RootKit

Como instalar o Chkrootkit

Como instalar o Chkrootkit
Este tutorial se concentra em rootkits e como detectá-los usando o chkrootkit. Rootkits são ferramentas projetadas para conceder acesso ou privilégios enquanto ocultam sua própria presença, ou a presença de um software adicional que concede o acesso, o termo “rootkit” concentra-se em ocultar aspectos. Para conseguir ocultar um rootkit de software malicioso, administre para se integrar ao kernel do alvo, software ou, na pior das hipóteses, dentro do firmware de hardware.

Normalmente, quando detectada a presença de um rootkit, a vítima precisa reinstalar o sistema operacional e o hardware novo, analisar os arquivos a serem transferidos para a substituição e, no pior dos casos, a substituição do hardware será necessária.É importante destacar a possibilidade de falsos positivos, este é o principal problema do chkrootkit, portanto, quando uma ameaça é detectada, a recomendação é executar alternativas adicionais antes de tomar medidas, este tutorial também explorará brevemente o rkhunter como uma alternativa. Também é importante dizer que este tutorial é otimizado para usuários de distribuições Linux baseadas em Debian, a única limitação para usuários de outras distribuições é a parte de instalação, o uso de chkrootkit é o mesmo para todas as distros.

Uma vez que os rootkits têm uma variedade de maneiras de atingir seus objetivos ocultando software malicioso, o Chkrootkit oferece uma variedade de ferramentas para permitir essas formas. Chkrootkit é um conjunto de ferramentas que inclui o programa chkrootkit principal e bibliotecas adicionais listadas abaixo:

chkrootkit: Programa principal que verifica os binários do sistema operacional em busca de modificações de rootkit para saber se o código foi adulterado.

ifpromisc.c: verifica se a interface está em modo promíscuo. Se uma interface de rede estiver em modo promíscuo, ela pode ser usada por um invasor ou software malicioso para capturar o tráfego de rede para analisá-lo posteriormente.

chklastlog.c: verifica as exclusões do lastlog. Lastlog é um comando que mostra informações sobre os últimos logins. Um invasor ou rootkit pode modificar o arquivo para evitar a detecção se o sysadmin verificar este comando para obter informações sobre logins.

chkwtmp.c: verifica se há exclusões wtmp. Da mesma forma, para o script anterior, chkwtmp verifica o arquivo wtmp, que contém informações sobre logins de usuários para tentar detectar modificações nele, caso um rootkit modifique as entradas para evitar a detecção de intrusões.

check_wtmpx.c: Este script é o mesmo que o anterior, mas sistemas Solaris.
chkproc.c: verifica se há sinais de trojans dentro de LKM (Módulos de kernel carregáveis).
chkdirs.c: tem a mesma função que o acima, verifica se há trojans dentro dos módulos do kernel.
cordas.c: substituição rápida e suja de strings com o objetivo de esconder a natureza do rootkit.
chkutmp.c: é semelhante a chkwtmp, mas verifica o arquivo utmp em vez disso.

Todos os scripts mencionados acima são executados quando executamos chkrootkit.

Para começar a instalar o chkrootkit no Debian e distribuições Linux baseadas, execute:

# apt install chkrootkit -y

Depois de instalado para executá-lo, execute:

# sudo chkrootkit

Durante o processo você pode ver todos os scripts que integram o chkrootkit são executados fazendo cada uma sua parte.

Você pode obter uma visualização mais confortável com rolagem e adição de barra vertical e menos:

# sudo chkrootkit | menos

Você também pode exportar os resultados para um arquivo usando a seguinte sintaxe:

# sudo chkrootkit> resultados

Então, para ver o tipo de saída:

# menos resultados

Observação: você pode substituir "resultados" por qualquer nome que deseja dar ao arquivo de saída.

Por padrão, você precisa executar o chkrootkit manualmente conforme explicado acima, mas você pode definir verificações automáticas diárias editando o arquivo de configuração do chkrootkit localizado em / etc / chkrootkit.conf, experimente usando o nano ou qualquer editor de texto de sua preferência:

# nano / etc / chkrootkit.conf

Para alcançar a verificação automática diária, a primeira linha contendo RUN_DAILY = ”falso” deve ser editado para RUN_DAILY = ”verdadeiro”

É assim que deve ser:

Aperte CTRL+X e Y para salvar e sair.

Rootkit Hunter, uma alternativa ao chkrootkit:

Outra opção para o chkrootkit é o RootKit Hunter, também é um complemento considerando que se você encontrou rootkits usando um deles, usar a alternativa é obrigatório para descartar falsos positivos.

Para começar com RootKitHunter, instale-o executando:

# apt install rkhunter -y

Depois de instalado, para executar um teste, execute o seguinte comando:

# rkhunter --check

Como você pode ver, como o chkrootkit, a primeira etapa do RkHunter é analisar os binários do sistema, mas também bibliotecas e strings:

Como você verá, ao contrário do chkrootkit, o RkHunter solicitará que você pressione ENTER para continuar com as próximas etapas. Anteriormente, o RootKit Hunter verificou os binários e bibliotecas do sistema, agora ele irá para rootkits conhecidos:

Pressione ENTER para permitir que o RkHunter prossiga com a pesquisa de rootkits:

Então, como o chkrootkit, ele verificará suas interfaces de rede e também as portas conhecidas por serem usadas por backdoors ou trojans:

Por fim, irá imprimir um resumo dos resultados.

Você sempre pode acessar os resultados salvos em / var / log / rkhunter.registro:

Se você suspeita que seu dispositivo pode estar infectado por um rootkit ou comprometido, siga as recomendações listadas em https: // linuxhint.com / detect_linux_system_hacked /.

Espero que você tenha achado útil este tutorial sobre como instalar, configurar e usar o chkrootkit. Continue seguindo LinuxHint para obter mais dicas e atualizações sobre Linux e rede.

Mouse Como reverter a direção de rolagem do Mouse e Touchpads no Windows 10
Como reverter a direção de rolagem do Mouse e Touchpads no Windows 10
Mouse e Touchpads não apenas torna a computação mais fácil, mas mais eficiente e menos demorada. Não podemos imaginar uma vida sem esses dispositivos,...
Mouse Como alterar o ponteiro do mouse e tamanho do cursor, cor e esquema no Windows 10
Como alterar o ponteiro do mouse e tamanho do cursor, cor e esquema no Windows 10
O ponteiro do mouse e o cursor no Windows 10 são aspectos muito importantes do sistema operacional. Isso também pode ser dito para outros sistemas ope...
Jogos Mecanismos de jogos gratuitos e de código aberto para o desenvolvimento de jogos Linux
Mecanismos de jogos gratuitos e de código aberto para o desenvolvimento de jogos Linux
Este artigo cobrirá uma lista de mecanismos de jogo gratuitos e de código aberto que podem ser usados ​​para desenvolver jogos 2D e 3D no Linux. Exist...