Slik avdekker du skjulte Linux-prosesser med Unhide
Mens GNU / Linux er et ekstremt sikkert operativsystem, blir mange lokket til en falsk følelse av sikkerhet. De har feil ide om at ingenting noen gang kan skje fordi de jobber fra et sikkert miljø. Det er sant at svært lite malware eksisterer for Linux-miljøet, men det er fortsatt veldig mulig at en Linux-installasjon i siste instans kunne kompromitteres. Hvis ikke annet, vurderer muligheten for rootkits og andre lignende angrep en viktig del av systemadministrasjonen. En rootkit refererer til et sett med verktøy en tredjeparts brukere etter at de får tilgang til et datasystem de ikke har riktig tilgang til. Dette settet kan da brukes til å endre filer uten kjennskap til rettmessige brukere. Unhide-pakken gir den teknologien som trengs for å raskt finne slike kompromitterte programvare.
Unhide er i repositoriene for de fleste av de store Linux-distribusjonene. Bruk av en pakkeadministratorkommando, for eksempel sudo apt-get install unhide, er nok til å tvinge den til å installere på smaker av Debian og Ubuntu. Servere med GUI-tilgang kan bruke Synaptic Package Manager. Fedora og Arch distribusjoner har pre-built versjoner av unhide for sine egne pakke management systemer. Når unhide er installert, bør systemadministratorer kunne bruke det på flere forskjellige måter.
Metode 1: Bruteforcing Process IDs
Den mest grunnleggende teknikken innebærer bruteforcing hver prosess ID for å sikre at ingen av dem har blitt skjult fra brukeren. Med mindre du har root-tilgang, skriv sudo unhide brute -d ved CLI-spørringen. D-alternativet fordobler testen for å redusere antall rapporterte falske positiver.
Output er ekstremt grunnleggende. Etter en opphavsrettsbeskjed vil unhide forklare de kontrollene som den utfører. Det vil være en linje som angir:
[*] Startskanning ved hjelp av brute force mot PIDS med gaffel ()og en annen som sier:
[*] Startskanning ved hjelp av brute force mot PIDS med pthread funksjonerHvis det ikke er noen annen utgang, er det ingen grunn til bekymring. Hvis programmets brute subrutine finner noe, vil det rapportere noe som:
Funnet HIDDEN PID: 0000
De fire nullene ville bli erstattet med et gyldig nummer. Hvis det bare leser at det er en midlertidig prosess, kan dette være en falsk positiv. Ta gjerne testen flere ganger til den gir et rent resultat. Hvis det er ytterligere informasjon, kan det føre til en oppfølgingskontroll. Skulle du trenge en logg, kan du bruke -f bryteren til å opprette en loggfil i gjeldende katalog. Nyere versjoner av programmet kaller denne filen unhide-linux.log, og den har ren tekstutskrift.
Metode 2: Sammenligning / proc og / bin / ps
Du kan i stedet styre for å sammenligne / bin / ps og / proc prosesslister for å sikre at disse to separate lister i Unix-filtre matcher. Hvis det er noe galt, vil programmet rapportere den uvanlige PID. Unix-regler fastsetter at løpende prosesser må presentere ID-numre i disse to lister. Skriv sudo unhide proc -v for å starte testen. Å takke på v vil sette programmet i verbose modus.
Denne metoden vil returnere en melding som angir:
[*] Søker etter skjulte prosesser gjennom / proc stat skanningSkulle noe uvanlig oppstå, vises det etter denne teksten.
Metode 3: Kombinere Proc og Procfs teknikker
Hvis det er nødvendig, kan du faktisk sammenligne / bin / ps og / proc Unix-filtrelister samtidig som du også sammenligner all informasjonen fra / bin / ps-listen med de virtuelle profs-oppføringene. Dette kontrollerer både Unix-filtrereglene og procfs-dataene. Skriv sudo unhide procall -v for å utføre denne testen, noe som kan ta litt tid siden den må skanne alle / proc-statistikk, samt gjøre flere andre tester. Det er en utmerket måte å sikre at alt på en server er kopasetisk.
PRO TIPS: Hvis problemet er med datamaskinen eller en bærbar PC / notatbok, bør du prøve å bruke Reimage Plus-programvaren som kan skanne arkiver og erstatte skadede og manglende filer. Dette fungerer i de fleste tilfeller der problemet er oppstått på grunn av systemkorrupsjon. Du kan laste ned Reimage Plus ved å klikke herMetode 4: Sammenligning av profsresultater med / bin / ps
De forrige testene er for involvert for de fleste applikasjoner, men du kan kjøre Pro-filsystemet sjekker uavhengig for noen dyktighet. Skriv sudo unhide procfs -m, som vil utføre disse kontrollene pluss flere kontroller som tilbys ved å klare på -m.
Dette er fortsatt en ganske involvert test, og kan ta et øyeblikk. Den returnerer tre separate produksjonslinjer:
Husk at du kan opprette en full logg med noen av disse tester ved å legge til -f til kommandoen.
Metode 5: Kjører en hurtigskanning
Hvis du bare trenger å kjøre en rask skanning uten å bekymre deg selv med grundig sjekker, skriv bare sudo unhide raskt, som skal løpe så fort som navnet antyder. Denne teknikken skanner proc lister samt pros filsystemet. Det kjører også en sjekk som innebærer å sammenligne informasjon samlet fra / bin / ps med informasjon levert av samtaler til systemressurser. Dette gir en enkelt produksjonslinje, men øker dessverre risikoen for falske positiver. Det er nyttig å dobbeltsjekke etter at du allerede har gjennomgått tidligere resultater.
Output er som følger:
[*] Søker etter skjulte prosesser ved å sammenligne resultatene av systemanrop, proc, dir og psDu kan se at flere midlertidige prosesser kommer opp etter at du har kjørt denne skanningen.
Metode 6: Kjører en omvendt skanning
En utmerket teknikk for å snuse ut rootkits innebærer verifisering av alle ps-tråder. Hvis du kjører PS-kommandoen ved en CLI-melding, kan du se en liste over kommandolinjene fra en terminal. Omvendt skanning verifiserer at hver prosessor tråder at ps bilder viser gyldige systemanrop og kan bli sett opp i profs-oppføringen. Dette er en fin måte å sikre at en rootkit ikke har drept av noe. Bare skriv sudo unhide revers for å kjøre denne sjekken. Det skal løpe ekstremt raskt. Når det kjører, bør programmet varsle deg om at det er på jakt etter falske prosesser.
Metode 7: Sammenligning / bin / ps med systemsamtaler
Til slutt omfatter den mest omfattende sjekken å sammenligne all informasjon fra / bin / ps-oppføringen med informasjon tatt fra gyldige systemanrop. Skriv sudo unhide sys for å starte denne testen. Det vil mer enn sannsynlig ta lengre tid å løpe enn de andre. Siden det gir så mange forskjellige produksjonslinjer, kan du ønske å bruke kommandoen -f log-to-file for å gjøre det lettere å se tilbake gjennom alt det som ble funnet.
PRO TIPS: Hvis problemet er med datamaskinen eller en bærbar PC / notatbok, bør du prøve å bruke Reimage Plus-programvaren som kan skanne arkiver og erstatte skadede og manglende filer. Dette fungerer i de fleste tilfeller der problemet er oppstått på grunn av systemkorrupsjon. Du kan laste ned Reimage Plus ved å klikke her