Degenen onder ons in UNIX-land (en ja, Mac-mensen, waaronder jij) hebben niet vaak te maken met malware. Er is ruimte voor discussie over de exacte redenen daarvoor, maar weinigen zullen stellen dat Linux, BSD en OSX net zo hard of zo vaak worden geraakt als Windows. Dit maakt ons echter niet immuun voor malware. We downloaden allemaal software online, en zelfs degenen die vasthouden aan de pakketten van hun softwareprovider kunnen nog steeds last hebben van bugs of veiligheidslekken waardoor vervelende mensen of software binnenin kunnen komen. Zoals het oude gezegde luidt, "een ons preventie is een pond genezing waard". Vandaag willen we je een aantal manieren laten zien waarop je je systeem kunt scannen om ervoor te zorgen dat er geen vervelende rootkits op de loer liggen in de schaduw.

De snelle en vuile persoonlijke scan

Een veelgebruikte techniek die door sommige malware-auteurs wordt gebruikt, is om een ​​normale systeembinary te vervangen door een systeem dat aanvullende of alternatieve acties uitvoert. Velen van hen proberen zichzelf te beschermen door hun beschadigde versies onveranderbaar te maken in een poging om de infectie moeilijker te verwijderen. Gelukkig laat dit sporen achter die kunnen worden opgepikt door normale systeemtools.

Gebruik de opdracht lsattr om de kenmerken van de binaire bestanden van uw systeem weer te geven op locaties zoals / bin, / sbin en / usr / bin, zoals hier wordt weergegeven.

 lsattr / usr / bin

Normale, niet-verdachte uitvoer zou er ongeveer zo uit moeten zien.

Je hebt mogelijk root-rechten nodig om sommige plaatsen zoals / sbin te scannen. Als de uitvoer andere kenmerken bevat, zoals s, i of a, kan dit mogelijk een teken zijn dat er iets niet in orde is en wilt u misschien een diepere scan proberen, zoals hieronder wordt weergegeven.

Scanner # 1 - Chkrootkit

Chkrootkit is een hulpmiddel om essentiële bestanden van uw systeem te scannen om te bepalen of een van hen tekenen van bekende malware vertoont. Het is een groep scripts die bestaande systeemtools en opdrachten gebruiken om uw systeembestanden en / proc- informatie te valideren. Daarom wordt het aanbevolen om te worden uitgevoerd vanaf een live-cd, waar er een groter vertrouwen kan zijn dat de basishulpmiddelen nog niet zijn gecompromitteerd. U kunt het vanaf de opdrachtregel uitvoeren met alleen

 # Misschien heb je "sudo" nodig voor root-rechten chkrootkit

maar omdat chkrootkit standaard geen logbestand maakt, raad ik aan om de uitvoer om te leiden naar een logbestand, zoals met

 chkrootkit> mylogfile.txt

en als het klaar is, opent u gewoon het logbestand in uw teksteditor naar keuze.

Scanner # 2 - Rootkit Hunter (rkhunter)

Rootkit Hunter gedraagt ​​zich erg als chkrootkit, maar baseert veel van zijn functionaliteit op hasjcontroles. De software bevat bekende goede SHA-1-hashes van gangbare systeembestanden en als hij vindt dat die van jou verschillen, geeft deze een foutmelding of waarschuwing. Rootkit Hunter kan ook grondiger worden genoemd dan chkrootkit, omdat het aanvullende controles omvat met betrekking tot netwerkstatus, kernelmodules en andere stukken die niet door chkrootkit worden gescand.

Start gewoon een normale scan om te starten

 # Misschien heb je "sudo" nodig voor rootrechten rkhunter -c

Wanneer deze is voltooid, wordt een samenvatting weergegeven met de resultaten van uw scan.

Rootkit Hunter maakt standaard een logbestand aan en slaat het op in /var/log/rkhunter.log .

Conclusie

Wees gewaarschuwd - zowel deze toepassingen als de "handleiding" -methode kunnen valse positieven opleveren. Als u een positief resultaat krijgt, onderzoek het dan grondig voordat u actie onderneemt. Hopelijk kan een van deze methoden u helpen een bedreiging te identificeren voordat deze een probleem wordt. Als u nog andere suggesties heeft voor manieren om vervelende bestanden of applicaties te detecteren, laat het ons dan weten in de reacties hieronder.

Afbeelding tegoed: rykerstribe