Kā atklāt slēptos Linux procesus ar slēpšanu

Kaut arī GNU / Linux ir ārkārtīgi droša operētājsistēma, daudzi cilvēki tiek piesaistīti viltus drošības izjūtai. Viņiem ir nepareiza ideja, ka nekas nekad nevar notikt, jo viņi strādā no drošas vides. Ir taisnība, ka Linux vidē ir ļoti maz ļaunprātīgas programmatūras, taču joprojām ir ļoti iespējams, ka Linux instalācija var tikt apdraudēta. Ja nekas cits, tad rootkit un citu līdzīgu uzbrukumu iespējamības apsvēršana ir svarīga sistēmas administrēšanas sastāvdaļa. Rootkit attiecas uz rīku kopu, ko trešās puses lietotāji izmanto pēc tam, kad viņi piekļūst datorsistēmai, kurai viņiem nav pamatotas piekļuves. Pēc tam šo komplektu var izmantot failu modificēšanai bez likumīgo lietotāju ziņas. Rādīt pakotni, kas nodrošina nepieciešamo tehnoloģiju, lai ātri atrastu šādu apdraudētu programmatūru.

Unhide atrodas lielākās daļas galveno Linux izplatījumu krātuvēs. Pietiek ar pakotņu pārvaldnieka komandas, piemēram, sudo apt-get install unfide, izmantošanu, lai piespiestu to instalēt Debian un Ubuntu garšās. Serveri ar GUI piekļuvi varētu izmantot Synaptic Package Manager. Fedora un Arch izplatījumos ir iepriekš izveidotas slēpšanas versijas pašu pakotņu pārvaldības sistēmām. Kad slēpšana ir instalēta, sistēmas administratoriem jāspēj to izmantot vairākos veidos.

1. metode: bruteforcing procesa ID

Pats vienkāršākais paņēmiens ietver katra procesa ID bruteforcingu, lai pārliecinātos, ka neviens no tiem nav paslēpts no lietotāja. Ja vien jums nav root piekļuves, CLI uzvednē ierakstiet sudo unfide brute -d. Opcija d dubulto testu, lai samazinātu ziņoto viltus pozitīvo rezultātu skaitu.

Rezultāts ir ārkārtīgi vienkāršs. Pēc ziņojuma par autortiesībām paslēpšana paskaidros tā veiktās pārbaudes. Būs rinda, kurā būs norādīts:

un vēl viens paziņojums:

Ja nav nevienas citas izejas, tad nav pamata uztraukumam. Ja programmas brutālā apakšprogramma kaut ko atrod, tā ziņos par:

Atrasts Slēpts PID: 0000

Četras nulles tiks aizstātas ar derīgu skaitli. Ja tajā tikai lasāms, ka tas ir pārejošs process, tas varētu būt kļūdaini pozitīvs. Jūtieties brīvi veikt testu vairākas reizes, līdz tas nodrošina tīru rezultātu. Ja ir papildu informācija, tā var būt nepieciešama turpmāka pārbaude. Ja jums ir nepieciešams žurnāls, varat izmantot slēdzi -f, lai izveidotu žurnāla failu pašreizējā direktorijā. Jaunākas programmas versijas šo failu sauc par Hidide-linux.log, un tajā ir vienkārša teksta izvade.

2. metode: salīdziniet / proc un / bin / ps

Tā vietā varat novirzīt, lai salīdzinātu / bin / ps un / proc procesu sarakstus, lai nodrošinātu, ka šie divi atsevišķi Unix failu koku saraksti sakrīt. Ja kaut kas nav kārtībā, tad programma ziņos par neparasto PID. Unix noteikumi nosaka, ka notiekošajiem procesiem šajos divos sarakstos ir jānorāda ID numuri. Lai sāktu testu, ierakstiet sudo unfide proc -v. Pieskaroties v, programma tiks iestatīta daudzveidīgā režīmā.

Šī metode parādīs uzvedni, norādot:

Ja rodas kas neparasts, tas parādās pēc šīs teksta rindas.

3. metode: Proc un Procfs metožu apvienošana

Ja nepieciešams, jūs faktiski varat salīdzināt / bin / ps un / proc Unix failu koku sarakstus, vienlaikus arī salīdzinot visu informāciju no / bin / ps saraksta ar virtuālo procfs ierakstiem. Tas pārbauda gan Unix failu koka kārtulas, gan procfs datus. Lai veiktu šo pārbaudi, ierakstiet sudo unfide procall -v, kas var aizņemt diezgan ilgu laiku, jo tam ir jāpārbauda visa / proc statistika, kā arī jāveic vairāki citi testi. Tas ir lielisks veids, kā pārliecināties, ka serverī viss ir kopētisks.

4. metode: Procfs rezultātu salīdzināšana ar / bin / ps

Iepriekšējie testi ir pārāk iesaistīti lielākajai daļai lietojumprogrammu, taču jūs varētu patstāvīgi palaist proc failu sistēmas pārbaudes, lai noteiktu kādu lietderību. Ierakstiet sudo unslēpt procfs -m, kas veiks šīs pārbaudes, kā arī vēl vairākas pārbaudes, kuras nodrošina, izlabojot -m.

Tas joprojām ir diezgan iesaistīts tests, un tas var aizņemt brīdi. Tas atgriež trīs atsevišķas izvades rindas:

Paturiet prātā, ka ar jebkuru no šiem testiem varat izveidot pilnu žurnālu, komandai pievienojot -f.

5. metode: ātrās skenēšanas palaišana

Ja jums vienkārši jāveic ātra skenēšana, nepieskaroties padziļinātām pārbaudēm, vienkārši ierakstiet sudo unslēpt ātri, kurai vajadzētu darboties tik ātri, kā norāda nosaukums. Šis paņēmiens skenē proc sarakstus, kā arī proc failu sistēmu. Tas arī veic pārbaudi, kas ietver no / bin / ps savāktās informācijas salīdzināšanu ar informāciju, ko sniedz zvani uz sistēmas resursiem. Tas nodrošina vienu izvades līniju, bet diemžēl palielina kļūdaini pozitīvu rezultātu. Pēc iepriekšējo rezultātu pārskatīšanas ir lietderīgi vēlreiz pārbaudīt.

Rezultāts ir šāds:

Pēc šīs skenēšanas var būt redzami vairāki pārejas procesi.

6. metode: Reversās skenēšanas palaišana

Lielisks paņēmiens sakņu izšaušanai ietver visu ps pavedienu pārbaudi. Ja palaižat ps komandu CLI uzvednē, varat redzēt komandu sarakstu, kas palaists no termināļa. Reversā skenēšana pārbauda, ​​vai katram procesora pavedienam, kas ps images, ir derīgi sistēmas izsaukumi un vai tos var meklēt procfs sarakstā. Tas ir lielisks veids, kā nodrošināt, ka rootkit nav kaut ko nogalinājis. Lai palaistu šo pārbaudi, vienkārši ierakstiet sudo unfide reverse. Tam vajadzētu darboties ārkārtīgi ātri. Kad tā darbojas, programmai vajadzētu paziņot jums, ka tā meklē viltus procesus.

7. metode: / bin / ps salīdzināšana ar sistēmas izsaukumiem

Visbeidzot, visaptverošākā pārbaude ietver visas informācijas salīdzināšanu no / bin / ps saraksta ar informāciju, kas iegūta no derīgiem sistēmas zvaniem. Lai sāktu šo pārbaudi, ierakstiet sudo unfide sys. Tas, iespējams, prasīs ilgāku laiku nekā citi. Tā kā tas nodrošina tik daudz dažādu izvades rindu, iespējams, vēlēsities izmantot komandu -f log-to-file, lai būtu vieglāk atskatīties uz visu atrasto.