루트킷 : 그들이 무엇이며 리눅스에서 그들을 탐지하는 방법

침입자가 시스템을 몰래 침입 할 수 있습니다. 가장 먼저 할 일은 일련의 루트킷을 설치하는 것 입니다. 이를 통해 그 순간부터 시스템을 제어 할 수 있습니다. 이러한 도구는 큰 위험을 나타냅니다. 따라서 그들이 무엇에 관한 것인지, 그들의 운영 및 그것들을 감지하는 방법을 알아야합니다.

그들이 처음으로 발견 한 것은 90 년대, SUN Unix 운영 체제였습니다. 관리자가 가장 먼저 알게 된 것은 서버에서 이상한 행동이었습니다. netstat 명령을 통한 과도한 CPU 사용, 하드 디스크 공간 부족 및 알 수없는 네트워크 연결.

루트킷: 무엇이며 Linux에서 탐지하는 방법

루트킷이란 무엇입니까?

그것들은 자신을 숨기고 시스템에 침입하는 존재를 드러내는 다른 인스턴스를 숨기는 것이 주된 목적인 도구입니다. 예를 들어, 프로세스, 프로그램, 디렉토리 또는 파일의 수정. 이를 통해 침입자 는 대부분의 경우 중요한 정보 추출 또는 파괴적인 조치 실행과 같은 악의적 인 목적 으로 시스템을 원격으로 그리고 알아볼 수없이 침입 할 수 있습니다. 루트킷을 사용하면 설치 후 루트 사용자 로 쉽게 액세스 할 수 있다는 아이디어에서 유래 한 것입니다.

이 작업은 특정 작업을 수행하기 위해 시스템 프로그램 파일을 변경된 버전으로 바꾸는 사실에 중점을 둡니다. 즉, 그들은 시스템의 행동을 모방하지만 기존 침입자의 다른 행동과 증거를 숨겨 둡니다. 이러한 수정 된 버전을 트로이 목마라고합니다. 기본적으로 루트킷은 트로이 목마 집합입니다.

아시다시피 Linux에서는 바이러스가 위험하지 않습니다. 가장 큰 위험은 프로그램에서 매일 발견되는 취약점입니다. 침입자가 루트킷을 설치하기 위해 악용 될 수 있습니다. 여기 에는 시스템 전체를 지속적으로 업데이트 하고 상태를 지속적으로 확인하는 것이 중요 합니다.

일반적으로 트로이 목마의 피해자 인 파일 중 일부는 로그인, 텔넷, su, ifconfig, netstat, find입니다.

또한 /etc/inetd.conf 목록에 속하는 항목도 있습니다.

Linux에서 맬웨어가없는 상태를 유지하는 팁

루트킷의 종류

사용하는 기술에 따라 분류 할 수 있습니다. 따라서 우리는 세 가지 주요 유형이 있습니다.

• 바이너리: 중요한 시스템 파일 세트에 영향을 미치는 것들. 특정 파일을 유사한 파일로 교체합니다. 핵심: 핵심 구성 요소에 영향을 미치는 것들. 라이브러리에서: 시스템 라이브러리를 사용하여 트로이 목마를 유지합니다.

루트킷 탐지

여러 가지 방법으로이 작업을 수행 할 수 있습니다.

• 파일의 적법성 확인 이것은 합계를 확인하는 데 사용되는 알고리즘을 통해 이루어집니다. 이 알고리즘은 MD5 체크섬 스타일로, 두 파일의 합이 같으면 두 파일이 동일해야 함을 나타냅니다. 따라서 훌륭한 관리자로서 시스템 체크섬 을 외부 장치에 저장해야합니다. 이 방법으로 나중에 그 결과를 특정 순간의 결과와 그 목적을 위해 설계된 측정 도구를 비교 하여 루트킷의 존재 를 감지 할 수 있습니다. 루트킷의 존재를 감지 할 수있는 또 다른 방법 은 다른 컴퓨터에서 포트 스캔 을 수행하여 정상적으로 사용되지 않는 포트에서 수신 대기하는 백도어가 있는지 확인하는 것입니다. 또한 rkdet 와 같은 특수 데몬도 있습니다. 다른 도구는 Chkrootkit 과 같은 셸 스크립트 유형으로, 시스템에 바이너리가 존재하는지 확인하고 루트킷으로 수정하는 쉘 스크립트 유형입니다.

Linux에서 Microsoft Paint를 대체 할 수있는 최고의 대안

루트킷 공격의 대상이되었는지 또는이를 피하기위한 방법은 무엇입니까?

질문이 있으시면 연락주십시오. 물론, 튜토리얼 섹션 또는 Linux 범주로 이동하면 시스템을 최대한 활용할 수있는 유용한 정보가 많이 있습니다.