Unhide ile Gizli Linux İşlemlerini Ortaya Çıkarma

GNU / Linux son derece güvenli bir işletim sistemi olsa da, birçok kişi yanlış bir güvenlik duygusuna kapılıyor. Güvenli bir ortamda çalıştıkları için hiçbir şeyin olamayacağı konusunda yanlış fikirleri vardır. Linux ortamı için çok az kötü amaçlı yazılım olduğu doğrudur, ancak yine de bir Linux kurulumunun nihayetinde tehlikeye atılması çok olasıdır. Hiçbir şey değilse, o zaman rootkitlerin ve diğer benzer saldırıların olasılığını göz önünde bulundurmak, sistem yönetiminin önemli bir parçasıdır. Rootkit, üçüncü taraf kullanıcıların haklı olarak erişemedikleri bir bilgisayar sistemine erişim sağladıktan sonra bir dizi aracı ifade eder. Bu kit daha sonra, doğru kullanıcıların bilgisi olmadan dosyaları değiştirmek için kullanılabilir. Unhide paketi, bu tür güvenliği ihlal edilmiş yazılımları hızlı bir şekilde bulmak için gereken teknolojiyi sağlar.

Unhide, büyük Linux dağıtımlarının çoğunun depolarında bulunur. Sudo apt-get install unhide gibi bir paket yöneticisi komutunun kullanılması, onu Debian ve Ubuntu tatlarına yüklenmeye zorlamak için yeterlidir. GUI erişimine sahip sunucular Synaptic Paket Yöneticisini kullanabilir. Fedora ve Arch dağıtımları, kendi paket yönetim sistemleri için önceden oluşturulmuş unhide sürümlerine sahiptir. Gösterme yüklendikten sonra, sistem yöneticileri bunu birkaç farklı şekilde kullanabilmelidir.

Yöntem 1: Bruteforcing İşlem Kimlikleri

En temel teknik, hiçbirinin kullanıcıdan gizlenmediğinden emin olmak için her işlem kimliğini zorla çalıştırmayı içerir. Kök erişiminiz yoksa, CLI isteminde sudo unhide brute -d yazın. D seçeneği, bildirilen yanlış pozitiflerin sayısını azaltmak için testi ikiye katlar.

Çıktı son derece basittir. Bir telif hakkı mesajından sonra, gösterme, gerçekleştirdiği kontrolleri açıklayacaktır. Şunları belirten bir satır olacaktır:

ve başka bir ifade:

Başka bir çıktı yoksa endişelenmek için bir neden yoktur. Programın kaba alt yordamı bir şey bulursa, aşağıdaki gibi bir şey rapor edecektir:

GİZLİ PID Bulunan: 0000

Dört sıfır, geçerli bir sayıyla değiştirilir. Yalnızca geçici bir süreç olduğunu okursa, bu yanlış bir pozitif olabilir. Temiz bir sonuç elde edene kadar testi birkaç kez çalıştırmaktan çekinmeyin. Daha fazla bilgi varsa, bir takip kontrolünü gerektirebilir. Bir günlüğe ihtiyacınız olursa, geçerli dizinde bir günlük dosyası oluşturmak için -f anahtarını kullanabilirsiniz. Programın daha yeni sürümleri bu dosyayı unhide-linux.log olarak adlandırır ve düz metin çıktısı içerir.

Yöntem 2: / proc ve / bin / ps karşılaştırması

Bunun yerine, Unix dosya ağacındaki bu iki ayrı listenin eşleştiğinden emin olmak için / bin / ps ve / proc işlem listelerini karşılaştırmak için göstermeyi yönlendirebilirsiniz. Yanlış bir şey varsa, program olağandışı PID'yi rapor edecektir. Unix kuralları, çalışan işlemlerin bu iki listede kimlik numaraları sunması gerektiğini şart koşar. Testi başlatmak için sudo unhide proc -v yazın. V'yi işaretlemek, programı ayrıntılı moda geçirir.

Bu yöntem şunu belirten bir istem döndürür:

Olağandışı bir şey olursa, bu metin satırından sonra görünecektir.

Yöntem 3: Proc ve Procfs Tekniklerini Birleştirme

Gerekirse / bin / ps ve / proc Unix dosya ağacı listelerini karşılaştırabilir ve aynı zamanda / bin / ps listesindeki tüm bilgileri sanal procfs girdileriyle karşılaştırabilirsiniz. Bu, hem Unix dosya ağacı kurallarını hem de procfs verilerini kontrol eder. Bu testi gerçekleştirmek için sudo unhide procall -v yazın; bu, tüm / proc istatistiklerini taraması ve diğer birkaç testi yapması gerektiğinden oldukça zaman alabilir. Bir sunucudaki her şeyin uyumlu olduğundan emin olmanın mükemmel bir yoludur.

Yöntem 4: procfs Sonuçlarını / bin / ps ile karşılaştırma

Önceki testler çoğu uygulama için fazla karmaşıktır, ancak proc dosya sistemi denetimlerini bir miktar çözüm için bağımsız olarak çalıştırabilirsiniz. Sudo unhide procfs -m yazın, bu kontroller artı -m'ye tıklanarak sağlanan birkaç kontrol daha gerçekleştirir.

Bu hala oldukça karmaşık bir testtir ve biraz zaman alabilir. Üç ayrı çıktı satırı döndürür:

Komuta -f ekleyerek bu testlerden herhangi biriyle tam bir günlük oluşturabileceğinizi unutmayın.

Yöntem 5: Hızlı Tarama Çalıştırma

Derinlemesine kontrollerle kendinizi ilgilendirmeden yalnızca hızlı bir tarama yapmanız gerekiyorsa, yalnızca adından da anlaşılacağı gibi hızlı çalışması gereken sudo unhide quick yazın. Bu teknik, proc listelerini ve proc dosya sistemini tarar. Ayrıca / bin / ps'den toplanan bilgilerin sistem kaynaklarına yapılan çağrılar tarafından sağlanan bilgilerle karşılaştırılmasını içeren bir denetim gerçekleştirir. Bu, tek bir çıktı satırı sağlar, ancak maalesef yanlış pozitif riskini artırır. Önceki sonuçları inceledikten sonra tekrar kontrol etmek faydalıdır.

Çıktı aşağıdaki gibidir:

Bu taramayı çalıştırdıktan sonra birkaç geçici işlem görebilirsiniz.

Yöntem 6: Ters Tarama Çalıştırma

Kök setlerini koklamak için mükemmel bir teknik, tüm ps iş parçacıklarının doğrulanmasını içerir. Ps komutunu bir CLI isteminde çalıştırırsanız, bir terminalden çalıştırılan komutun bir listesini görebilirsiniz. Ters tarama, ps görüntülerin geçerli sistem çağrıları sergilediğini ve procfs listesinde aranabileceğini doğrular. Bu, bir kök setinin bir şeyi öldürmediğinden emin olmanın harika bir yoludur. Bu kontrolü çalıştırmak için sudo unhide reverse yazmanız yeterlidir. Son derece hızlı çalışmalıdır. Program çalıştığında, sahte işlemler aradığını size bildirmelidir.

Yöntem 7: / bin / ps'yi Sistem Çağrılarıyla Karşılaştırma

Son olarak, en kapsamlı kontrol, / bin / ps listesindeki tüm bilgilerin geçerli sistem çağrılarından alınan bilgilerle karşılaştırılmasını içerir. Bu testi başlatmak için sudo unhide sys yazın. Çalıştırılması diğerlerinden daha uzun sürecektir. Çok sayıda farklı çıktı satırı sağladığından, bulduğu her şeye geri dönüp bakmayı kolaylaştırmak için -f log-to-file komutunu kullanmak isteyebilirsiniz.