این مطلب به نظرم جالب اومد ترجمه اش کردم...
چگونه توزیع مورد استÙاده لینوکستان را برای روتکیت بررسی کنید؟
شما گمان Ù…ÛŒ کنید Ú©Ù‡ سیستمتان در معرض خطر قرار دارد.Øالا باید سیستم را برای شناخت ریشه های مزاØÙ… بررسی کنید.
آیا روتکیت در سیستم نصب شده است؟
راه ØÙ„:اسکریپت هایی نظیر chkrootkit به شما Ú©Ù…Ú© خواهند کرد...
نرم اÙزار قدرتمند chkrootkit:
شما آخرین نسخه این نرم اÙزار را از سایت http://www.chkrootkit.org Ù…ÛŒ توانید دریاÙت کنید.
Chkrootkitچیست؟
این نرم اÙزار به صورت لوکال سیستم را برای امضای روتکیت ها Ú†Ú© Ù…ÛŒ کند.البته به صورت معکوس به وسیله Ù†Ùوذ گران نیز Ù…ÛŒ تواند مورد استÙاده قرار گیرد(;
این ابزار شامل:
Chkrootkit:یک شل اسکریپت که سیستم دودویی رو برای تغییرات چک می کند.
ifpromisc.c:برای چک کردن آن قسمت از شبکه که بدون چک کردن منبع،بسته را می پذیرد.
chklastlog.c:برای Ú†Ú© کردن Ùایل های log Ú©Ù‡ اØتمالا در گذشته دلیت شده اند Ùˆ اØیانا Ø§ØµÙ„Ø§Ø Ø¢Ù†.
chkwtmp.c:Ùایل /var/log/wtmpرا برای آخرین لوگین ها یا لوگ آوت هایی Ú©Ù‡ به سیستم انجام شده،چک میکند.
توجه:Ùایل wtmp تمام لوگین هایی Ú©Ù‡ به سیستم شده را ضبط میکند.
check_wtmpx.c:Ùایل wtmpx را Ú†Ú© میکندبرای دلیت شدن اØتمالی!(در سیستم های Solaris)
توجه: wtmpx اطلاعات بیشتری نسبت به wtmpرا لوگ میکند.
chkproc.c:سیستم را برای امضای بد اÙزارهای LKM Ú†Ú© Ù…ÛŒ کند.
توجه: LKM مخÙÙ Loadable Kernel Modul میباشد.
chkutmp.c:Ùایل utmp.h را برای دلیت شدن اØتمالی Ú†Ú© Ù…ÛŒ کند Ùˆ اØیانا Ø§ØµÙ„Ø§Ø Ø¢Ù†.
توجه: utmpاجازه Ù…ÛŒ دهد تا به کسب اطلاعاتی در مورد اینکه Ú†Ù‡ کسانی در Øال استÙاده از سیستم هستند پرداخته شود.
Ù†Ùوذگران سعی Ù…ÛŒ کنند با دیدن Ùایل های ضبط کننده آمار،تغییراتی در پیکربندی سیستم با استÙاده از روتکیت ها انجام دهند.
توجه:Ùایل chkrootkit را در سیستمتان نصب نکنید Ùˆ Ùقط آن را اجرا کنید.یک Ù†Ùوذگر ممکن است متوجه نصب شدن این نرم اÙزار شود Ùˆ تغییراتی ایجاد کند تا روتکیت قابل شناسایی نباشد.
ابتدا با استÙاده از دستور زیر سورس را دریاÙت کنید:
سپس md5sum را چک کنید با این دستور:
سپس با استÙاده از کنسول آن را آنزیپ کنید با دستور زیر:
سپس با دستور makeآن را کامپایل کنید
سپس اجرا کنید آن را در دایرکتوری که آن را کامپایل کرده اید به صورت زیر:
تمام چک کردن هایی که انجام میشود در کنسول چاپ خواهد شد:
ROOTDIR is `/'
Checking `amd'... not found
Checking `basename'... not infected
Checking `biff'... not found
Checking `chfn'... not infected
Checking `chsh'... not infected
Checking `cron'... not infected
Checking `date'... not infected
Checking `du'... not infected
Checking `dirname'... not infected
Checking `echo'... not infected
Checking `egrep'... not infected
Checking `env'... not infected
Checking `find'... not infected
Checking `fingerd'... not found
Checking `gpm'... not infected
Checking `grep'... not infected
Chrootkit همچنین می تواند روی دیسک های mount شده یک ماشین دیگر اجرا شود!!!
چگونه توزیع مورد استÙاده لینوکستان را برای روتکیت بررسی کنید؟
شما گمان Ù…ÛŒ کنید Ú©Ù‡ سیستمتان در معرض خطر قرار دارد.Øالا باید سیستم را برای شناخت ریشه های مزاØÙ… بررسی کنید.
آیا روتکیت در سیستم نصب شده است؟
راه ØÙ„:اسکریپت هایی نظیر chkrootkit به شما Ú©Ù…Ú© خواهند کرد...
نرم اÙزار قدرتمند chkrootkit:
شما آخرین نسخه این نرم اÙزار را از سایت http://www.chkrootkit.org Ù…ÛŒ توانید دریاÙت کنید.
Chkrootkitچیست؟
این نرم اÙزار به صورت لوکال سیستم را برای امضای روتکیت ها Ú†Ú© Ù…ÛŒ کند.البته به صورت معکوس به وسیله Ù†Ùوذ گران نیز Ù…ÛŒ تواند مورد استÙاده قرار گیرد(;
این ابزار شامل:
Chkrootkit:یک شل اسکریپت که سیستم دودویی رو برای تغییرات چک می کند.
ifpromisc.c:برای چک کردن آن قسمت از شبکه که بدون چک کردن منبع،بسته را می پذیرد.
chklastlog.c:برای Ú†Ú© کردن Ùایل های log Ú©Ù‡ اØتمالا در گذشته دلیت شده اند Ùˆ اØیانا Ø§ØµÙ„Ø§Ø Ø¢Ù†.
chkwtmp.c:Ùایل /var/log/wtmpرا برای آخرین لوگین ها یا لوگ آوت هایی Ú©Ù‡ به سیستم انجام شده،چک میکند.
توجه:Ùایل wtmp تمام لوگین هایی Ú©Ù‡ به سیستم شده را ضبط میکند.
check_wtmpx.c:Ùایل wtmpx را Ú†Ú© میکندبرای دلیت شدن اØتمالی!(در سیستم های Solaris)
توجه: wtmpx اطلاعات بیشتری نسبت به wtmpرا لوگ میکند.
chkproc.c:سیستم را برای امضای بد اÙزارهای LKM Ú†Ú© Ù…ÛŒ کند.
توجه: LKM مخÙÙ Loadable Kernel Modul میباشد.
chkutmp.c:Ùایل utmp.h را برای دلیت شدن اØتمالی Ú†Ú© Ù…ÛŒ کند Ùˆ اØیانا Ø§ØµÙ„Ø§Ø Ø¢Ù†.
توجه: utmpاجازه Ù…ÛŒ دهد تا به کسب اطلاعاتی در مورد اینکه Ú†Ù‡ کسانی در Øال استÙاده از سیستم هستند پرداخته شود.
Ù†Ùوذگران سعی Ù…ÛŒ کنند با دیدن Ùایل های ضبط کننده آمار،تغییراتی در پیکربندی سیستم با استÙاده از روتکیت ها انجام دهند.
توجه:Ùایل chkrootkit را در سیستمتان نصب نکنید Ùˆ Ùقط آن را اجرا کنید.یک Ù†Ùوذگر ممکن است متوجه نصب شدن این نرم اÙزار شود Ùˆ تغییراتی ایجاد کند تا روتکیت قابل شناسایی نباشد.
ابتدا با استÙاده از دستور زیر سورس را دریاÙت کنید:
کد:
# wget ftp://ftp.pangeia.com.br/pub/seg/pac/chkrootkit.tar.gz
کد:
# md5sum verify chkrootkit.tar.gz
کد:
# tar -xzf chkrootkit.tar.gz
سپس با دستور makeآن را کامپایل کنید
سپس اجرا کنید آن را در دایرکتوری که آن را کامپایل کرده اید به صورت زیر:
کد:
# ./chkrootkit
ROOTDIR is `/'
Checking `amd'... not found
Checking `basename'... not infected
Checking `biff'... not found
Checking `chfn'... not infected
Checking `chsh'... not infected
Checking `cron'... not infected
Checking `date'... not infected
Checking `du'... not infected
Checking `dirname'... not infected
Checking `echo'... not infected
Checking `egrep'... not infected
Checking `env'... not infected
Checking `find'... not infected
Checking `fingerd'... not found
Checking `gpm'... not infected
Checking `grep'... not infected
Chrootkit همچنین می تواند روی دیسک های mount شده یک ماشین دیگر اجرا شود!!!
کد:
# ./chrootkit -r /mnt/hda2_image