THT DUYURU

chat
Linux Linux İle İlgili Bilgi Paylaşım Platformu

takipci
Seçenekler

Linux'ta Rootkit Nedir, Taraması Nasıl Yapılır ? //Enigma Kulübü

ENİGMA - ait Kullanıcı Resmi (Avatar)
Üye
Üyelik tarihi:
01/2016
Mesajlar:
1.905
Konular:
106
Teşekkür (Etti):
5
Teşekkür (Aldı):
1126
Ticaret:
(0) %
10
1651
06-09-2018 15:50
#1



RootKit nedir, Nasıl Çalışır ?

Rootkit yazılımları, bilgisayar korsanlarının ele geçirdikleri bilgisayar sistemlerin daha sonra erişim sağlayabilmeleri için yapılmış zararlı bir yazılımdır.
Bu yazılımlar, bilgisayar sahibinden saklanmak, sistemde olduklarını gizlemek için birçok tekniğe başvurmaktadır.
Azazel, Jynx 2.0 rootkitlerinin özellikleri; sistem yöneticileri tarafından tespit edilebilmesi çok zordur.
Bu tür rootkit yazılımlarının sistemdeki kendi varlıklarını kontrol eden rootkit tespit yazılımları vardır.
Rkhunter ve Chkrootkit yazılımları bu konuda en başarılı programlardan biridir haliyle en popülerleri arasındadır.
Belli başlıklı bazı repository'de bulunur kurulumu basit olan bu araçlar, sistemdeki bilinen rootkit'leri tespit ederler.

Rootkit tespit yazılımlarının süreci;
  1. Black Hat dünyasıda chkrootkit ve rkhunter gibi araçlar tarafından tespit edilemeyen bir rootkit geliştirir.
  2. Bir zaman sonra güvenlik araştırmacıları yeni rootkit’i tespit ederler.
  3. Tespit edilen rootkit’in kullandığı teknikler analiz edilir
  4. Yeni rootkit, rootkit tespiti araçlarına tanıtılır.
  5. Black Hat dünyasıda chkrootkit ve rkhunter gibi araçlar tarafından tespit edilemeyen bir rootkit geliştirir. Bir zaman sonra güvenlik araştırmacıları yeni rootkit’i tespit ederler. Tespit edilen rootkit’in kullandığı teknikler analiz edilir Yeni rootkit, rootkit tespiti araçlarına tanıtılır.


Bu sürece en güzel örnek Jynx isimli rootkit ilk çıktığı zaman Chkrootkit ve Rkhunter tarafından tespit edilemiyordu.
Yapıyı daha iyi anlatabilmek için rkhunter ‘in web sayfasına baktığımızda, devamlı olarak güncellendiğini changelog’da satırından görebiliyoruz.


Bu sürece en güzel örnek Jynx isimli rootkit ilk çıktığı tarafından Chkrootkit ve Rkhunter tarafından tespit edilemiyordu. Yapıyı daha iyi anlatabilmek adına rkhunter ‘in web sayfasına baktığımızda, son güncelleme için changelog’da aşağıdaki satırlar bulunmaktadır.
Jynx gibi rootkitleri bulabilmek için güncelleniyor.

İncelemek isterseniz
CHANGELOG aşağıda bulunmaktadır.
Kod:
- Added support for Alpine Linux (busybox).
 - Added the 'Diamorphine LKM' test.
 - Added the ALLOWIPCPID configuration file option. This will allow
   specific PIDs to be whitelisted from the shared memory check.
 - Added the ALLOWIPCUSER configuration file option. This will allow
   specific usernames to be whitelisted from the shared memory check.
 - Added the IPC_SEG_SIZE configuration file option. This can be used
   to set the minimum shared memory segment size to check. The default
   value is 1048576 bytes (1MB).
 - Added the SKIP_INODE_CHECK configuration file option. Setting this
   option will disable the reporting of any changed inode numbers.
   The default is to report inode changes. (This option may be useful
   for filesystems such as Btrfs.)
 - Added Ebury sshd backdoor test.
 - Added a new SSH configuration test to check for various suspicious
   configuration options. Currently there is only one check which
   relates to the Ebury backdoor.
 - Added basic test for Jynx2 rootkit.
 - Added Komplex trojan test.
 - Added basic test for KeRanger running process.
 - Added test for Keydnap backdoor.
 - Added basic test for Eleanor backdoor running process.
 - Added basic tests for Mokes backdoor.
 - Added tests for Proton backdoor.
 - Added the SUSPSCAN_WHITELIST configuration file option. This
   option can be used to whitelist file pathnames from the
   'suspscan' test.
Chkrootkit Kurulumu Ve Taraması Nasıl Yapılır ?



RkHunter Kurulumu Ve Taraması Nasıl Yapılır ?


Chkrootkit Ve RkHunter Tarama Sonuçların Anlamları;

Kod:
Not found : Virüs bulunamadı.

Not infected : Virüs bulaşmadı.

Nothing found : Hiçbir şey bulunamadı.

Nothing deleted : Hiçbir şey silinmemiş.

No suspect files : Şüpheli dosya bulunamadı.

Infected : Virüs bulaştı.

Chkrootkit Komutları;


Kod:
chkrootkit -h ile seçenekleri görebiliriz.
Usage: chkrootkit [options] [test ...]
-h yardım ekranı
-V versiyon bilgisi
-l sistemde aranan rootkitlerin ismi
-d debug seçeneği
-r dir dizin belirtme özelliği
-x expert mod


---------------------

Teşekkür Butonunu Kullanalım...! >

Konu ENİGMA tarafından (06-09-2018 17:09 Saat 17:09 ) değiştirilmiştir.
puqe16, Hichigo, RedLinee, opsups, Raizen Teşekkür etti.
puqe16 - ait Kullanıcı Resmi (Avatar)
Tamamen Askıya Alındı
Üyelik tarihi:
09/2016
Nereden:
Nereye
Mesajlar:
997
Konular:
59
Teşekkür (Etti):
139
Teşekkür (Aldı):
57
Ticaret:
(0) %
06-09-2018 15:52
#2
Eline sağlık
ATABÖRÜ - ait Kullanıcı Resmi (Avatar)
Hevesli Üye
Üyelik tarihi:
07/2017
Nereden:
Ötüken
Yaş:
83
Mesajlar:
3.366
Konular:
303
Teşekkür (Etti):
934
Teşekkür (Aldı):
894
Ticaret:
(0) %
06-09-2018 15:52
#3
Ellerine emeğine sağlık klüp iyi yerlere gelecek
---------------------
Ey Türk milleti! Kendine dön! Sen yükseltmiş Bilge Kağan'ına, hür ve müstakil ülkene karşı hata ettin, kötü duruma düşürdün. Milletin adı, sanı yok olmasın diye Türk milleti için gece uyumadım, gündüz oturmadım. Kardeşim Kül Tegin ve iki şad ile ölesiye bitesiye çalıştım.
Depdip - ait Kullanıcı Resmi (Avatar)
Üye
Üyelik tarihi:
08/2017
Nereden:
NewYork
Mesajlar:
1.578
Konular:
46
Teşekkür (Etti):
287
Teşekkür (Aldı):
420
Ticaret:
(0) %
06-09-2018 16:26
#4
Ellerine sağlık.
Leatrix Teşekkür etti.
Leatrix - ait Kullanıcı Resmi (Avatar)
Üye
Üyelik tarihi:
08/2018
Nereden:
Kerkük
Yaş:
20
Mesajlar:
2.285
Konular:
247
Teşekkür (Etti):
407
Teşekkür (Aldı):
484
Ticaret:
(0) %
06-09-2018 16:28
#5
Ellerinize Sağlık Başarılar.
--------------------- ┏╋━━━━━━━━━━━━━━━━━━━━━◥◣◆◢◤━━━━━━━━━━━━━━━━━ ━━━━╋ ┓
☨ Rҽƚιɾҽԃ Sσƈιαʅ Mҽԃια Tҽαɱ Aʂʂιʂƚαɳƚ ☨
┗╋━━━━━━━━━━━━━━━━━━━━━◥◣◆◢◤━━━━━━━━━━━━━━━━━ ━━━━╋ ┛
"'Alpi Taikiai" - ait Kullanıcı Resmi (Avatar)
Tamamen Askıya Alındı
Üyelik tarihi:
03/2018
Nereden:
Red Square
Mesajlar:
1.149
Konular:
105
Teşekkür (Etti):
303
Teşekkür (Aldı):
275
Ticaret:
(0) %
06-09-2018 16:57
#6
Eline sağlıkta yazı tipi kötü okumakta zorlanıyorum
Criminal^ - ait Kullanıcı Resmi (Avatar)
Üye
Üyelik tarihi:
10/2014
Nereden:
Tokyo
Mesajlar:
1.153
Konular:
218
Teşekkür (Etti):
100
Teşekkür (Aldı):
131
Ticaret:
(0) %
06-09-2018 19:16
#7
Eline sağlık güzel anlatım olmuş.
theokeleS - ait Kullanıcı Resmi (Avatar)
E-Mail onayı yapılmamış üye
Üyelik tarihi:
05/2018
Mesajlar:
1.358
Konular:
31
Teşekkür (Etti):
68
Teşekkür (Aldı):
354
Ticaret:
(0) %
06-09-2018 19:18
#8
Emeğine sağlık güzel paylaşım
ByTiers - ait Kullanıcı Resmi (Avatar)
Yeni Üye
Üyelik tarihi:
03/2017
Mesajlar:
197
Konular:
48
Teşekkür (Etti):
10
Teşekkür (Aldı):
8
Ticaret:
(0) %
08-09-2018 00:55
#9
ellerinize sağlık
---------------------
Yenilmezlik savunmayla mümkündür. Zafer saldırıyla...
Kim olduğumuzu merak edenlere;


TurkHackTeam
Droit97 - ait Kullanıcı Resmi (Avatar)
Yeni Üye
Üyelik tarihi:
06/2016
Mesajlar:
489
Konular:
9
Teşekkür (Etti):
37
Teşekkür (Aldı):
59
Ticaret:
(0) %
18-09-2018 21:56
#10
Eline sağlık
---------------------
Kim olduğun, ne yaptığının yanında önemsizdir

Bookmarks


« Önceki Konu | Sonraki Konu »
Seçenekler