Linux下Rootkit的另類檢測

2021-09-22 04:54:30 字數 1647 閱讀 3591

linux下rootkit的另類檢測

當黑客獲取管理員許可權時,首先是抹掉入侵系統的相關記錄,並且隱藏自己的行蹤,要實現這一目的最常用的方法就是使用rootkits,簡單的說,rootkits是一種經修改的攻擊指令碼、系統程式,用於在乙個目標系統中非法獲取系統的最高控制許可權。rootkits被廣泛使用,它允許攻擊者獲得後門級訪問。過去,rootkits通常是替換作業系統中的正常二進位制執行程式,如iogin程式、ifconfig程式等。但這兩年來rootkits發展很快,發展到直接對底層核心進行操作,而不再需要去修改單個的程式。通過修改作業系統核心,核心級的rootkits使乙個被修改核心的作業系統看上去和正常的系統沒有區別,它們通常都包含重定向系統呼叫的能力。因此,當使用者執行類似ps、netstat或ifconfig之類的指令的時候,實際執行的是乙個特洛伊的版本。這些工具還可以隱藏程序、檔案和埠使用情況等,使用者將得不到真實的系統情況報告。

rootkits防禦辦法:

防禦rootkits的最有效的方法時定期的對重要系統檔案的完整性進行核查,這類的工具很多,像tripwire就是乙個非常不錯的檔案完整性檢查工具。一但發現遭受到rootkits攻擊,那就比較麻煩了,

必須完全重灌所有的系統檔案部件和程式,

以確保安全性。

這裡再向大家介紹乙個簡單易用的linux下的rootkits檢測方法。zeppoo是一款小巧的、優秀的linux下的rootkits檢測工具。zeppoo允許linux系統管理員在i386硬體體系下監控/dev/kmem 和/dev/mem中是否存有rootkits存在的跡象。zeppoo可以檢測隱藏的系統任務、模組、syscalls、惡意符號和隱藏的連線。讓linux系統管理員根據zeppoo發現的隱藏的、非法的程式來及時的判斷是否linux系統中存在rootkits。

zeppoo的使用

#cd zeppoo

#make;make install

如下圖:

基本命令格式如下:

zeppoo -引數

列出系統任務

-p 顯示在記憶體中執行的任務。

列出syscalls -s顯示系統呼叫。

列出idt

檔案指紋特徵

-f file 產生某檔案的指紋特徵(syscalls,idt)。

其他功能

-c options檢查任務,網路,

檔案指紋特徵check tasks,networks,fingerprints。

-d device使用裝置(/dev/mem,/dev/kmem)。

-m 快速模式。

-t systemmap 指定system.map來解決syscalls和idt檔名問題。

顯示/dev/mem 中所有執行任務,可以看到所有執行

任務的uid、gid、檔名和記憶體位址等重要引數。

#zeppoo -p -d /dev/mem

檢測和顯示所有隱藏任務,如果zeppoo沒有在記憶體中檢測到可疑任務,zeppoo則會提示「沒有隱藏任務,您的系統看上去是安全的」,當然,這個提示只能作為參考,系統管理員還要進行進一步的認證分析:

#zeppoo -c -p

Linux下Rootkit的另類檢測

linux下rootkit的另類檢測 當 獲取管理員許可權時,首先是抹掉 系統的相關記錄,並且隱藏自己的行蹤,要實現這一目的最常用的方法就是使用 rootkits 簡單的說,rootkits 是一種經修改的 指令碼 系統程式,用於在乙個目標系統中非法獲取系統的最高控制許可權。rootkits 被廣泛...

Linux下Rootkit的另類檢測

linux下rootkit的另類檢測 當黑客獲取管理員許可權時,首先是抹掉入侵系統的相關記錄,並且隱藏自己的行蹤,要實現這一目的最常用的方法就是使用rootkits,簡單的說,rootkits是一種經修改的攻擊指令碼 系統程式,用於在乙個目標系統中非法獲取系統的最高控制許可權。rootkits被廣泛...

如何檢測Linux核心的Rootkit

最近一段時間搞了些rootkit攻略,每個方法都比較徹底,無論是隱藏程序,還是隱藏cpu利用率,隱藏tcp連線,隱藏檔案,甚至隱藏cpu風扇的狂轉,均採用了相對底層的方案,一般的rootkit檢測很難檢測到。所謂的一般的rootkit就是那些通常的hook,比方說hook系統呼叫,hook proc...