Rootkits: ما هي وكيفية اكتشافها في لينكس

من المحتمل أن الدخيل يمكن أن يتسلل إلى نظامك ، أول شيء سيفعلونه هو تثبيت سلسلة من الجذور الخفية. بهذا ستتمكن من التحكم في النظام من تلك اللحظة. تمثل هذه الأدوات المذكورة مخاطر كبيرة. لذلك ، من الضروري للغاية معرفة ما تدور حوله ، وكيفية عملها وكيفية اكتشافها.

أول مرة لاحظوا وجودها كان في التسعينات ، في نظام التشغيل SUN Unix. أول شيء لاحظه المسؤولون هو السلوك الغريب على الخادم. وحدة المعالجة المركزية الإفراط في الاستخدام ، ونقص مساحة القرص الثابت ، واتصالات الشبكة المجهولة من خلال الأمر netstat .

ROOTKITS: ما هي وكيفية اكتشافها في لينكس

ما هي مجموعات الجذر؟

إنها أدوات هدفها الرئيسي هو إخفاء نفسها وإخفاء أي حالة أخرى تكشف عن وجود تدخلي في النظام. على سبيل المثال ، أي تعديل في العمليات أو البرامج أو الأدلة أو الملفات. هذا يسمح للمتسلل بدخول النظام عن بعد وبشكل غير محسوس ، في معظم الحالات لأغراض ضارة مثل استخراج معلومات ذات أهمية كبيرة أو تنفيذ إجراءات مدمرة. يأتي اسمها من فكرة أن مجموعة rootkit تسمح لك بالوصول إليها بسهولة كمستخدم جذري ، بعد تثبيتها.

يركز عملها على حقيقة استبدال ملفات برنامج النظام بإصدارات معدلة ، من أجل تنفيذ إجراءات محددة. أي أنها تحاكي سلوك النظام ، لكنها تحافظ على إخفاء الإجراءات والأدلة الأخرى للدخيل الموجود. تسمى هذه الإصدارات المعدلة أحصنة طروادة. إذن ، الجذور الخفية هي مجموعة من أحصنة طروادة.

كما نعلم ، في Linux ، لا تشكل الفيروسات خطرًا. الخطر الأكبر هو نقاط الضعف التي يتم اكتشافها يومًا بعد يوم في برامجك. والتي يمكن استغلالها للمتسلل لتثبيت rootkit. وهنا تكمن أهمية إبقاء النظام محدثًا بالكامل ، والتحقق باستمرار من حالته.

بعض الملفات التي عادة ما تكون ضحايا لأحصنة طروادة هي تسجيل الدخول ، telnet ، su ، ifconfig ، netstat ، تجد ، من بين آخرين.

وكذلك أولئك الذين ينتمون إلى قائمة /etc/inetd.conf.

قد تكون مهتمًا بالقراءة: نصائح للبقاء خالية من البرامج الضارة على Linux

أنواع الجذور الخفية

يمكننا تصنيفها وفقًا للتكنولوجيا التي يستخدمونها. وفقا لذلك ، لدينا ثلاثة أنواع رئيسية.

• الثنائيات: تلك التي تمكنت من التأثير على مجموعة من ملفات النظام الهامة. استبدال ملفات معينة بتعديلها مشابه. النواة: تلك التي تؤثر على المكونات الأساسية. من المكتبات: يستخدمون مكتبات النظام للاحتفاظ بأحصنة طروادة.

الكشف عن الجذور

يمكننا القيام بذلك بعدة طرق:

• التحقق من شرعية الملفات. هذا من خلال الخوارزميات المستخدمة للتحقق من المجموع. هذه الخوارزميات هي نمط المجموع الاختباري MD5 ، والتي تشير إلى أنه لكي يكون مجموع ملفين متساويين ، من الضروري أن يكون كلا الملفين متطابقين. لذا ، بصفتي مشرفًا جيدًا ، يجب أن أخزن المجموع الاختباري للنظام على جهاز خارجي. وبهذه الطريقة ، سأتمكن لاحقًا من الكشف عن وجود الجذور الخفية من خلال مقارنة هذه النتائج مع تلك الخاصة بلحظة معينة ، مع بعض أدوات القياس المصممة لهذا الغرض. على سبيل المثال ، Tripwire . هناك طريقة أخرى تسمح لنا باكتشاف وجود الجذور الخفية وهي إجراء عمليات مسح للمنفذ من أجهزة كمبيوتر أخرى ، من أجل التحقق مما إذا كانت هناك أبواب خلفية تستمع على المنافذ التي لا يتم استخدامها عادةً. وهناك أيضًا برامج شائعة متخصصة مثل rkdet لـ كشف محاولات التثبيت وفي بعض الحالات تمنعه ​​من الحدوث وإخطار المسؤول. هناك أداة أخرى هي نوع البرنامج النصي shell ، مثل Chkrootkit ، وهو المسؤول عن التحقق من وجود ثنائيات في النظام ، معدلة بواسطة الجذور الخفية.

نوصيك بأفضل بدائل لـ Microsoft Paint على Linux

أخبرنا إذا كنت ضحية لهجوم باستخدام الجذور الخفية ، أو ما هي ممارساتك لتجنبه؟

اتصل بنا لأية أسئلة. وبالطبع ، انتقل إلى قسم البرامج التعليمية أو فئة Linux الخاصة بنا ، حيث ستجد الكثير من المعلومات المفيدة لتحقيق أقصى استفادة من نظامنا.