Как да разкрия скрити Linux процеси с Unhide



Опитайте Нашия Инструмент За Премахване На Проблемите

Докато GNU / Linux е изключително сигурна операционна система, много хора се примамват във фалшиво чувство за сигурност. Те имат погрешната представа, че никога нищо не може да се случи, защото работят от сигурна среда. Вярно е, че за средата на Linux съществува много малко злонамерен софтуер, но все пак е много възможно инсталацията на Linux да бъде в крайна сметка компрометирана. Ако не друго, тогава разглеждането на възможността за руткитове и други подобни атаки е важна част от системната администрация. Руткитът се отнася до набор от инструменти на потребители на трети страни, след като получат достъп до компютърна система, до която нямат право. След това този комплект може да се използва за модифициране на файлове без знанието на законните потребители. Пакетът unhide предоставя технологията, необходима за бързо намиране на такъв компрометиран софтуер.



Unhide е в хранилищата за повечето от основните дистрибуции на Linux. Използването на команда за управление на пакети като sudo apt-get install unhide е достатъчно, за да го принуди да се инсталира върху вкусовете на Debian и Ubuntu. Сървъри с GUI достъп могат да използват Synaptic Package Manager. Дистрибуциите на Fedora и Arch имат предварително изградени версии на unhide за техните собствени системи за управление на пакети. След като инсталирате unhide, системните администратори трябва да могат да го използват по няколко различни начина.



Метод 1: Идентификационни номера на процеса на грубо форсиране

Най-основната техника включва грубо принуждаване на всеки идентификатор на процеса, за да се гарантира, че нито един от тях не е скрит от потребителя. Освен ако нямате root достъп, напишете sudo unhide brute -d в подканата на CLI. Опцията d удвоява теста, за да намали броя на докладваните фалшиви положителни резултати.



Резултатът е изключително основен. След съобщение за авторски права, unhide ще обясни проверките, които извършва. Ще има ред, в който се посочва:

[*] Стартиране на сканиране с използване на груба сила срещу PIDS с вилица ()

и още едно заявление:



[*] Стартиране на сканиране с използване на груба сила срещу PIDS с функции pthread

Ако няма друг изход, тогава няма причина за безпокойство. Ако грубата подпрограма на програмата намери нещо, тя ще отчете нещо като:

Намерен СКРИТ ПИД: 0000

Четирите нули ще бъдат заменени с валидно число. Ако само чете, че това е преходен процес, това може да е фалшиво положително. Чувствайте се свободни да пуснете теста няколко пъти, докато той даде чист резултат. Ако има допълнителна информация, тя може да наложи последваща проверка. Ако имате нужда от дневник, можете да използвате превключвателя -f, за да създадете регистрационен файл в текущата директория. По-новите версии на програмата наричат ​​този файл unhide-linux.log и той съдържа изходен текст.

Метод 2: Сравнение / proc и / bin / ps

Вместо това можете да насочите unhide, за да сравните списъците с процеси / bin / ps и / proc, за да сте сигурни, че тези два отделни списъка във файловото дърво на Unix съвпадат. Ако има нещо нередно, тогава програмата ще отчете необичайния PID. Правилата на Unix предвиждат, че изпълняваните процеси трябва да представят идентификационни номера в тези два списъка. Въведете sudo unhide proc -v, за да стартирате теста. Включването на v ще постави програмата в многословен режим.

Този метод ще върне подкана, в която се посочва:

[*] Търсене на скрити процеси чрез / proc stat сканиране

Ако се случи нещо необичайно, то ще се появи след този ред с текст.

Метод 3: Комбиниране на техниките Proc и Procfs

Ако е необходимо, можете всъщност да сравните / bin / ps и / proc Unix списъци с дървесни файлове, като същевременно сравните цялата информация от списъка / bin / ps с виртуалните записи на procfs. Това проверява както правилата на файловото дърво на Unix, така и данните procfs. Въведете sudo unhide procall -v, за да извършите този тест, което може да отнеме доста време, тъй като трябва да сканира всички / proc статистика, както и да направи няколко други теста. Това е отличен начин да се уверите, че всичко на сървъра е копасетно.

2016-11-02_222832

Метод 4: Сравняване на резултатите от procfs с / bin / ps

Предишните тестове са твърде ангажирани за повечето приложения, но можете да стартирате проверките на файловата система proc независимо за целесъобразност. Напишете sudo unhide procfs -m, който ще извърши тези проверки плюс още няколко проверки, предоставени чрез поставяне на -m.

Това все още е доста ангажиран тест и може да отнеме малко време. Той връща три отделни реда на изход:

2016-11-02_223011

Имайте предвид, че можете да създадете пълен дневник с някой от тези тестове, като добавите -f към командата.

Метод 5: Стартиране на бързо сканиране

Ако просто трябва да стартирате бързо сканиране, без да се занимавате с задълбочени проверки, тогава просто напишете sudo unhide quick, което трябва да се изпълни толкова бързо, колкото подсказва името. Тази техника сканира proc списъци, както и файловата система proc. Той също така изпълнява проверка, която включва сравняване на информация, събрана от / bin / ps, с информация, предоставена от обаждания към системните ресурси. Това осигурява един ред резултати, но за съжаление увеличава риска от фалшиви положителни резултати. Полезно е да проверите отново, след като вече сте прегледали предишни резултати.

Резултатът е както следва:

[*] Търсене на скрити процеси чрез сравняване на резултатите от системни повиквания, proc, dir и ps

След стартирането на това сканиране може да видите няколко преходни процеса.

Метод 6: Стартиране на обратно сканиране

Отлична техника за издухване на руткитове включва проверка на всички ps нишки. Ако стартирате командата ps в подкана за CLI, можете да видите списък с команди, изпълнявани от терминал. Обратното сканиране проверява дали всяка от процесорните нишки, които ps изображения показват валидни системни повиквания и могат да бъдат търсени в списъка procfs. Това е чудесен начин да се гарантира, че руткитът не е убил нещо. Просто напишете sudo unhide reverse, за да стартирате тази проверка. Трябва да работи изключително бързо. Когато се стартира, програмата трябва да ви уведоми, че търси фалшиви процеси.

Метод 7: Сравняване / bin / ps със системни повиквания

И накрая, най-изчерпателната проверка включва сравняване на цялата информация от / bin / ps списъка с информация, взета от валидни системни повиквания. Въведете sudo unhide sys, за да стартирате този тест. Повече от вероятно ще отнеме повече време за бягане от останалите. Тъй като осигурява толкова много различни изводи, може да пожелаете да използвате командата -f log-to-file, за да улесните преглеждането на всичко, което е намерило.

4 минути четене