Trong khi GNU/Linux là một hệ điều hành cực kỳ an toàn, nhiều người bị dụ dỗ vào cảm giác an toàn sai lầm. Họ có quan niệm sai lầm rằng không có chuyện gì có thể xảy ra vì họ đang làm việc trong một môi trường an toàn. Đúng là có rất ít phần mềm độc hại tồn tại trong môi trường Linux, nhưng cuối cùng vẫn có khả năng bản cài đặt Linux bị xâm phạm. Nếu không có gì khác thì việc xem xét khả năng xảy ra rootkit và các cuộc tấn công tương tự khác là một phần quan trọng trong quản trị hệ thống. Rootkit đề cập đến một bộ công cụ mà người dùng bên thứ ba sau khi họ có quyền truy cập vào hệ thống máy tính mà họ không có quyền truy cập hợp pháp. Bộ công cụ này sau đó có thể được sử dụng để sửa đổi các tập tin mà người dùng hợp pháp không hề hay biết. Gói bỏ ẩn cung cấp công nghệ cần thiết để nhanh chóng tìm ra phần mềm bị xâm phạm đó.
Bỏ ẩn có trong kho của hầu hết các bản phân phối Linux chính. Việc sử dụng lệnh quản lý gói như Sudo apt-get install unhide là đủ để buộc nó cài đặt theo phiên bản Debian và Ubuntu. Máy chủ có quyền truy cập GUI có thể sử dụng Trình quản lý gói Synaptic. Các bản phân phối Fedora và Arch có các phiên bản bỏ ẩn dựng sẵn cho hệ thống quản lý gói của riêng họ. Sau khi cài đặt tính năng bỏ ẩn, quản trị viên hệ thống sẽ có thể sử dụng nó theo nhiều cách khác nhau.
Phương pháp 1:ID tiến trình cưỡng bức
Kỹ thuật cơ bản nhất liên quan đến việc ép buộc từng ID tiến trình để đảm bảo rằng không có ID nào trong số chúng bị ẩn khỏi người dùng. Trừ khi bạn có quyền truy cập root, hãy nhập sudo unhide brute -d tại dấu nhắc CLI. Tùy chọn d tăng gấp đôi số lần kiểm tra để giảm số lượng kết quả dương tính giả được báo cáo.
Đầu ra là cực kỳ cơ bản. Sau thông báo bản quyền, tính năng bỏ ẩn sẽ giải thích các thao tác kiểm tra mà nó thực hiện. Sẽ có một dòng ghi:
[*]Bắt đầu quét bằng cách sử dụng vũ lực đối với PIDS bằng fork()
và một người khác nêu rõ:
[*]Bắt đầu quét bằng cách sử dụng vũ lực chống lại PIDS bằng chức năng pthread
Nếu không có đầu ra nào khác thì không có lý do gì phải lo lắng. Nếu chương trình con brute của chương trình tìm thấy bất cứ điều gì thì nó sẽ báo cáo nội dung như:
Đã tìm thấy PID ẨN:0000
Bốn số không sẽ được thay thế bằng một số hợp lệ. Nếu nó chỉ ghi rằng đó là một quá trình tạm thời thì đây có thể là một kết quả dương tính giả. Hãy thoải mái chạy thử nghiệm nhiều lần cho đến khi nó mang lại kết quả rõ ràng. Nếu có thêm thông tin thì có thể yêu cầu kiểm tra tiếp theo. Nếu cần nhật ký, bạn có thể sử dụng khóa chuyển -f để tạo tệp nhật ký trong thư mục hiện tại. Các phiên bản mới hơn của chương trình gọi tệp này là unhide-linux.log và nó có tính năng xuất văn bản thuần túy.
Phương pháp 2:So sánh /proc và /bin/ps
Thay vào đó, bạn có thể trực tiếp bỏ ẩn để so sánh danh sách quy trình /bin/ps và /proc để đảm bảo rằng hai danh sách riêng biệt này trong cây tệp Unix khớp nhau. Nếu có điều gì đó không ổn thì chương trình sẽ báo cáo PID bất thường. Quy tắc Unix quy định rằng các tiến trình đang chạy phải hiển thị số ID trong hai danh sách này. Nhập sudo unhide proc -v để bắt đầu kiểm tra. Nhấn vào v sẽ đưa chương trình vào chế độ dài dòng.
Phương thức này sẽ trả về một dấu nhắc cho biết:
[*]Tìm kiếm các quy trình ẩn thông qua quét /proc stat
Nếu có điều gì bất thường xảy ra, nó sẽ xuất hiện sau dòng văn bản này.
Phương pháp 3:Kết hợp kỹ thuật Proc và Procfs
Nếu cần, bạn thực sự có thể so sánh danh sách cây tệp Unix /bin/ps và /proc đồng thời so sánh tất cả thông tin từ danh sách /bin/ps với các mục nhập Procfs ảo. Điều này kiểm tra cả quy tắc cây tệp Unix cũng như dữ liệu Procfs. Nhập sudo unhide procall -v để thực hiện kiểm tra này, việc này có thể mất khá nhiều thời gian vì nó phải quét tất cả các số liệu thống kê /proc cũng như thực hiện một số kiểm tra khác. Đó là một cách tuyệt vời để đảm bảo rằng mọi thứ trên máy chủ đều đồng bộ.
Phương pháp 4:So sánh kết quả của procfs với /bin/ps
Các thử nghiệm trước đó quá phức tạp đối với hầu hết các ứng dụng, nhưng bạn có thể chạy kiểm tra hệ thống tệp Proc một cách độc lập để có một số lợi ích. Nhập sudo unhide procfs -m, thao tác này sẽ thực hiện các bước kiểm tra này cùng với một số bước kiểm tra khác được cung cấp bằng cách thêm vào -m.
Đây vẫn là một thử nghiệm khá phức tạp và có thể mất một chút thời gian. Nó trả về ba dòng đầu ra riêng biệt:
Hãy nhớ rằng bạn có thể tạo nhật ký đầy đủ với bất kỳ thử nghiệm nào trong số này bằng cách thêm -f vào lệnh.
Phương pháp 5:Chạy Quét nhanh
Nếu bạn chỉ cần quét nhanh mà không quan tâm đến việc kiểm tra chuyên sâu, thì chỉ cần gõ sudo unhide quick, thao tác này sẽ chạy nhanh như tên gợi ý. Kỹ thuật này quét danh sách Proc cũng như hệ thống tệp Proc. Nó cũng chạy kiểm tra bao gồm việc so sánh thông tin được thu thập từ /bin/ps với thông tin được cung cấp bởi các lệnh gọi tới tài nguyên hệ thống. Điều này cung cấp một dòng đầu ra duy nhất, nhưng không may làm tăng nguy cơ dương tính giả. Việc kiểm tra lại sau khi đã xem lại các kết quả trước đó là rất hữu ích.
Đầu ra như sau:
[*]Tìm kiếm các quy trình ẩn thông qua so sánh kết quả của các cuộc gọi hệ thống, proc, dir và ps
Bạn có thể thấy một số quy trình tạm thời xuất hiện sau khi chạy quá trình quét này.
Phương pháp 6:Chạy quét ngược
Một kỹ thuật tuyệt vời để phát hiện rootkit liên quan đến việc xác minh tất cả các luồng ps. Nếu bạn chạy lệnh ps tại dấu nhắc CLI thì bạn có thể thấy danh sách lệnh chạy từ thiết bị đầu cuối. Quét ngược xác minh rằng mỗi luồng bộ xử lý mà hình ảnh ps thể hiện các lệnh gọi hệ thống hợp lệ và có thể được tra cứu trong danh sách Procfs. Đây là một cách tuyệt vời để đảm bảo rằng rootkit không giết chết thứ gì đó. Chỉ cần gõ sudo unhide Reverse để chạy kiểm tra này. Nó sẽ chạy cực kỳ nhanh chóng. Khi chạy, chương trình sẽ thông báo cho bạn rằng nó đang tìm kiếm các quy trình giả mạo.
Phương pháp 7:So sánh /bin/ps với Lệnh gọi hệ thống
Cuối cùng, việc kiểm tra toàn diện nhất bao gồm việc so sánh tất cả thông tin từ danh sách /bin/ps với thông tin lấy từ các lệnh gọi hệ thống hợp lệ. Nhập sudo unhide sys để bắt đầu kiểm tra này. Nhiều khả năng nó sẽ mất nhiều thời gian để chạy hơn những cái khác. Vì nó cung cấp rất nhiều dòng đầu ra khác nhau nên bạn có thể muốn sử dụng lệnh -f log-to-file để dễ dàng xem lại mọi thứ nó tìm thấy.
GIỚI THIỆU TÁC GIẢ
Mũi tên Kevin
Kevin Arrows là một chuyên gia công nghệ giàu kinh nghiệm và hiểu biết với hơn một thập kỷ kinh nghiệm trong ngành. Anh có chứng chỉ Chuyên gia Công nghệ được Chứng nhận của Microsoft (MCTS) và có niềm đam mê sâu sắc trong việc cập nhật những phát triển công nghệ mới nhất. Kevin đã viết nhiều về nhiều chủ đề liên quan đến công nghệ, thể hiện chuyên môn và kiến thức của mình trong các lĩnh vực như phát triển phần mềm, an ninh mạng và điện toán đám mây. Những đóng góp của ông cho lĩnh vực công nghệ đã được các đồng nghiệp công nhận và tôn trọng rộng rãi, đồng thời ông được đánh giá cao nhờ khả năng giải thích các khái niệm kỹ thuật phức tạp một cách rõ ràng và ngắn gọn.