So decken Sie versteckte Linux-Prozesse mit Unhide auf

[*]Während GNU / Linux ein extrem sicheres Betriebssystem ist, werden viele Menschen in ein falsches Sicherheitsgefühl gelockt. Sie haben die falsche Vorstellung, dass niemals etwas passieren kann, weil sie in einer sicheren Umgebung arbeiten. Es ist wahr, dass nur sehr wenig Malware für die Linux-Umgebung vorhanden ist, aber es ist dennoch sehr wahrscheinlich, dass eine Linux-Installation letztendlich kompromittiert wird. Wenn nichts anderes, ist die Berücksichtigung der Möglichkeit von Rootkits und ähnlichen Angriffen ein wichtiger Bestandteil der Systemadministration. Ein Rootkit bezieht sich auf eine Reihe von Tools, auf die Benutzer von Drittanbietern zugreifen, nachdem sie Zugriff auf ein Computersystem erhalten haben, auf das sie zu Recht keinen Zugriff haben. Dieses Kit kann dann verwendet werden, um Dateien ohne Wissen der rechtmäßigen Benutzer zu ändern. Das Paket zum Einblenden bietet die Technologie, die erforderlich ist, um solche kompromittierte Software schnell zu finden.

Unhide befindet sich in den Repositorys für die meisten wichtigen Linux-Distributionen. Die Verwendung eines Paketmanager-Befehls wie sudo apt-get install unhide reicht aus, um die Installation auf Debian- und Ubuntu-Versionen zu erzwingen. Server mit GUI-Zugriff können den Synaptic Package Manager verwenden. Fedora- und Arch-Distributionen haben vorgefertigte Versionen von Unblide für ihre eigenen Paketverwaltungssysteme. Sobald das Einblenden installiert ist, sollten Systemadministratoren es auf verschiedene Arten verwenden können.

Methode 1: Bruteforcing-Prozess-IDs

Die grundlegendste Technik besteht darin, jede Prozess-ID brutal zu erzwingen, um sicherzustellen, dass keine davon für den Benutzer verborgen ist. Wenn Sie keinen Root-Zugriff haben, geben Sie an der CLI-Eingabeaufforderung sudo unhide brute -d ein. Die Option d verdoppelt den Test, um die Anzahl der gemeldeten Fehlalarme zu verringern.

Die Ausgabe ist äußerst einfach. Nach einer Copyright-Meldung werden durch Einblenden die durchgeführten Überprüfungen erläutert. Es wird eine Zeile geben, die besagt:

[*]Starten des Scannens mit roher Gewalt gegen PIDS mit der Gabel ()

und eine andere Aussage:

[*]Starten des Scannens mit Brute Force gegen PIDS mit Pthread-Funktionen

Wenn es keine andere Ausgabe gibt, gibt es keinen Grund zur Sorge. Wenn die Brute-Subroutine des Programms etwas findet, meldet sie Folgendes:

HIDDEN PID gefunden: 0000

Die vier Nullen würden durch eine gültige Zahl ersetzt. Wenn nur gelesen wird, dass es sich um einen vorübergehenden Prozess handelt, kann dies falsch positiv sein. Fühlen Sie sich frei, den Test mehrmals durchzuführen, bis ein sauberes Ergebnis erzielt wird. Wenn weitere Informationen vorliegen, ist möglicherweise eine Nachprüfung erforderlich. Wenn Sie ein Protokoll benötigen, können Sie mit der Option -f eine Protokolldatei im aktuellen Verzeichnis erstellen. Neuere Versionen des Programms rufen diese Datei unhide-linux.log auf und bieten eine Nur-Text-Ausgabe.

Methode 2: Vergleichen von / proc und / bin / ps

Sie können stattdessen das Einblenden anweisen, um die Prozesslisten / bin / ps und / proc zu vergleichen, um sicherzustellen, dass diese beiden separaten Listen im Unix-Dateibaum übereinstimmen. Wenn etwas schief läuft, meldet das Programm die ungewöhnliche PID. Unix-Regeln schreiben vor, dass laufende Prozesse ID-Nummern in diesen beiden Listen enthalten müssen. Geben Sie sudo unhide proc -v ein, um den Test zu starten. Durch Anheften von v wird das Programm in den ausführlichen Modus versetzt.

Diese Methode gibt eine Eingabeaufforderung zurück, die Folgendes angibt:

[*]Suche nach versteckten Prozessen durch / proc stat scannen

Sollte etwas Ungewöhnliches auftreten, wird es nach dieser Textzeile angezeigt.

Methode 3: Kombinieren der Proc- und Procfs-Techniken

Bei Bedarf können Sie die Unix-Dateibaumlisten / bin / ps und / proc tatsächlich vergleichen und gleichzeitig alle Informationen aus der Liste / bin / ps mit den virtuellen procfs-Einträgen vergleichen. Dies überprüft sowohl die Unix-Dateibaumregeln als auch die Procfs-Daten. Geben Sie sudo unhide procall -v ein, um diesen Test durchzuführen. Dies kann einige Zeit dauern, da alle / proc-Statistiken gescannt und mehrere andere Tests durchgeführt werden müssen. Dies ist eine hervorragende Möglichkeit, um sicherzustellen, dass alles auf einem Server kopasetisch ist.

2016-11-02_222832

Methode 4: Vergleichen der procfs-Ergebnisse mit / bin / ps

Die vorherigen Tests sind für die meisten Anwendungen zu aufwendig, aber Sie können die Proc-Dateisystemprüfungen aus Gründen der Zweckmäßigkeit unabhängig voneinander ausführen. Geben Sie sudo unhide procfs -m ein, um diese Überprüfungen sowie mehrere weitere Überprüfungen durchzuführen, die durch Anheften von -m bereitgestellt werden.

Dies ist immer noch ein ziemlich komplizierter Test und kann einen Moment dauern. Es werden drei separate Ausgabezeilen zurückgegeben:

2016-11-02_223011

Beachten Sie, dass Sie mit jedem dieser Tests ein vollständiges Protokoll erstellen können, indem Sie dem Befehl -f hinzufügen.

Methode 5: Ausführen eines Schnellscans

Wenn Sie lediglich einen schnellen Scan durchführen müssen, ohne sich mit eingehenden Überprüfungen zu befassen, geben Sie einfach sudo unhide quick ein, das so schnell ausgeführt werden sollte, wie der Name vermuten lässt. Diese Technik scannt sowohl Proc-Listen als auch das Proc-Dateisystem. Außerdem wird eine Prüfung ausgeführt, bei der die aus / bin / ps gesammelten Informationen mit Informationen verglichen werden, die durch Aufrufe von Systemressourcen bereitgestellt werden. Dies liefert eine einzige Ausgabezeile, erhöht jedoch leider das Risiko von Fehlalarmen. Es ist nützlich, dies zu überprüfen, nachdem Sie bereits die vorherigen Ergebnisse überprüft haben.

Die Ausgabe ist wie folgt:

[*]Suche nach versteckten Prozessen durch Vergleich der Ergebnisse von Systemaufrufen, proc, dir und ps

Möglicherweise werden nach dem Ausführen dieses Scans mehrere vorübergehende Prozesse angezeigt.

Methode 6: Ausführen eines Reverse Scan

Eine ausgezeichnete Technik zum Herausschnüffeln von Rootkits besteht in der Überprüfung aller ps-Threads. Wenn Sie den Befehl ps an einer CLI-Eingabeaufforderung ausführen, wird eine Liste der Befehle angezeigt, die von einem Terminal ausgeführt werden. Durch das umgekehrte Scannen wird überprüft, ob jeder der Prozessorthreads, für die ps-Images gültige Systemaufrufe aufweisen, in der Liste procfs nachgeschlagen werden kann. Dies ist eine großartige Möglichkeit, um sicherzustellen, dass ein Rootkit nichts getötet hat. Geben Sie einfach sudo unhide reverse ein, um diese Prüfung durchzuführen. Es sollte extrem schnell laufen. Wenn es ausgeführt wird, sollte das Programm Sie benachrichtigen, dass es nach gefälschten Prozessen sucht.

Methode 7: Vergleichen von / bin / ps mit Systemaufrufen

Schließlich umfasst die umfassendste Prüfung den Vergleich aller Informationen aus der Liste / bin / ps mit Informationen aus gültigen Systemaufrufen. Geben Sie sudo unhide sys ein, um diesen Test zu starten. Die Ausführung wird höchstwahrscheinlich länger dauern als bei den anderen. Da es so viele verschiedene Ausgabezeilen bietet, können Sie den Befehl -f log-to-file verwenden, um das Zurückblicken auf alle gefundenen Dateien zu vereinfachen.

Similar Posts

Leave a Reply

Your email address will not be published. Required fields are marked *