İPUCU

Linux Linux İle İlgili Bilgi Paylaşım Platformu

Seçenekler

Linux'ta Rootkit Nedir, Taraması Nasıl Yapılır ? //Enigma Kulübü

06-09-2018 15:50
#1
ENİGMA - ait Kullanıcı Resmi (Avatar)
Üye
Üyelik tarihi:
01/2016
Mesajlar:
1.656
Teşekkür (Etti):
11
Teşekkür (Aldı):
991
Konular:
92
Ticaret:
(0) %



RootKit nedir, Nasıl Çalışır ?

Rootkit yazılımları, bilgisayar korsanlarının ele geçirdikleri bilgisayar sistemlerin daha sonra erişim sağlayabilmeleri için yapılmış zararlı bir yazılımdır.
Bu yazılımlar, bilgisayar sahibinden saklanmak, sistemde olduklarını gizlemek için birçok tekniğe başvurmaktadır.
Azazel, Jynx 2.0 rootkitlerinin özellikleri; sistem yöneticileri tarafından tespit edilebilmesi çok zordur.
Bu tür rootkit yazılımlarının sistemdeki kendi varlıklarını kontrol eden rootkit tespit yazılımları vardır.
Rkhunter ve Chkrootkit yazılımları bu konuda en başarılı programlardan biridir haliyle en popülerleri arasındadır.
Belli başlıklı bazı repository'de bulunur kurulumu basit olan bu araçlar, sistemdeki bilinen rootkit'leri tespit ederler.

Rootkit tespit yazılımlarının süreci;
  1. Black Hat dünyasıda chkrootkit ve rkhunter gibi araçlar tarafından tespit edilemeyen bir rootkit geliştirir.
  2. Bir zaman sonra güvenlik araştırmacıları yeni rootkit’i tespit ederler.
  3. Tespit edilen rootkit’in kullandığı teknikler analiz edilir
  4. Yeni rootkit, rootkit tespiti araçlarına tanıtılır.
  5. Black Hat dünyasıda chkrootkit ve rkhunter gibi araçlar tarafından tespit edilemeyen bir rootkit geliştirir. Bir zaman sonra güvenlik araştırmacıları yeni rootkit’i tespit ederler. Tespit edilen rootkit’in kullandığı teknikler analiz edilir Yeni rootkit, rootkit tespiti araçlarına tanıtılır.


Bu sürece en güzel örnek Jynx isimli rootkit ilk çıktığı zaman Chkrootkit ve Rkhunter tarafından tespit edilemiyordu.
Yapıyı daha iyi anlatabilmek için rkhunter ‘in web sayfasına baktığımızda, devamlı olarak güncellendiğini changelog’da satırından görebiliyoruz.


Bu sürece en güzel örnek Jynx isimli rootkit ilk çıktığı tarafından Chkrootkit ve Rkhunter tarafından tespit edilemiyordu. Yapıyı daha iyi anlatabilmek adına rkhunter ‘in web sayfasına baktığımızda, son güncelleme için changelog’da aşağıdaki satırlar bulunmaktadır.
Jynx gibi rootkitleri bulabilmek için güncelleniyor.

İncelemek isterseniz
CHANGELOG aşağıda bulunmaktadır.
Kod:
- Added support for Alpine Linux (busybox).
 - Added the 'Diamorphine LKM' test.
 - Added the ALLOWIPCPID configuration file option. This will allow
   specific PIDs to be whitelisted from the shared memory check.
 - Added the ALLOWIPCUSER configuration file option. This will allow
   specific usernames to be whitelisted from the shared memory check.
 - Added the IPC_SEG_SIZE configuration file option. This can be used
   to set the minimum shared memory segment size to check. The default
   value is 1048576 bytes (1MB).
 - Added the SKIP_INODE_CHECK configuration file option. Setting this
   option will disable the reporting of any changed inode numbers.
   The default is to report inode changes. (This option may be useful
   for filesystems such as Btrfs.)
 - Added Ebury sshd backdoor test.
 - Added a new SSH configuration test to check for various suspicious
   configuration options. Currently there is only one check which
   relates to the Ebury backdoor.
 - Added basic test for Jynx2 rootkit.
 - Added Komplex trojan test.
 - Added basic test for KeRanger running process.
 - Added test for Keydnap backdoor.
 - Added basic test for Eleanor backdoor running process.
 - Added basic tests for Mokes backdoor.
 - Added tests for Proton backdoor.
 - Added the SUSPSCAN_WHITELIST configuration file option. This
   option can be used to whitelist file pathnames from the
   'suspscan' test.
Chkrootkit Kurulumu Ve Taraması Nasıl Yapılır ?



RkHunter Kurulumu Ve Taraması Nasıl Yapılır ?


Chkrootkit Ve RkHunter Tarama Sonuçların Anlamları;

Kod:
Not found : Virüs bulunamadı.

Not infected : Virüs bulaşmadı.

Nothing found : Hiçbir şey bulunamadı.

Nothing deleted : Hiçbir şey silinmemiş.

No suspect files : Şüpheli dosya bulunamadı.

Infected : Virüs bulaştı.

Chkrootkit Komutları;


Kod:
chkrootkit -h ile seçenekleri görebiliriz.
Usage: chkrootkit [options] [test ...]
-h yardım ekranı
-V versiyon bilgisi
-l sistemde aranan rootkitlerin ismi
-d debug seçeneği
-r dir dizin belirtme özelliği
-x expert mod


Kullanıcı İmzası

Teşekkür Butonunu Kullanalım...! >

Konu ENİGMA tarafından (06-09-2018 17:09 Saat 17:09 ) değiştirilmiştir.
puqe16, Hichigo, RedLinee, opsups, Raizen Teşekkür etti.

06-09-2018 15:52
#2
puqe16 - ait Kullanıcı Resmi (Avatar)
Tamamen Forumdan Uzaklaştırıldı
Üyelik tarihi:
09/2016
Nereden:
Nereye
Mesajlar:
998
Teşekkür (Etti):
144
Teşekkür (Aldı):
60
Konular:
59
Ticaret:
(0) %
Eline sağlık
06-09-2018 15:52
#3
ATABÖRÜ - ait Kullanıcı Resmi (Avatar)
Üye
Üyelik tarihi:
07/2017
Nereden:
Ötüken
Yaş:
82
Mesajlar:
3.370
Teşekkür (Etti):
950
Teşekkür (Aldı):
903
Konular:
303
Ticaret:
(0) %
Ellerine emeğine sağlık klüp iyi yerlere gelecek
Kullanıcı İmzası
Ey Türk milleti! Kendine dön! Sen yükseltmiş Bilge Kağan'ına, hür ve müstakil ülkene karşı hata ettin, kötü duruma düşürdün. Milletin adı, sanı yok olmasın diye Türk milleti için gece uyumadım, gündüz oturmadım. Kardeşim Kül Tegin ve iki şad ile ölesiye bitesiye çalıştım.
06-09-2018 16:26
#4
Depdip - ait Kullanıcı Resmi (Avatar)
Forumdan Uzaklaştırıldı
Üyelik tarihi:
08/2017
Nereden:
NewYork
Mesajlar:
1.588
Teşekkür (Etti):
296
Teşekkür (Aldı):
420
Konular:
46
Ticaret:
(0) %
Ellerine sağlık.
Leatrix Teşekkür etti.
06-09-2018 16:28
#5
Leatrix - ait Kullanıcı Resmi (Avatar)
Forumdan Uzaklaştırıldı
Üyelik tarihi:
08/2018
Nereden:
Kerkük
Yaş:
80
Mesajlar:
2.230
Teşekkür (Etti):
370
Teşekkür (Aldı):
455
Konular:
233
Ticaret:
(0) %
Ellerinize Sağlık Başarılar.
06-09-2018 16:57
#6
"'Alpi Taikiai" - ait Kullanıcı Resmi (Avatar)
Tamamen Forumdan Uzaklaştırıldı
Üyelik tarihi:
03/2018
Nereden:
Red Square
Mesajlar:
1.135
Teşekkür (Etti):
310
Teşekkür (Aldı):
277
Konular:
105
Ticaret:
(0) %
Eline sağlıkta yazı tipi kötü okumakta zorlanıyorum
06-09-2018 19:16
#7
Criminal^ - ait Kullanıcı Resmi (Avatar)
Üye
Üyelik tarihi:
10/2014
Nereden:
Tokyo
Mesajlar:
1.146
Teşekkür (Etti):
101
Teşekkür (Aldı):
130
Konular:
213
Ticaret:
(0) %
Eline sağlık güzel anlatım olmuş.
06-09-2018 19:18
#8
theokeleS - ait Kullanıcı Resmi (Avatar)
E-Mail onayı yapılmamış üye
Üyelik tarihi:
05/2018
Mesajlar:
1.358
Teşekkür (Etti):
68
Teşekkür (Aldı):
357
Konular:
31
Ticaret:
(0) %
Emeğine sağlık güzel paylaşım
08-09-2018 00:55
#9
ByTiers - ait Kullanıcı Resmi (Avatar)
Üye
Üyelik tarihi:
03/2017
Mesajlar:
184
Teşekkür (Etti):
10
Teşekkür (Aldı):
8
Konular:
41
Ticaret:
(0) %
ellerinize sağlık
Kullanıcı İmzası
Yenilmezlik savunmayla mümkündür. Zafer saldırıyla...
Kim olduğumuzu merak edenlere;


TurkHackTeam
18-09-2018 21:56
#10
Droit97 - ait Kullanıcı Resmi (Avatar)
Üye
Üyelik tarihi:
06/2016
Mesajlar:
489
Teşekkür (Etti):
37
Teşekkür (Aldı):
59
Konular:
9
Ticaret:
(0) %
Eline sağlık
Kullanıcı İmzası
Kim olduğun, ne yaptığının yanında önemsizdir

Bookmarks


« Önceki Konu | Sonraki Konu »
Seçenekler

Yetkileriniz
Sizin Yeni Konu Acma Yetkiniz var yok
You may not post replies
Sizin eklenti yükleme yetkiniz yok
You may not edit your posts

BB code is Açık
Smileler Açık
[IMG] Kodları Açık
HTML-Kodları Kapalı
Trackbacks are Kapalı
Pingbacks are Kapalı
Refbacks are Kapalı