Руткит - это вредоносная программа, которая позволяет неавторизованному пользователю (читай злоумышленнику) получить доступ к системе и ее ограниченному программному обеспечению. По сути, руткиты - это тип вредоносных программ, которые предназначены для того, чтобы быть скрытыми на нашем компьютере. Мы его не замечаем, но он будет активен. Руткиты дают возможность киберпреступникам удаленно управлять нашим компьютером.
Руткиты могут содержать ряд инструментов, вредоносных программ, которые позволяют злоумышленникам красть наши пароли к модулям, облегчающим им получение информации о наших кредитных картах, банковской информации в Интернете или даже наших тайно хранимых данных. Они также содержат кейлоггеры, программы для кражи учетных данных и т.д.
"Руткит" - это комбинация двух слов - "root" и "kit". Здесь "root" означает административную учетную запись с полными привилегиями на компьютерной системе, а "kit" - программу/код, позволяющий злоумышленнику получить несанкционированный доступ.
В нашем Kali Linux мы можем установить различные инструменты с открытым исходным кодом, чтобы защитить наши системы от руткитов. Здесь мы поговорим о двух самых известных программах с открытым исходным кодом "chkrootkit" и "rkhunter". Мы можем установить их в Kali Linux или любой другой дистрибутив Linux и проверить наш компьютер на наличие руткитов (если мы работаем в виртуальной среде Linux, то он может обнаружить руткиты только в виртуальной системе).
Chkrootkit
Chkrootkit может быть запущен на системах Linux для определения наличия руткитов в системе на основе сигнатур и процессов. Считайте это антивирусом или средством защиты от вредоносного ПО для систем Linux.
Chkrootkit - это простая программа, которая может гарантировать, что наш Kali Linux не был заражен. Мы также можем запустить chkrootkit на других дистрибутивах Linux, установив его на эти системы, он обычно поставляется почти с каждым дистрибутивом Linux, включая Kali Linux.
для установки chkrootkit в системе Kali Linux, выполните следующую команду
1 | sudo apt install chkrootkit |
Для проверки на наличие руткитов в системе Kali Linux нам нужно выполнить следующую команду для запуска chkrootkit и сканирования на наличие руткитов.
1 | sudo chkrootkit |
Команда запросит наш пароль sudo и начнет сканирование системы, как показано на следующем скриншоте:
Мы видим, что он сканирует разрешения программ (в частности, сторонних программ), и мы можем видеть статус заражения в левой таблице.
Rkhunter (Охотник за руткитами)
Rkhunter (Rootkit Hunter) - это инструмент на базе Linux/Unix для сканирования возможных руткитов, бэкдоров и локальных эксплойтов.
Для этого он сравнивает SHA-1 хэши важных файлов с известными хорошими файлами в онлайн-базах данных, ищет каталоги по умолчанию (руткитов), неправильные разрешения, скрытые файлы, подозрительные строки в модулях ядра и специальные тесты для Linux.
По мнению членов нашей команды, "rkhunter" является лучшим средством проверки руткитов с открытым исходным кодом для Linux, из-за его дополнительной функциональности, а также других инструментов, таких как chkrootkit - старый инструмент, поэтому для него известно много эксплойтов.
Он не поставляется предустановленным в Kali Linux, но мы можем установить его, выполнив следующую простую команду:
1 | sudo apt install rkhunter |
После завершения процесса установки мы можем запустить его для сканирования всей нашей системы с помощью следующей команды:
1 | sudo rkhunter -c |
После этого он просканирует всю систему по некоторым категориям, таким как проверка на различные вредоносные программы, проверка на известные руткиты, проверка подозрительных портов и т.д. Кроме того, он просмотрит все системные файлы, а также сторонние программы в поисках руткитов, как показано на следующем скриншоте:
В конце сканирования программа также подведет итог отчета.
Также сохраняет выходной файл журнала в /var/log/rkhunter.log.
Мы можем просмотреть файл журнала, введя следующую команду:
1 | sudo nano /var/log/rkhunter.log |
На следующем скриншоте мы можем увидеть файл журнала в текстовом редакторе nano (для просмотра/редактирования этого файла можно также использовать cat, vim).
Вот так мы можем проверить наличие руткитов в нашей системе Linux. Это очень упрощает процесс сканирования.
Как удалить руткиты / ошибки безопасности из Linux
Мы знаем, как проверить систему Linux (Kali Linux) на наличие руткитов. Но что делать, если в нашей системе появился руткит? Как мы можем его удалить?
Существуют различные методы устранения различных предупреждений. Поэтому невозможно охватить все в одном месте. Здесь нам могут помочь поисковые системы. На следующем скриншоте мы получили предупреждение о том, что мы скопировали строку.
Мы просто выделяем строку и копируем ее. Затем просто нажимаем на нее в поисковой системе и ищем. На следующем скриншоте мы видим, что нам нужны некоторые статьи и форумы, которые мы получили о нашем предупреждении. Это поможет нам улучшить нашу безопасность в системе Linux.