CHKROOTKIT (Check rootkit) programinin ne ise yaradigini anlamak icin once biraz 'rootkit'
kavramindan bahsetmek gerekiyor.
Rootkit'ler unix ve turevi sistemlere herhangi bir guvenlik acigini kullanarak kullanici
seviyesinde bir hesapla girdikten sonra sistemde 'root' yetkilerini elde etmeye yarayan otomatik
scriptlerdir. Bunlarin bir cok turu vardir ve sistemde calistirildiklarinda yaptiklari islemler
birbidinden farkli olsa da genellikle tamami bazi sistem programlarini 'root' haklarini elde etmede
ise yarayacak farkli versiyonlariyla degistirip, sistemdeki kullanicilarin sifrelerini ele gecirmeye
yarayan programlar calistirirlar. Bir baska yaptiklari islem, sistemde 'root' hesabina ulasmayi
hedefleyen bu programlarin ve bu programi kullanan kisinin yaptiklarinin log'larda ve sistem
kaynaklarindan gorulmesini engellemektir. Son olarak baz rootkit'ler backdoor tabir edilen 'arka
kapi' programlari calistirarak, rootkit'i kullanan kisinin her istedigi zaman kendi sifresiyle
sisteme girebilmesini saglarlar.
CHKROOTKIT programi asagidaki 'rootkit' cesitlerinin varligini tespit edebilmektedir.
lrk3, lrk4, lrk5, lrk6 Solaris rootkit FreeBSD rootkit t0rn (baska cesitleri ve t0rn v8) Ambient's
Rootkit for Linux (ARK) Ramen Worm rh[67]-shaper RSHA Romanian rootkit RK17 Lion Worm Adore Worm
LPD Worm kenny-rk Adore LKM ShitC Worm Omega Worm Wormkit Worm Maniac-RK dsc-rootkit Ducoci rootkit
x.c Worm.
CHKROOTKIT'in marifetleri konusunda daha ileri gitmeden bir konuya aciklik getirmenin faydali
olacagina inaniyorum. Bu urun eger sistemde bu rookitlerden biri varsa veya herhangi bir sekilde
bir sorunla karsilastiysa, kullaniciyi sadece bu sorunlardan haberder edecektir. Hic bir sekilde bu
rootkit'leri temizleyip, etkilerini temizlemeye calismaz. Bu sekilde sadece bilgi verici bir arac
olarak dusunulmelidir. Zaten bu sekilde guvenligi zedelenmis bir sistem icin butun bilgi islem ve
guvenlik uzmanlarinin uzlastigi tek gercek cozum bu tip bir sistemi hic vakit kaybetmeden ag'dan
cikarip butun sabit diskleri silip isletim sistemini ve programlari temiz oldugu bilinen bir CD'den
tekrar yuklemektir. Bu tip bir sistemde hic bir programa guvenilemeyecegi icin tek kesin cozum
budur. Ayni sekilde CHKROOTKIT'in bir soruna rastlamadigi sistemler de tamamen sorunsuz ve guvenlik
acilarindan yoksun olarak dusunulemez. Lutfen birden fazla aracla testler yapip, isletim
sistemlerinizin en son guvenlik yamalarini yuklemeyi ihmal etmeyiniz.
CHKROOTKIT paketi 6 adet kucuk programcigin birlesiminden olusmaktadir.
Bunlardan en onemlisi olan 'chkrootkit' bu sekilde bir saldiri duzenleyen kisilerin ilk
degistirecegi ana sistem programciklarini ve bu kisilerin kurabilecegi cokca kullanilan programlari
kontrol eder. Eger ana sistem programlarinda bir saldiri isareti varsa kullaniciyi uyarir.
'chkrootkit'in taradigi programlar sunlardir: aliens, asp, bindshell, lkm, rexedcs, sniffer, wted,
z2, amd, basename, biff, chfn, chsh, cron, date, du, dirname, echo, egrep, env, find, fingerd, gpm,
grep, hdparm, su, ifconfig, inetd, inetdconf, identd, killall, login, ls, mail, mingetty, netstat,
named, passwd, pidof, pop2, pop3, ps, pstree, rpcinfo, rlogind, rshd, slogin, sendmail, sshd,
syslogd, tar, tcpd, top, telnetd, timed, traceroute, write.
CHKROOTKIT paketindeki diger programlardan 'chklastlog', 'chkwtmp', ve 'check_wtmpx' sistem
dosyalarindaki cesitli saldiri isaretlerini tespit eder.
Ayni paketin 'chkproc' programi LKM (Loadable Kernel Module) tabir edilen sistem boot ettikten
sonra yuklenen cekirdek modulleri sistemi kullanilarak calistirilan atak programlarini tespit eder.
Bu tip programlar sistemi kapatip acsaniz da yeniden calisacagindan 'chkproc' vazgecilmez bir
yardimcidir.
Paketteki son program olan 'ifpromisc' ise yine cok onemli bir gorevi gerceklestirmektedir. Normal
calisan ethernet adaptorleri sadece kendilerine adreslenmis paketleri dinlerler. Diger makinelere
giden paketlerle hic bir zaman ilgilenmezler. Fakat ozellikle acik kaynak kodlu isletim
sistemlerinde bu ozelligi butun networkdeki trafigi dinleyecek sekilde degistirmek hic de zor
degildir. Bir sistem atagini gerceklestiren kisilerin ilk yapacagi seylerden biri network
adaptorlerini PROMISCIOUS tabir edilen bu butun network trafigini dinleyen duruma gecirmek
olacaktir. Bu sekilde atagi gerceklestiren kisi network'deki herkesin butun mesajlarini okuyup
ziyaret ettikleri siteleri izleyebilecegi gibi, ayni zamanda butun network kullanicilarinin
sifrelerini de toplayabilir. Networkdeki kullanici sayisi arttikca bu atagin ciddiyeti de o oranda
artmaktadir. ISP , hosting sirketi gibi kuruluslarin networklerinde bu tur bir acik bulunmasi cok
ciddi sonuclar dogurabilir.
Bu tip bir ataktan korunmanin en iyi yolu trafigi butun network'e yayinlayan HUB turu dusuk
teknolojili network araclari yerine, sadece paketin sahibi olan network adaptorune yayin yapan
SWITCH'ler kullanmaktir. Ayrica telnet/pop/ftp gibi sifreleri ve bilgileri acik text olarak
gonderen protokoller yerine SSH/SCP gibi sifreler de dahil butun trafigi encrypted (sifreli) olarak
gonderen protokoller kullanilmalidir. 'ifpromisc' eger sisteminizdeki herhangi bir network adaptoru
PROMISC durumunda ise size bunu bildirecektir.
CHKROOTKIT Paketinin kurulumu ve kullanimi son derece basittir. Kurulum icin tek yapmaniz gereken
chkrootkit.tar.gz dosyasini acip , actiginiz bu dizin icine gecip
make sense yazmaktir. Bu tek komut butun C kodlarini compile edip birer calistirilabilir programa
donusturecektir. Paketteki programlari tek tek kullanabileceginiz gibi ayni dizinde sadece
./chkrootkit yazarak butun paketi bir asamada da calistirabilirsiniz. Bu islem butun testleri
calistirip sonuclari ekrana basacaktir.
Eger herhangi bir test sonucunda 'INFECTED', 'TROJAN', 'VULNERABLE' vb. gibi ifadelerle
karsilasirsaniz sisteminizde bir 'rootkit' calisiyor olma ihtimali yuksektir demektir.
Daha once de soyledigim gibi, eger CHKROOTKIT sisteminizde bir sorun tespit etmediyse her sey
yolunda diyerek guvenlik testlerine son vermeyin. Sistem ataklari her gecen gun gelismekte ve
degismektedir. Her zaman chkrootkit'in son versiyonunu yuklediginiz gibi ayni zamanda aktif ve
pasif guvenlik urunleriyle sisteminizi korumaya ve herhangi bir guvenlik sorunu olup olmadigini
kontrol etmeye devam ediniz.
Eger CHKROOTKIT veya baska bir urun sisteminizde bir guvenlik sorununu tespit ettiyse sistemi hemen
agdan cekip isletim sisteminizle ilgili dokumanlardan bu sorunlardan kurtulma adimlarini takip
ediniz.
Hepinize 'rootkit'siz sistemler dilerim.
Not: Bu rootkitler ile gercekten basa cikmak icin yukleyip nasil calistiklari konusundan bilgi
sahibi olmakta fayda vardir. Eger bu tip bir calisma sirasinda size ait olmayan bir sisteme giris
saglarsaniz lutfen sisteme zarar verecek seyler yapmaktan sakininiz. Sistemlere bilgi toplamak icin
girmek ve arastirmak bir cok toplulukta kabul gorecek bir davranistir. Fakat girdiginiz sisteme
zarar verdiginiz anda sizi butun gruplar dislayacaktir.
kavramindan bahsetmek gerekiyor.
Rootkit'ler unix ve turevi sistemlere herhangi bir guvenlik acigini kullanarak kullanici
seviyesinde bir hesapla girdikten sonra sistemde 'root' yetkilerini elde etmeye yarayan otomatik
scriptlerdir. Bunlarin bir cok turu vardir ve sistemde calistirildiklarinda yaptiklari islemler
birbidinden farkli olsa da genellikle tamami bazi sistem programlarini 'root' haklarini elde etmede
ise yarayacak farkli versiyonlariyla degistirip, sistemdeki kullanicilarin sifrelerini ele gecirmeye
yarayan programlar calistirirlar. Bir baska yaptiklari islem, sistemde 'root' hesabina ulasmayi
hedefleyen bu programlarin ve bu programi kullanan kisinin yaptiklarinin log'larda ve sistem
kaynaklarindan gorulmesini engellemektir. Son olarak baz rootkit'ler backdoor tabir edilen 'arka
kapi' programlari calistirarak, rootkit'i kullanan kisinin her istedigi zaman kendi sifresiyle
sisteme girebilmesini saglarlar.
CHKROOTKIT programi asagidaki 'rootkit' cesitlerinin varligini tespit edebilmektedir.
lrk3, lrk4, lrk5, lrk6 Solaris rootkit FreeBSD rootkit t0rn (baska cesitleri ve t0rn v8) Ambient's
Rootkit for Linux (ARK) Ramen Worm rh[67]-shaper RSHA Romanian rootkit RK17 Lion Worm Adore Worm
LPD Worm kenny-rk Adore LKM ShitC Worm Omega Worm Wormkit Worm Maniac-RK dsc-rootkit Ducoci rootkit
x.c Worm.
CHKROOTKIT'in marifetleri konusunda daha ileri gitmeden bir konuya aciklik getirmenin faydali
olacagina inaniyorum. Bu urun eger sistemde bu rookitlerden biri varsa veya herhangi bir sekilde
bir sorunla karsilastiysa, kullaniciyi sadece bu sorunlardan haberder edecektir. Hic bir sekilde bu
rootkit'leri temizleyip, etkilerini temizlemeye calismaz. Bu sekilde sadece bilgi verici bir arac
olarak dusunulmelidir. Zaten bu sekilde guvenligi zedelenmis bir sistem icin butun bilgi islem ve
guvenlik uzmanlarinin uzlastigi tek gercek cozum bu tip bir sistemi hic vakit kaybetmeden ag'dan
cikarip butun sabit diskleri silip isletim sistemini ve programlari temiz oldugu bilinen bir CD'den
tekrar yuklemektir. Bu tip bir sistemde hic bir programa guvenilemeyecegi icin tek kesin cozum
budur. Ayni sekilde CHKROOTKIT'in bir soruna rastlamadigi sistemler de tamamen sorunsuz ve guvenlik
acilarindan yoksun olarak dusunulemez. Lutfen birden fazla aracla testler yapip, isletim
sistemlerinizin en son guvenlik yamalarini yuklemeyi ihmal etmeyiniz.
CHKROOTKIT paketi 6 adet kucuk programcigin birlesiminden olusmaktadir.
Bunlardan en onemlisi olan 'chkrootkit' bu sekilde bir saldiri duzenleyen kisilerin ilk
degistirecegi ana sistem programciklarini ve bu kisilerin kurabilecegi cokca kullanilan programlari
kontrol eder. Eger ana sistem programlarinda bir saldiri isareti varsa kullaniciyi uyarir.
'chkrootkit'in taradigi programlar sunlardir: aliens, asp, bindshell, lkm, rexedcs, sniffer, wted,
z2, amd, basename, biff, chfn, chsh, cron, date, du, dirname, echo, egrep, env, find, fingerd, gpm,
grep, hdparm, su, ifconfig, inetd, inetdconf, identd, killall, login, ls, mail, mingetty, netstat,
named, passwd, pidof, pop2, pop3, ps, pstree, rpcinfo, rlogind, rshd, slogin, sendmail, sshd,
syslogd, tar, tcpd, top, telnetd, timed, traceroute, write.
CHKROOTKIT paketindeki diger programlardan 'chklastlog', 'chkwtmp', ve 'check_wtmpx' sistem
dosyalarindaki cesitli saldiri isaretlerini tespit eder.
Ayni paketin 'chkproc' programi LKM (Loadable Kernel Module) tabir edilen sistem boot ettikten
sonra yuklenen cekirdek modulleri sistemi kullanilarak calistirilan atak programlarini tespit eder.
Bu tip programlar sistemi kapatip acsaniz da yeniden calisacagindan 'chkproc' vazgecilmez bir
yardimcidir.
Paketteki son program olan 'ifpromisc' ise yine cok onemli bir gorevi gerceklestirmektedir. Normal
calisan ethernet adaptorleri sadece kendilerine adreslenmis paketleri dinlerler. Diger makinelere
giden paketlerle hic bir zaman ilgilenmezler. Fakat ozellikle acik kaynak kodlu isletim
sistemlerinde bu ozelligi butun networkdeki trafigi dinleyecek sekilde degistirmek hic de zor
degildir. Bir sistem atagini gerceklestiren kisilerin ilk yapacagi seylerden biri network
adaptorlerini PROMISCIOUS tabir edilen bu butun network trafigini dinleyen duruma gecirmek
olacaktir. Bu sekilde atagi gerceklestiren kisi network'deki herkesin butun mesajlarini okuyup
ziyaret ettikleri siteleri izleyebilecegi gibi, ayni zamanda butun network kullanicilarinin
sifrelerini de toplayabilir. Networkdeki kullanici sayisi arttikca bu atagin ciddiyeti de o oranda
artmaktadir. ISP , hosting sirketi gibi kuruluslarin networklerinde bu tur bir acik bulunmasi cok
ciddi sonuclar dogurabilir.
Bu tip bir ataktan korunmanin en iyi yolu trafigi butun network'e yayinlayan HUB turu dusuk
teknolojili network araclari yerine, sadece paketin sahibi olan network adaptorune yayin yapan
SWITCH'ler kullanmaktir. Ayrica telnet/pop/ftp gibi sifreleri ve bilgileri acik text olarak
gonderen protokoller yerine SSH/SCP gibi sifreler de dahil butun trafigi encrypted (sifreli) olarak
gonderen protokoller kullanilmalidir. 'ifpromisc' eger sisteminizdeki herhangi bir network adaptoru
PROMISC durumunda ise size bunu bildirecektir.
CHKROOTKIT Paketinin kurulumu ve kullanimi son derece basittir. Kurulum icin tek yapmaniz gereken
chkrootkit.tar.gz dosyasini acip , actiginiz bu dizin icine gecip
make sense yazmaktir. Bu tek komut butun C kodlarini compile edip birer calistirilabilir programa
donusturecektir. Paketteki programlari tek tek kullanabileceginiz gibi ayni dizinde sadece
./chkrootkit yazarak butun paketi bir asamada da calistirabilirsiniz. Bu islem butun testleri
calistirip sonuclari ekrana basacaktir.
Eger herhangi bir test sonucunda 'INFECTED', 'TROJAN', 'VULNERABLE' vb. gibi ifadelerle
karsilasirsaniz sisteminizde bir 'rootkit' calisiyor olma ihtimali yuksektir demektir.
Daha once de soyledigim gibi, eger CHKROOTKIT sisteminizde bir sorun tespit etmediyse her sey
yolunda diyerek guvenlik testlerine son vermeyin. Sistem ataklari her gecen gun gelismekte ve
degismektedir. Her zaman chkrootkit'in son versiyonunu yuklediginiz gibi ayni zamanda aktif ve
pasif guvenlik urunleriyle sisteminizi korumaya ve herhangi bir guvenlik sorunu olup olmadigini
kontrol etmeye devam ediniz.
Eger CHKROOTKIT veya baska bir urun sisteminizde bir guvenlik sorununu tespit ettiyse sistemi hemen
agdan cekip isletim sisteminizle ilgili dokumanlardan bu sorunlardan kurtulma adimlarini takip
ediniz.
Hepinize 'rootkit'siz sistemler dilerim.
Not: Bu rootkitler ile gercekten basa cikmak icin yukleyip nasil calistiklari konusundan bilgi
sahibi olmakta fayda vardir. Eger bu tip bir calisma sirasinda size ait olmayan bir sisteme giris
saglarsaniz lutfen sisteme zarar verecek seyler yapmaktan sakininiz. Sistemlere bilgi toplamak icin
girmek ve arastirmak bir cok toplulukta kabul gorecek bir davranistir. Fakat girdiginiz sisteme
zarar verdiginiz anda sizi butun gruplar dislayacaktir.
