De af os i UNIX-land (og ja, Mac-folk, der indeholder dig) behøver ikke ofte at beskæftige sig med malware. Der er plads til debat om de nøjagtige årsager til det, men få vil hævde, at Linux, BSD og OSX rammes så hårdt eller ofte som Windows. Dette gør os dog ikke immuniseret mod malware. Vi downloader alle software online, og selv dem, der holder fast med deres softwareudbyderes pakker, kan stadig være ramt af fejl eller sikkerhedshuller, der kan tillade grimme mennesker eller software indeni. Som det gamle ordsprog siger, "en ounce forebyggelse er værd at et pund af helbredelse". I dag vil vi gerne vise dig nogle måder, hvorpå du kan scanne dit system for at sikre, at der ikke er nogen ubehagelige rootkits, der lurker i skyggerne.

Den hurtige og beskidte personlige scanning

En almindelig teknik, som nogle malwareforfattere bruger, er at erstatte et normalt system binært med en, der tager ekstra eller alternative handlinger. Mange af dem forsøger at beskytte sig ved at gøre deres beskadigede versioner uforanderlige i et forsøg på at gøre infektionen sværere at fjerne. Heldigvis forlader dette spor efter det, der kan afhentes af normale systemværktøjer.

Brug kommandoen lsattr til at vise attributterne til systemets binære filer på steder som / bin, / sbin og / usr / bin, som vist her.

 lsattr / usr / bin 

Normal, ikke-mistænkelig produktion skal se sådan ud.

Du kan have brug for rodrettigheder til at scanne nogle steder som / sbin . Hvis output indeholder andre attributter som s, i eller a, der muligvis kunne være et tegn på, at noget er forkert, og du kan ønske at prøve en dybere scanning som vist nedenfor.

Scanner # 1 - Chkrootkit

Chkrootkit er et værktøj til at scanne dine systemers vigtige filer for at afgøre, om nogen af ​​dem viser tegn på kendt malware. Det er en gruppe af scripts, der bruger eksisterende systemværktøjer og kommandoer til at validere dine systemfiler og / proc- oplysninger. På grund af dette anbefales det, at det køres fra en live-cd, hvor der kan være større tillid til, at basisværktøjerne ikke allerede er blevet kompromitteret. Du kan køre det fra kommandolinjen med bare

 # Du kan muligvis "sudo" til root privilegier chkrootkit 

men da chkrootkit ikke opretter en logfil som standard, vil jeg anbefale at omdirigere output til en logfil, som med

 chkrootkit> mylogfile.txt 

og når det er færdigt, skal du bare åbne logfilen i din valgte tekstredaktør.

Scanner # 2 - Rootkit Hunter (rkhunter)

Rootkit Hunter virker meget ligesom chkrootkit, men baserer meget af dets funktionalitet på hash-checks. Softwaren indeholder kendte gode SHA-1 hashes af almindelige systemfiler, og hvis det finder ud af, at dine er forskellige, vil det udstede en fejl eller advarsel efter behov. Rootkit Hunter kan også kaldes grundigere end chkrootkit, da den indeholder yderligere kontrol med netværksstatus, kernemoduler og andre stykker, som chkrootkit ikke scanner.

For at starte en normal lokal scan, skal du bare køre

 # Du kan muligvis "sudo" til root privilegier rkhunter -c 

Når det er gennemført, vises et resumé med resultaterne af din scanning.

Rootkit Hunter opretter som standard en logfil, og gemmer den til /var/log/rkhunter.log .

Konklusion

Vær advaret - både disse applikationer og den "manuelle" metode kan give falske positiver. Hvis du får et positivt resultat, skal du undersøge det grundigt, inden du tager nogen handling. Forhåbentlig kan en af ​​disse metoder hjælpe dig med at identificere en trussel, før det bliver et problem. Hvis du har andre forslag til måder at registrere ubehagelige filer eller applikationer på, så lad os vide det i kommentarerne nedenfor.

Billedkredit: rykerstribe