اطلاعیه

Collapse
No announcement yet.

چگونه توزیع مورد استفاده لینوکستان را برای روتکیت بررسی کنید؟

Collapse
X
 
  • Filter
  • زمان
  • Show
Clear All
new posts

  • چگونه توزیع مورد استفاده لینوکستان را برای روتکیت بررسی کنید؟

    این مطلب به نظرم جالب اومد ترجمه اش کردم...

    چگونه توزیع مورد استفاده لینوکستان را برای روتکیت بررسی کنید؟

    شما گمان می کنید که سیستمتان در معرض خطر قرار دارد.حالا باید سیستم را برای شناخت ریشه های مزاحم بررسی کنید.
    آیا روتکیت در سیستم نصب شده است؟

    راه حل:اسکریپت هایی نظیر chkrootkit به شما کمک خواهند کرد...

    نرم افزار قدرتمند chkrootkit:
    شما آخرین نسخه این نرم افزار را از سایت http://www.chkrootkit.org می توانید دریافت کنید.

    Chkrootkitچیست؟
    این نرم افزار به صورت لوکال سیستم را برای امضای روتکیت ها چک می کند.البته به صورت معکوس به وسیله نفوذ گران نیز می تواند مورد استفاده قرار گیرد(;
    این ابزار شامل:
    Chkrootkit:یک شل اسکریپت که سیستم دودویی رو برای تغییرات چک می کند.
    ifpromisc.c:برای چک کردن آن قسمت از شبکه که بدون چک کردن منبع،بسته را می پذیرد.
    chklastlog.c:برای چک کردن فایل های log که احتمالا در گذشته دلیت شده اند و احیانا اصلاح آن.
    chkwtmp.c:فایل /var/log/wtmpرا برای آخرین لوگین ها یا لوگ آوت هایی که به سیستم انجام شده،چک میکند.
    توجه:فایل wtmp تمام لوگین هایی که به سیستم شده را ضبط میکند.
    check_wtmpx.c:فایل wtmpx را چک میکندبرای دلیت شدن احتمالی!(در سیستم های Solaris)
    توجه: wtmpx اطلاعات بیشتری نسبت به wtmpرا لوگ میکند.
    chkproc.c:سیستم را برای امضای بد افزارهای LKM چک می کند.
    توجه: LKM مخفف Loadable Kernel Modul میباشد.
    chkutmp.c:فایل utmp.h را برای دلیت شدن احتمالی چک می کند و احیانا اصلاح آن.
    توجه: utmpاجازه می دهد تا به کسب اطلاعاتی در مورد اینکه چه کسانی در حال استفاده از سیستم هستند پرداخته شود.

    نفوذگران سعی می کنند با دیدن فایل های ضبط کننده آمار،تغییراتی در پیکربندی سیستم با استفاده از روتکیت ها انجام دهند.


    توجه:فایل chkrootkit را در سیستمتان نصب نکنید و فقط آن را اجرا کنید.یک نفوذگر ممکن است متوجه نصب شدن این نرم افزار شود و تغییراتی ایجاد کند تا روتکیت قابل شناسایی نباشد.

    ابتدا با استفاده از دستور زیر سورس را دریافت کنید:
    کد:
    # wget ftp://ftp.pangeia.com.br/pub/seg/pac/chkrootkit.tar.gz
    سپس md5sum را چک کنید با این دستور:
    کد:
    # md5sum verify chkrootkit.tar.gz
    سپس با استفاده از کنسول آن را آنزیپ کنید با دستور زیر:
    کد:
    # tar -xzf chkrootkit.tar.gz

    سپس با دستور makeآن را کامپایل کنید
    سپس اجرا کنید آن را در دایرکتوری که آن را کامپایل کرده اید به صورت زیر:
    کد:
    # ./chkrootkit
    تمام چک کردن هایی که انجام میشود در کنسول چاپ خواهد شد:
    ROOTDIR is `/'
    Checking `amd'... not found
    Checking `basename'... not infected
    Checking `biff'... not found
    Checking `chfn'... not infected
    Checking `chsh'... not infected
    Checking `cron'... not infected
    Checking `date'... not infected
    Checking `du'... not infected
    Checking `dirname'... not infected
    Checking `echo'... not infected
    Checking `egrep'... not infected
    Checking `env'... not infected
    Checking `find'... not infected
    Checking `fingerd'... not found
    Checking `gpm'... not infected
    Checking `grep'... not infected

    Chrootkit همچنین می تواند روی دیسک های mount شده یک ماشین دیگر اجرا شود!!!

    کد:
    # ./chrootkit -r /mnt/hda2_image
Working...
X