Logo nowadaytechnol.com

So Decken Sie Versteckte Linux-Prozesse Mit Unhide Auf

Inhaltsverzeichnis:

So Decken Sie Versteckte Linux-Prozesse Mit Unhide Auf
So Decken Sie Versteckte Linux-Prozesse Mit Unhide Auf

Video: So Decken Sie Versteckte Linux-Prozesse Mit Unhide Auf

Video: So Decken Sie Versteckte Linux-Prozesse Mit Unhide Auf
Video: Hide unhide rows and column || Column and Row hid unhide in excel || Hide column and rows 2024, März
Anonim

Während GNU / Linux ein extrem sicheres Betriebssystem ist, werden viele Menschen in ein falsches Sicherheitsgefühl gelockt. Sie haben die falsche Vorstellung, dass nichts jemals passieren kann, weil sie in einer sicheren Umgebung arbeiten. Es ist wahr, dass nur sehr wenig Malware für die Linux-Umgebung vorhanden ist, aber es ist immer noch sehr wahrscheinlich, dass die Linux-Installation letztendlich gefährdet wird. Wenn nichts anderes, ist die Berücksichtigung der Möglichkeit von Rootkits und ähnlichen Angriffen ein wichtiger Bestandteil der Systemadministration. Rootkit bezieht sich auf eine Reihe von Tools, die Benutzer von Drittanbietern erhalten, nachdem sie Zugriff auf ein Computersystem erhalten haben, auf das sie nicht zu Recht Zugriff haben. Dieses Kit kann dann verwendet werden, um Dateien ohne Wissen der rechtmäßigen Benutzer zu ändern. Das Paket zum Einblenden bietet die Technologie, die erforderlich ist, um solche kompromittierte Software schnell zu finden.

Unhide befindet sich in den Repositorys für die meisten wichtigen Linux-Distributionen. Die Verwendung eines Paketmanagerbefehls wie sudo apt-get install unhide reicht aus, um die Installation auf Debian- und Ubuntu-Versionen zu erzwingen. Server mit GUI-Zugriff können den Synaptic Package Manager verwenden. Fedorand Arch-Distributionen haben vorgefertigte Versionen von Unblide für ihre eigenen Paketverwaltungssysteme. Sobald das Einblenden installiert ist, sollten Systemadministratoren es auf verschiedene Arten verwenden können.

Methode 1: Bruteforcing-Prozess-IDs

Die grundlegendste Technik besteht darin, jede Prozess-ID brutal zu erzwingen, um sicherzustellen, dass keine davon für den Benutzer verborgen ist. Wenn Sie keinen Root-Zugriff haben, geben Sie an der CLI-Eingabeaufforderung sudo unhide brute -d ein. Die Option d verdoppelt den Test, um die Anzahl der gemeldeten Fehlalarme zu verringern.

Die Ausgabe ist äußerst einfach. Nach der Copyright-Meldung werden durch Einblenden die durchgeführten Überprüfungen erläutert. Es wird eine Zeile geben, die besagt:

[*] Starten des Scannens mit roher Gewalt gegen PIDS mit der Gabel ()

und eine andere Aussage:

[*] Starten des Scannens mit Brute Force gegen PIDS mit Pthread-Funktionen

Wenn keine andere Ausgabe vorhanden ist, besteht kein Grund zur Sorge. Wenn die Brute-Subroutine des Programms etwas findet, wird Folgendes gemeldet:

HIDDEN PID gefunden: 0000

Die vier Nullen würden durch eine gültige Nummer ersetzt. Wenn nur gelesen wird, dass es sich um einen vorübergehenden Prozess handelt, ist dies möglicherweise falsch positiv. Fühlen Sie sich frei, den Test mehrmals durchzuführen, bis er ein sauberes Ergebnis liefert. Wenn weitere Informationen vorliegen, ist möglicherweise eine Nachprüfung erforderlich. Wenn Sie ein Protokoll benötigen, können Sie mit der Option -f eine Protokolldatei im aktuellen Verzeichnis erstellen. Neuere Versionen des Programms rufen diese Datei unhide-linux.log auf und bieten eine Nur-Text-Ausgabe.

Methode 2: Vergleichen von / proc und / bin / ps

Sie können stattdessen das Einblenden anweisen, um die Prozesslisten / bin / ps und / proc zu vergleichen, um sicherzustellen, dass diese beiden separaten Listen im Unix-Dateibaum übereinstimmen. Wenn etwas schief läuft, meldet das Programm die ungewöhnliche PID. Unix-Regeln schreiben vor, dass laufende Prozesse ID-Nummern in diesen beiden Listen enthalten müssen. Geben Sie sudo unhide proc -v ein, um den Test zu starten. Durch Anheften von v wird das Programm in den ausführlichen Modus versetzt.

Diese Methode gibt eine Eingabeaufforderung zurück, die Folgendes angibt:

[*] Suche nach versteckten Prozessen durch / proc stat scannen

Sollte etwas Ungewöhnliches auftreten, wird es nach dieser Textzeile angezeigt.

Methode 3: Kombinieren der Proc- und Procfs-Techniken

Bei Bedarf können Sie die Unix-Dateibaumlisten / bin / ps und / proc tatsächlich vergleichen und gleichzeitig alle Informationen aus der Liste / bin / ps mit den virtuellen procfs-Einträgen vergleichen. Dadurch werden sowohl die Unix-Dateibaumregeln als auch die Procfs-Daten überprüft. Geben Sie sudo unhide procall -v ein, um diesen Test durchzuführen. Dies kann einige Zeit dauern, da alle / proc-Statistiken gescannt und mehrere andere Tests durchgeführt werden müssen. Dies ist eine hervorragende Möglichkeit, um sicherzustellen, dass alles auf dem Server kopasetisch ist.

2016-11-02_222832
2016-11-02_222832

Methode 4: Vergleichen der procfs-Ergebnisse mit / bin / ps

Die vorherigen Tests sind für die meisten Anwendungen zu aufwendig, aber Sie können die Proc-Dateisystemprüfungen aus Gründen der Zweckmäßigkeit unabhängig voneinander ausführen. Geben Sie sudo unhide procfs -m ein, um diese Überprüfungen sowie mehrere weitere Überprüfungen durchzuführen, die durch Anheften von -m bereitgestellt werden.

Dies ist immer noch ein ziemlich komplizierter Test und kann einen Moment dauern. Es werden drei separate Ausgabezeilen zurückgegeben:

2016-11-02_223011
2016-11-02_223011

Beachten Sie, dass Sie mit jedem dieser Tests ein vollständiges Protokoll erstellen können, indem Sie dem Befehl -f hinzufügen.

Methode 5: Ausführen des Schnellscans

Wenn Sie lediglich einen schnellen Scan ausführen müssen, ohne sich mit eingehenden Überprüfungen zu befassen, geben Sie einfach sudo unhide quick ein, das so schnell ausgeführt werden sollte, wie der Name vermuten lässt. Diese Technik scannt sowohl Proc-Listen als auch das Proc-Dateisystem. Außerdem wird eine Prüfung ausgeführt, bei der die aus / bin / ps gesammelten Informationen mit Informationen verglichen werden, die durch Aufrufe von Systemressourcen bereitgestellt werden. Dies bietet eine einzige Ausgabezeile, erhöht jedoch leider das Risiko von Fehlalarmen. Es ist nützlich, dies zu überprüfen, nachdem Sie bereits die vorherigen Ergebnisse überprüft haben.

Die Ausgabe ist wie folgt:

[*] Suche nach versteckten Prozessen durch Vergleich der Ergebnisse von Systemaufrufen, proc, dir und ps

Möglicherweise werden nach dem Ausführen dieses Scans mehrere vorübergehende Prozesse angezeigt.

Methode 6: Reverse Scan ausführen

Eine ausgezeichnete Technik zum Herausschnüffeln von Rootkits besteht in der Überprüfung aller ps-Threads. Wenn Sie den Befehl ps an der CLI-Eingabeaufforderung ausführen, wird eine Liste der vom Terminal ausgeführten Befehle angezeigt. Durch das umgekehrte Scannen wird überprüft, ob jeder der Prozessorthreads, für die ps-Images gültige Systemaufrufe aufweisen, in der Liste procfs nachgeschlagen werden kann. Dies ist eine großartige Möglichkeit, um sicherzustellen, dass das Rootkit nichts getötet hat. Geben Sie einfach sudo unhide reverse ein, um diese Prüfung durchzuführen. Es sollte extrem schnell laufen. Wenn es ausgeführt wird, sollte das Programm Sie benachrichtigen, dass es nach gefälschten Prozessen sucht.

Methode 7: Vergleichen von / bin / ps mit Systemaufrufen

Schließlich umfasst die umfassendste Prüfung den Vergleich aller Informationen aus der Liste / bin / ps mit Informationen aus gültigen Systemaufrufen. Geben Sie sudo unhide sys ein, um diesen Test zu starten. Die Ausführung wird höchstwahrscheinlich länger dauern als bei den anderen. Da es so viele verschiedene Ausgabezeilen bietet, können Sie den Befehl -f log-to-file verwenden, um das Zurückblicken auf alles, was gefunden wurde, zu vereinfachen.

Empfohlen: