Matériel

Rootkits: ce qu'ils sont et comment les détecter sous Linux

2024
Rootkits: ce qu'ils sont et comment les détecter sous Linux

Table des matières:

Anonim

Il est probable qu'un intrus puisse se faufiler dans votre système, la première chose à faire est d'installer une série de rootkits. Avec cela, vous prendrez le contrôle du système à partir de ce moment. Ces outils mentionnés représentent un grand risque. Par conséquent, il est extrêmement nécessaire de savoir de quoi il s'agit, leur fonctionnement et comment les détecter.

La première fois qu'ils ont remarqué son existence, c'était dans les années 90, dans le système d'exploitation SUN Unix. La première chose que les administrateurs ont remarquée était un comportement étrange sur le serveur. CPU surutilisé, manque d'espace sur le disque dur et connexions réseau non identifiées via la commande netstat .

ROOTKITS: Que sont-ils et comment les détecter sous Linux

Que sont les rootkits?

Ce sont des outils, dont l'objectif principal est de se cacher et de cacher toute autre instance qui révèle la présence intrusive dans le système. Par exemple, toute modification des processus, programmes, répertoires ou fichiers. Cela permet à l'intrus d'entrer dans le système à distance et imperceptiblement, dans la plupart des cas à des fins malveillantes telles que l'extraction d'informations de grande importance ou l'exécution d'actions destructrices. Son nom vient de l'idée qu'un rootkit vous permet d'y accéder facilement en tant qu'utilisateur root, après son installation.

Son fonctionnement se concentre sur le fait de remplacer les fichiers programme système par des versions modifiées, afin d'exécuter des actions spécifiques. Autrement dit, ils imitent le comportement du système, mais cachent d'autres actions et preuves de l'intrus. Ces versions modifiées sont appelées chevaux de Troie. Donc, fondamentalement, un rootkit est un ensemble de chevaux de Troie.

Comme nous le savons, sous Linux, les virus ne sont pas un danger. Le plus grand risque réside dans les vulnérabilités découvertes au jour le jour dans vos programmes. Ce qui pourrait être exploité par un intrus pour installer un rootkit. C'est là que réside l' importance de maintenir le système à jour dans son intégralité, en vérifiant continuellement son état.

Certains des fichiers qui sont généralement victimes de chevaux de Troie sont login, telnet, su, ifconfig, netstat, find, entre autres.

Ainsi que ceux appartenant à la liste /etc/inetd.conf.

Vous pourriez être intéressé par la lecture: Conseils pour rester sans malwares sur Linux

Types de rootkits

Nous pouvons les classer selon la technologie qu'ils utilisent. En conséquence, nous avons trois types principaux.

  • Binaires: ceux qui parviennent à affecter un ensemble de fichiers système critiques. Remplacement de certains fichiers par leurs similaires modifiés. Cœur: ceux qui affectent les composants de base. Depuis les bibliothèques: ils utilisent les bibliothèques système pour conserver les chevaux de Troie.

Détection des rootkits

Nous pouvons le faire de plusieurs manières:

  • Vérification de la légitimité des fichiers. Cela grâce à des algorithmes utilisés pour vérifier la somme. Ces algorithmes sont de style MD5 , qui indiquent que pour que la somme de deux fichiers soit égale, il est nécessaire que les deux fichiers soient identiques. Donc, en bon administrateur, je dois stocker ma somme de contrôle système sur un périphérique externe. De cette façon, plus tard, je serai en mesure de détecter l'existence de rootkits grâce à une comparaison de ces résultats avec ceux d'un certain moment, avec un outil de mesure conçu à cet effet. Par exemple, Tripwire . Un autre moyen qui nous permet de détecter l'existence de rootkits est d'effectuer des analyses de port à partir d'autres ordinateurs, afin de vérifier s'il y a des backdoors qui écoutent sur des ports qui sont normalement inutilisés. Il existe également des démons spécialisés tels que rkdet for détecter les tentatives d'installation et dans certains cas même l'empêcher de se produire et avertir l'administrateur. Un autre outil est le type de script shell, tel que Chkrootkit , qui est chargé de vérifier l'existence de binaires dans le système, modifiés par les rootkits.
NOUS VOUS RECOMMANDONS Les meilleures alternatives à Microsoft Paint sur Linux

Dites-nous si vous avez été victime d'une attaque avec des rootkits, ou quelles sont vos pratiques pour l'éviter?

Contactez-nous pour toute question. Et bien sûr, rendez-vous dans notre section Tutoriels ou dans notre catégorie Linux, où vous trouverez de nombreuses informations utiles pour tirer le meilleur parti de notre système.

▷ Liens avec ce qu'ils sont et à quoi ils servent

▷ Liens avec ce qu'ils sont et à quoi ils servent

Dans cet article, nous expliquons de manière très simple ce que sont les connexions COM et à quoi elles servent. Un port peu utilisé.

Ordinateur de poste de travail: ce qu'ils sont et à quoi ils servent

Ordinateur de poste de travail: ce qu'ils sont et à quoi ils servent

Nous expliquons ce qu'est un ordinateur Workstation, pourquoi vous devez l'acheter, à quoi il sert et pourquoi il est utilisé par les concepteurs et les entreprises.

Nanomètres: ce qu'ils sont et comment ils affectent notre CPU

Nanomètres: ce qu'ils sont et comment ils affectent notre CPU

Avez-vous déjà entendu parler des nanomètres d'un processeur? Eh bien, dans cet article, nous allons tout vous dire sur cette mesure.

Matériel

Le choix des éditeurs

HTC se désintéresse-t-il de Windows Phone ?

HTC se désintéresse-t-il de Windows Phone ?

2024
Samsung Ativ Q

Samsung Ativ Q

2024
Images de ce que pourrait être le nouveau Nokia Lumia EOS

Images de ce que pourrait être le nouveau Nokia Lumia EOS

2024
Appareils Build 2013 : en attente des fabricants

Appareils Build 2013 : en attente des fabricants

2024
Back to top button