Cara Membongkar Proses Linux Tersembunyi dengan Unhide

Walaupun GNU / Linux adalah sistem operasi yang sangat selamat, banyak orang terpikat dengan rasa aman yang salah. Mereka mempunyai idea yang salah bahawa tidak ada yang dapat terjadi kerana mereka bekerja dari persekitaran yang selamat. Memang benar bahawa perisian hasad yang sangat sedikit wujud untuk persekitaran Linux, tetapi masih mustahil pemasangan Linux akhirnya dapat dikompromikan. Sekiranya tidak ada yang lain, maka mempertimbangkan kemungkinan rootkit dan serangan serupa lainnya adalah bahagian penting dalam pentadbiran sistem. Rootkit merujuk kepada sekumpulan alat yang digunakan oleh pengguna pihak ketiga setelah mereka mendapat akses ke sistem komputer yang tidak dapat mereka akses dengan betul. Kit ini kemudiannya dapat digunakan untuk mengubahsuai fail tanpa pengetahuan pengguna yang sah. Pakej tidak berfungsi menyediakan teknologi yang diperlukan untuk mencari perisian yang dikompromikan dengan cepat.

Unhide ada di repositori untuk sebilangan besar pengedaran Linux utama. Penggunaan perintah pengurus pakej seperti sudo apt-get install hide sudah cukup untuk memaksanya untuk memasang pada rasa Debian dan Ubuntu. Pelayan dengan akses GUI dapat menggunakan Synaptic Package Manager. Pengedaran Fedora dan Arch mempunyai versi unide built-in untuk sistem pengurusan pakej mereka sendiri. Setelah unide dipasang, pentadbir sistem seharusnya dapat menggunakannya dengan beberapa cara yang berbeza.

Kaedah 1: ID Proses Bruteforcing

Teknik yang paling asas adalah dengan menggunakan bruteforcing setiap ID proses untuk memastikan bahawa tidak ada yang tersembunyi daripada pengguna. Kecuali anda mempunyai akses root, ketik sudo unide brute -d pada prompt CLI. Pilihan d menggandakan ujian untuk mengurangkan jumlah positif palsu yang dilaporkan.

Keluaran sangat asas. Selepas mesej hak cipta, unide akan menjelaskan pemeriksaan yang dilakukannya. Akan ada garis yang menyatakan:

dan satu lagi yang menyatakan:

Sekiranya tidak ada output lain, maka tidak ada alasan untuk dikhawatirkan. Sekiranya subrutin kasar program menemui sesuatu, maka akan melaporkan sesuatu seperti:

Dijumpai HIDDEN PID: 0000

Keempat sifar itu akan diganti dengan nombor yang sah. Sekiranya hanya membaca bahawa ini adalah proses sementara, maka ini mungkin positif palsu. Jangan ragu untuk menjalankan ujian beberapa kali sehingga memberikan hasil yang bersih. Sekiranya ada maklumat lebih lanjut, maka ini mungkin memerlukan pemeriksaan susulan. Sekiranya anda memerlukan log, anda boleh menggunakan suis -f untuk membuat fail log di direktori semasa. Versi program yang lebih baru memanggil fail ini unside-linux.log, dan ia menampilkan output teks biasa.

Kaedah 2: Membandingkan / proc dan / bin / ps

Anda sebaliknya boleh mengarahkan unide untuk membandingkan senarai proses / bin / ps dan / proc untuk memastikan bahawa kedua-dua senarai berasingan ini dalam pertandingan pokok Unix. Sekiranya ada sesuatu yang tidak enak, maka program akan melaporkan PID yang tidak biasa. Peraturan Unix menetapkan bahawa proses yang berjalan mesti menunjukkan nombor ID dalam dua senarai ini. Taip sudo unide proc -v untuk memulakan ujian. Mengetuk v akan meletakkan program dalam mod verbose.

Kaedah ini akan mengembalikan arahan yang menyatakan:

Sekiranya sesuatu yang tidak biasa berlaku, ia akan muncul selepas baris teks ini.

Kaedah 3: Menggabungkan Teknik Proc dan Procfs

Sekiranya perlu, anda sebenarnya boleh membandingkan senarai pokok fail / bin / ps dan / proc Unix dan juga membandingkan semua maklumat dari senarai / bin / ps dengan entri procfs maya. Ini memeriksa kedua-dua peraturan pokok fail Unix serta data procfs. Ketik sudo unide procall -v untuk melakukan ujian ini, yang mungkin memerlukan sedikit masa kerana perlu mengimbas semua / proc stat serta melakukan beberapa ujian lain. Ini adalah kaedah terbaik untuk memastikan bahawa semua perkara di pelayan adalah copasetic.

Kaedah 4: Membandingkan hasil procfs dengan / bin / ps

Ujian sebelumnya terlalu banyak digunakan untuk kebanyakan aplikasi, tetapi anda boleh menjalankan pemeriksaan sistem fail proc secara bebas untuk beberapa kesesuaian. Ketik sudo unide procfs -m, yang akan melakukan pemeriksaan ini ditambah beberapa pemeriksaan lagi yang disediakan dengan menekan pada -m.

Ini masih merupakan ujian yang agak terlibat, dan mungkin memerlukan sedikit masa. Ia mengembalikan tiga baris output yang berasingan:

Perlu diingat bahawa anda boleh membuat log penuh dengan mana-mana ujian ini dengan menambahkan -f pada perintah.

Kaedah 5: Menjalankan Imbasan Pantas

Sekiranya anda hanya perlu menjalankan imbasan cepat tanpa memeriksa diri sendiri dengan pemeriksaan mendalam, ketikkan sudo hide cepat, yang seharusnya berjalan secepat namanya. Teknik ini mengimbas senarai proc dan juga sistem fail proc. Ia juga menjalankan pemeriksaan yang melibatkan membandingkan maklumat yang dikumpulkan dari / bin / ps dengan maklumat yang diberikan oleh panggilan ke sumber sistem. Ini memberikan satu baris output, tetapi sayangnya meningkatkan risiko positif palsu. Adalah berguna untuk memeriksa semula setelah menyemak hasil sebelumnya.

Hasilnya adalah seperti berikut:

Anda mungkin melihat beberapa proses sementara muncul setelah menjalankan imbasan ini.

Kaedah 6: Menjalankan Imbas Balik

Teknik yang sangat baik untuk mengendus rootkit melibatkan pengesahan semua utas ps. Sekiranya anda menjalankan perintah ps pada prompt CLI, maka anda dapat melihat senarai arahan yang dijalankan dari terminal. Pengimbasan terbalik mengesahkan bahawa setiap utas pemproses yang gambar ps menunjukkan panggilan sistem yang sah dan dapat dicari dalam senarai procfs. Ini adalah kaedah yang baik untuk memastikan bahawa rootkit tidak mematikan sesuatu. Cukup ketik sudo unide reverse untuk menjalankan pemeriksaan ini. Ia mesti berjalan dengan cepat. Semasa dijalankan, program harus memberitahu anda bahawa ia sedang mencari proses palsu.

Kaedah 7: Membandingkan / bin / ps dengan Panggilan Sistem

Akhirnya pemeriksaan yang paling komprehensif melibatkan membandingkan semua maklumat dari senarai / bin / ps dengan maklumat yang diambil dari panggilan sistem yang sah. Taip sudo unide sys untuk memulakan ujian ini. Ia lebih mungkin memakan masa lebih lama daripada yang lain. Oleh kerana menyediakan banyak baris output yang berbeza, anda mungkin ingin menggunakan perintah log-to-file untuk menjadikannya lebih mudah untuk melihat kembali semua yang dijumpainya.