Sådan afdækker du skjulte Linux-processer med fjernelse
Mens GNU / Linux er et ekstremt sikkert operativsystem, bliver mange mennesker lokket til en falsk følelse af sikkerhed. De har den forkerte ide om, at intet nogensinde kan ske, fordi de arbejder fra et sikkert miljø. Det er rigtigt, at der kun er meget lidt malware til Linux-miljøet, men det er stadig meget muligt, at en Linux-installation i sidste ende kunne kompromitteres. Hvis intet andet, så overvejer muligheden for rootkits og andre lignende angreb en vigtig del af systemadministrationen. En rootkit refererer til et sæt værktøjer en tredjeparts brugere, efter at de får adgang til et computersystem, som de ikke med rette har adgang til. Dette sæt kan så bruges til at ændre filer uden kendskab til de retmæssige brugere. Unhide-pakken giver den nødvendige teknologi til hurtigt at finde en sådan kompromitteret software.
Unhide er i repositories for de fleste af de store Linux distributioner. Brug af en pakkehåndteringskommando som sudo apt-get install unhide er nok til at tvinge den til at installere på smag af Debian og Ubuntu. Servere med GUI-adgang kunne bruge Synaptic Package Manager. Fedora og Arch-distributionerne har præbyggede versioner af unhide til deres egne pakkehåndteringssystemer. Når unhide er installeret, skal systemadministratorer kunne bruge det på flere forskellige måder.
Metode 1: Bruteforcing Process ID'er
Den mest grundlæggende teknik indebærer bruteforcing hvert proces ID for at sikre, at ingen af dem er blevet skjult af brugeren. Medmindre du har root adgang, skriv sudo unhide brute -d ved CLI prompt. Alternativet d fordobler testen for at reducere antallet af rapporterede falske positiver.
Output er ekstremt grundlæggende. Efter en ophavsretlig besked vil forklare forklare de checks, den udfører. Der vil være en linje med angivelse af:
[*] Startscanning med brute kraft mod PIDS med gaffel ()og en anden angiver:
[*] Startscanning ved brug af brute force mod PIDS med pthread funktionerHvis der ikke er nogen anden output, så er der ingen grund til bekymring. Hvis programmets brute subrutine finder noget, så vil det rapportere noget om:
Fundet HIDDEN PID: 0000
De fire nuller ville blive erstattet med et gyldigt nummer. Hvis det blot siger, at det er en forbigående proces, så kan dette være en falsk positiv. Du er velkommen til at køre testen flere gange, indtil den giver et rent resultat. Hvis der er yderligere oplysninger, kan det muligvis garantere en opfølgende kontrol. Hvis du har brug for en logfil, kan du bruge -f-knappen til at oprette en logfil i den aktuelle mappe. Nyere versioner af programmet kalder denne fil unhide-linux.log, og den indeholder almindelig tekstudgang.
Metode 2: Sammenligning / proc og / bin / ps
Du kan i stedet henvise til at sammenligne / bin / ps og / proc proceslisterne for at sikre at disse to separate lister i Unix-filtræet matcher. Hvis der er noget galt, så rapporterer programmet det usædvanlige PID. Unix-regler fastsætter, at løbende processer skal indeholde ID-numre i disse to lister. Skriv sudo unhide proc -v for at starte testen. Takket være v, sættes programmet i verbose mode.
Denne metode vil returnere en hurtig angivelse:
[*] Søgning efter skjulte processer gennem / proc stat scanningHvis der forekommer noget usædvanligt, forekommer det efter denne tekstlinje.
Metode 3: Kombination af Proc og Procfs teknikker
Hvis det er nødvendigt, kan du faktisk sammenligne / bin / ps og / proc Unix-filtrælisterne, mens du også sammenligner al informationen fra / bin / ps-listen med de virtuelle procfs-poster. Dette kontrollerer både Unix-fil-træreglerne samt procfs-data. Skriv sudo unhide procall -v for at udføre denne test, hvilket kan tage lidt tid, da det skal scanne alle / proc stats samt lave flere andre tests. Det er en glimrende måde at sikre, at alt på en server er copasetisk.
PRO TIP: Hvis problemet er med din computer eller en bærbar computer / notesbog, skal du prøve at bruge Reimage Plus-softwaren, som kan scanne lagrene og udskifte korrupte og manglende filer. Dette virker i de fleste tilfælde, hvor problemet er opstået på grund af systemkorruption. Du kan downloade Reimage Plus ved at klikke herMetode 4: Sammenligning af procfsresultater med / bin / ps
De tidligere tests er for involveret til de fleste applikationer, men du kan køre proc filsystemet kontrollerer uafhængigt af en vis ekspedience. Skriv sudo unhide procfs -m, som vil udføre disse checks plus flere flere checks, der tilbydes ved at tackle på -m.
Dette er stadig en ret involveret test, og kan tage et øjeblik. Det returnerer tre separate produktionslinjer:
Husk at du kan oprette en fuld log med nogen af disse tests ved at tilføje -f til kommandoen.
Metode 5: Kører en hurtig scanning
Hvis du blot behøver at køre en hurtig scanning uden at angive dig selv med dybtgående kontrol, skal du blot skrive sudo hurtigt, som skal løbe så hurtigt som navnet antyder. Denne teknik scanner proc lister samt proc filsystemet. Det kører også en check, der indebærer at sammenligne oplysninger indsamlet fra / bin / ps med oplysninger, der leveres af opkald til systemressourcer. Dette giver en enkelt produktionslinje, men øger desværre risikoen for falske positiver. Det er nyttigt at dobbelttjekke efter at have gennemgået tidligere resultater.
Output er som følger:
[*] Søgning efter skjulte processer gennem sammenligning af resultater af systemopkald, proc, dir og psDu kan se flere overgangs processer komme op efter at have kørt denne scanning.
Metode 6: Kør en omvendt scanning
En fremragende teknik til sniffing out rootkits involverer verifikation af alle ps tråde. Hvis du kører ps kommandoen ved en CLI prompt, så kan du se en liste over kommandoen køre fra en terminal. Omvendt scanning verificerer, at hver af processoren tråde, at ps billeder udviser gyldige systemopkald og kan ses op i profs-noteringen. Dette er en fantastisk måde at sikre, at en rootkit ikke har dræbt noget. Du skal blot skrive sudo unhide reverse for at køre denne check. Det skal løbe ekstremt hurtigt. Når det kører, skal programmet fortælle dig, at det er på udkig efter falske processer.
Metode 7: Sammenligning / bin / ps med systemopkald
Endelig indebærer den mest omfattende kontrol at sammenligne al information fra / bin / ps notering med oplysninger taget fra gyldige systemopkald. Skriv sudo unhide sys for at starte denne test. Det vil sandsynligvis tage længere tid at køre end de andre. Da det giver så mange forskellige produktionslinjer, kan du ønske at bruge kommandoen -f log-to-file for at gøre det nemmere at se tilbage gennem alt, hvad den fandt.
PRO TIP: Hvis problemet er med din computer eller en bærbar computer / notesbog, skal du prøve at bruge Reimage Plus-softwaren, som kan scanne lagrene og udskifte korrupte og manglende filer. Dette virker i de fleste tilfælde, hvor problemet er opstået på grund af systemkorruption. Du kan downloade Reimage Plus ved at klikke her