Hoe Hidden Linux-processen te ontdekken met Unhide

Hoewel GNU / Linux een extreem veilig besturingssysteem is, raken veel mensen verleid tot een vals gevoel van veiligheid. Ze hebben het verkeerde idee dat er nooit iets kan gebeuren omdat ze vanuit een veilige omgeving werken. Het klopt dat er heel weinig malware bestaat voor de Linux-omgeving, maar het is nog steeds zeer goed mogelijk dat een Linux-installatie uiteindelijk in gevaar wordt gebracht. Als er niets anders is, dan is het overwegen van de mogelijkheid van rootkits en andere soortgelijke aanvallen een belangrijk onderdeel van systeembeheer. Een rootkit verwijst naar een set hulpprogramma's van externe gebruikers nadat ze toegang hebben gekregen tot een computersysteem waartoe ze niet rechtmatig toegang hebben. Deze kit kan vervolgens worden gebruikt om bestanden aan te passen zonder medeweten van de rechtmatige gebruikers. Het Unhide-pakket biedt de technologie die nodig is om dergelijke aangetaste software snel te vinden.

Unhide bevindt zich in de repositories voor de meeste van de grote Linux-distributies. Het gebruik van een pakketbeheeropdracht zoals sudo apt-get install unhide is voldoende om het te dwingen om te installeren op de smaken van Debian en Ubuntu. Servers met GUI-toegang kunnen de Synaptic Package Manager gebruiken. Fedora en Arch distributies hebben pre-built versies van unhide voor hun eigen pakketbeheersystemen. Nadat de weergave is voltooid, moeten systeembeheerders deze op verschillende manieren kunnen gebruiken.

Methode 1: Bruteforcing-proces-ID's

De meest basale techniek bestaat uit het bruteforeren van elk proces-ID om ervoor te zorgen dat geen van de gegevens voor de gebruiker is verborgen. Tenzij u root-toegang hebt, typt u sudo unhide brute -d bij de CLI-prompt. De d-optie verdubbelt de test om het aantal gemelde valse positieven te verminderen.

Uitgang is extreem basic. Na een auteursrechtboodschap legt unhide de controles uit die het uitvoert. Er zal een regel zijn met:

[*] Beginnen met scannen met brute kracht tegen PIDS met vork ()

en een andere waarin staat:

[*] Beginnen met scannen met brute kracht tegen PIDS met pthread-functies

Als er geen andere output is, is er geen reden tot bezorgdheid. Als de brute subroutine van het programma iets vindt, meldt het iets als:

Gevonden VERBORGEN PID: 0000

De vier nullen worden vervangen door een geldig nummer. Als het alleen maar leest dat het een tijdelijk proces is, dan is dit misschien een vals positief punt. U kunt de test meerdere keren uitvoeren totdat deze een schoon resultaat oplevert. Als er meer informatie is, kan dit een follow-upcontrole rechtvaardigen. Als u een logboek nodig heeft, kunt u de schakeloptie -f gebruiken om een ​​logbestand in de huidige map te maken. Nieuwere versies van het programma noemen dit bestand unhide-linux.log en het heeft platte tekstuitvoer.

Methode 2: Vergelijken van / proc en / bin / ps

In plaats daarvan kunt u de weergave onzicht maken om de / bin / ps en / proc proceslijsten te vergelijken om ervoor te zorgen dat deze twee afzonderlijke lijsten in de Unix-bestandsstructuur overeenkomen. Als er iets mis is, zal het programma de ongebruikelijke PID rapporteren. Unix-regels bepalen dat lopende processen ID-nummers moeten bevatten in deze twee lijsten. Type sudo unhide proc -v om de test te starten. Als u tikt op v, wordt het programma in de uitgebreide modus gezet.

Deze methode retourneert een prompt waarin staat:

[*] Zoeken naar Verborgen processen door / proc stat scanning

Mocht er iets ongewoons gebeuren, dan verschijnt het na deze tekstregel.

Methode 3: Combinatie van de Proc- en Procfs-technieken

Indien nodig kun je de / bin / ps en / proc Unix-boomstructuurlijsten vergelijken, terwijl je ook alle informatie uit de / bin / ps-lijst vergelijkt met de virtuele procfs-vermeldingen. Hiermee worden zowel de Unix-bestandsstructuurregels als procfs-gegevens gecontroleerd. Type sudo unhide procall -v om deze test uit te voeren, wat enige tijd kan duren omdat het alle / proc-stats moet scannen en ook verschillende andere tests moet doen. Het is een uitstekende manier om ervoor te zorgen dat alles op een server copasetisch is.

PRO TIP: Als het probleem zich voordoet met uw computer of een laptop / notebook, kunt u proberen de Reimage Plus-software te gebruiken die de opslagplaatsen kan scannen en corrupte en ontbrekende bestanden kan vervangen. Dit werkt in de meeste gevallen, waar het probleem is ontstaan ​​door een systeembeschadiging. U kunt Reimage Plus downloaden door hier te klikken

Methode 4: Procf's vergelijken Resultaten met / bin / ps

De vorige tests zijn te ingewikkeld voor de meeste toepassingen, maar u kunt de proc-bestandssysteemcontroles onafhankelijk uitvoeren voor een geschikt doel. Typ sudo unhide procfs -m, die deze controles uitvoert plus nog een aantal controles die worden geleverd door overstag te gaan op -m.

Dit is nog steeds een tamelijk betrokken test en kan even duren. Het geeft drie afzonderlijke regels weer:

Houd er rekening mee dat u met deze tests een volledig logboek kunt maken door -f toe te voegen aan het commando.

Methode 5: een snelle scan uitvoeren

Als u alleen een quick scan hoeft uit te voeren zonder uzelf grondig te controleren, typ dan sudo unhide quick, die net zo snel moet lopen als de naam doet vermoeden. Deze techniek scant proc-lijsten evenals het proc-bestandssysteem. Het voert ook een controle uit waarbij informatie die is verzameld uit / bin / ps wordt vergeleken met informatie van oproepen naar systeembronnen. Dit levert een enkele regel output op, maar verhoogt helaas het risico op valse positieven. Het is handig om te controleren of eerdere resultaten al zijn beoordeeld.

Output is als volgt:

[*] Zoeken naar Verborgen processen door vergelijking van de resultaten van systeemaanroepen, proc, dir en ps

Mogelijk ziet u na het uitvoeren van deze scan verschillende voorbijgaande processen.

Methode 6: Een omgekeerde scan uitvoeren

Een uitstekende techniek voor het ruiken van rootkits is de verificatie van alle ps-threads. Als u de opdracht ps uitvoert bij een CLI-prompt, ziet u een lijst met opdrachtrun van een terminal. Omgekeerd scannen verifieert dat elke processor de ps-afbeeldingen verwisselt met geldige systeemaanroepen en kan worden opgezocht in de procfs-lijst. Dit is een geweldige manier om ervoor te zorgen dat een rootkit niet iets heeft gedood. Typ sudo unhide reverse om deze controle uit te voeren. Het zou extreem snel moeten werken. Wanneer het programma wordt uitgevoerd, moet het programma u op de hoogte stellen dat het op zoek is naar nepprocessen.

Methode 7: Vergelijken van bin / ps met systeemoproepen

Tot slot omvat de meest uitgebreide controle het vergelijken van alle informatie uit de / bin / ps-lijst met informatie afkomstig van geldige systeemaanroepen. Typ sudo unhide sys om deze test te starten. Het zal meer dan waarschijnlijk langer duren om te rennen dan de anderen. Omdat het zoveel verschillende regels levert, kunt u de opdracht -f log-to-file gebruiken om het overzichtelijker weer te geven.

PRO TIP: Als het probleem zich voordoet met uw computer of een laptop / notebook, kunt u proberen de Reimage Plus-software te gebruiken die de opslagplaatsen kan scannen en corrupte en ontbrekende bestanden kan vervangen. Dit werkt in de meeste gevallen, waar het probleem is ontstaan ​​door een systeembeschadiging. U kunt Reimage Plus downloaden door hier te klikken

Facebook Twitter Google Plus Pinterest