي تسمح للمتطفل بالحفاظ على الوصول إلى مجموعة متنوعة من أنظمة التشغيل مثل GNU / Linux أو Solaris أو Microsoft Windows لأمر الإجراءات عن بُعد أو استخراج المعلومات الحساسة.
حسنًا ، تعريف جميل جدًا ، لكن كيف أحمي نفسي؟ حسنًا ، في هذا المنشور لن أتحدث عن كيفية حماية أنفسنا ، ولكن عن كيفية معرفة ما إذا كان لدينا Rootkit في نظام التشغيل لدينا. أترك الأمر لزميلتي بخصوص الحماية 😀
أول شيء نقوم به هو تثبيت الحزمة رخونتر. في باقي التوزيعات ، أفترض أنك تعرف كيفية القيام بذلك ، في ديبيان:
$ sudo aptitude install rkhunter
Actualización
في الملف / etc / default / rkhunter من المعروف أن تحديثات قاعدة البيانات أسبوعية ، وأن التحقق من الجذور الخفية يتم بشكل يومي ويتم إرسال النتائج عن طريق البريد الإلكتروني إلى مسؤول النظام (جذر).
ومع ذلك ، إذا أردنا التأكد ، فيمكننا تحديث قاعدة البيانات بالأمر التالي:
root@server:~# rkhunter --propupd
كيفية استخدامها؟
للتحقق من خلو نظامنا من هذه "الأخطاء" ، ننفذ ببساطة:
$ sudo rkhunter --check
سيبدأ التطبيق في إجراء سلسلة من الفحوصات وفي الوقت المناسب سيطلب منا الضغط على مفتاح ENTER للمتابعة. يمكن الرجوع إلى جميع النتائج في الملف /var/log/rkhunter.log
يعطيني شيئا ما مثله.
وإذا تم العثور على "تحذيرات" ، فكيف يتم التخلص منها؟ =)
في الملف /var/log/rkhunter.log يقدمون لك شرحًا عن سبب تجاهل التحذير ، في الغالبية العظمى من الحالات.
تحياتي الحارة.
شكراً أعطاني ملخصاً كهذا ، حيث حصلت على التحذير
النظام يتحقق من الملخص
=====================
عمليات فحص خصائص الملف ...
الملفات التي تم فحصها: 133
الملفات المشتبه بها: 1
فحوصات الجذور الخفية ...
فحص الجذور الخفية: 242
الجذور الخفية المحتملة: 0
عمليات التحقق من التطبيقات ...
تم تخطي جميع الشيكات
استغرقت فحوصات النظام: دقيقة واحدة و 1 ثانية
تمت كتابة جميع النتائج في ملف السجل (/var/log/rkhunter.log)
شكرا للنصيحة ، تم اختبارها ، صفر نتيجة RootKit.
ليس لدي الكثير من المعرفة عن باش ولكن بالنسبة لقوسي قمت بما يلي etc / cron.dayli / rkhunter
# / بن / ش
RKHUNTER = »/ usr / bin / rkhunter»
DATE = »echo -e '\ n #####################` date` ################## ## '»
DIR = »/ var / log / rkhunter.daily.log»
$ {DATE} >> $ {DIR}؛ $ {RKHUNTER} - تحديث ؛ $ {RKHUNTER} –cronjob –report-warnings-only >> $ {DIR}؛ تصدير DISPLAY =: 0 && إعلام-إرسال "RKhunter محدد"
ما يفعله هو التحديث ومعرفة ما إذا كانت هناك مجموعات rootkits بشكل أساسي ويترك لي النتيجة في ملف
تم اختباره ، 0 RootKit ، شكرًا على المدخلات.
النظام يتحقق من الملخص
=====================
عمليات فحص خصائص الملف ...
الملفات التي تم فحصها: 131
الملفات المشتبه بها: 0
فحوصات الجذور الخفية ...
فحص الجذور الخفية: 242
الجذور الخفية المحتملة: 2
أسماء الجذور الخفية: Xzibit Rootkit ، Xzibit Rootkit
Xzibit Rootkit ... ما هذا ؟؟؟ لا بد لي من حذفه. شكرا مقدما للمساعدة. مع تحياتي.
انظر إلى هذا الرابط: http://www.esdebian.org/foro/46255/posible-rootkit-xzibit-rootkit
ربما الحل لمشكلتك.
شكرا على الرابط اوسكار. لقد حلت مشكلتي تماما لا أصدق ذلك ، خطأ في مستقر دبيان. نهاية العالم قادمة: تحياتي.
0 الجذور الخفية 😀
أجد أنه من المضحك أن المجلد المخفي الذي تم إنشاؤه بواسطة java (/etc/.java) يخرج من التحذير.
لول
مساهمة جيدة، وذلك بفضل.
تحية.
مرحبا ايلاف. لم أعلق هنا منذ فترة طويلة ، على الرغم من أنني في كل مرة يمكنني قراءة بعض المقالات.
اليوم فقط كنت أراجع قضايا الأمان ووصلت إلى <.Linux
جريت rkhunter وحصلت على بعض الإنذارات:
/usr/bin/unhide.rb [تحذير]
تحذير: تم استبدال الأمر '/usr/bin/unhide.rb' بنص: /usr/bin/unhide.rb: نص روبي ، نص ASCII
التحقق من تغييرات ملف passwd [تحذير]
تحذير: تمت إضافة المستخدم "postfix" إلى ملف passwd.
التحقق من تغييرات ملف المجموعة [تحذير]
تحذير: تمت إضافة المجموعة "postfix" إلى ملف المجموعة.
تحذير: تمت إضافة مجموعة "postdrop" إلى ملف المجموعة.
التحقق من الملفات والأدلة المخفية [تحذير]
تحذير: تم العثور على الدليل المخفي: /etc/.java
تحذير: تم العثور على الدليل المخفي: /dev/.udev
تحذير: تم العثور على ملف مخفي: /dev/.initramfs: رابط رمزي لـ "/ run / initramfs"
تحذير: تم العثور على ملف مخفي: /usr/bin/android-sdk-linux/extras/android/support/v7/gridlayout/src/.readme: نص ASCII
تحذير: تم العثور على ملف مخفي: /usr/bin/android-sdk-linux/extras/android/support/v7/gridlayout/.classpath: نص مستند XML
تحذير: تم العثور على ملف مخفي: /usr/bin/android-sdk-linux/extras/android/support/v7/gridlayout/.project: نص مستند XML
كيف أفسرها وماذا أفعل لحل هذه التحذيرات؟
ملاحظة: أرى أن الأخير يتعلق بـ sdk-android ، الذي قمت بتثبيته مؤخرًا لاختبار أحد التطبيقات (هل يمكن إزالة جانب rootkit ومواصلة استخدامه أم أنه من الأفضل الاستغناء عنه؟).
تحياتي وأكرر تهنئتي لـ KZKG ^ Gaara وأنت وجميع المتعاونين الآخرين (أرى أن الفريق قد نما).
عفوا للتثبيت ولكن في اللحظة التي أقوم فيها بتشغيل هذا الأمر أحصل على هذا
أمر:
رخونتر-ج
خطأ:
خيار تكوين BINDIR غير صالح: تم العثور على دليل غير صالح: JAVA_HOME = / usr / lib / jvm / java-7-oracle
ولا أقوم بمسح أي شيء ضوئيًا ، فهو يظل هكذا ولا يمكنني فعل أي شيء آخر أو كيف يمكنني حله؟ شكرًا لك ؟؟؟
مرحباً ، لقد حصلت على هذه النتيجة ، هل يمكنك مساعدتي ... شكرًا
جاري التحقق من الشبكة ...
إجراء عمليات فحص على منافذ الشبكة
التحقق من منافذ الباب الخلفي [لم يتم العثور على]
التحقق من المنافذ المخفية [تخطي]
إجراء فحوصات على واجهات الشبكة
التحقق من وجود واجهات مختلطة [لم يتم العثور على شيء]
التحقق من المضيف المحلي ...
إجراء فحوصات تمهيد النظام
التحقق من اسم المضيف المحلي [تم العثور عليه]
التحقق من ملفات بدء تشغيل النظام [تم العثور عليه]
فحص ملفات بدء تشغيل النظام بحثًا عن البرامج الضارة [لم يتم العثور على أي شيء]
إجراء فحوصات المجموعة والحساب
التحقق من ملف passwd [Found]
التحقق من حسابات الجذر المكافئة (UID 0) [لم يتم العثور على أي شيء]
التحقق من وجود حسابات بدون كلمة مرور [لم يتم العثور على أي شيء]
التحقق من تغييرات ملف passwd [تحذير]
التحقق من تغييرات ملف المجموعة [تحذير]
التحقق من ملفات محفوظات shell الخاصة بحساب الجذر [لم يتم العثور على شيء]
إجراء فحوصات ملف تكوين النظام
التحقق من ملف تكوين SSH [غير موجود]
التحقق من تشغيل البرنامج الخفي في سجل النظام [تم العثور عليه]
التحقق من ملف تكوين سجل النظام [تم العثور عليه]
التحقق من السماح بتسجيل سجل النظام عن بُعد [غير مسموح به]
إجراء فحوصات نظام الملفات
فحص / تطوير أنواع الملفات المشبوهة [تحذير]
التحقق من الملفات والأدلة المخفية [تحذير]