Rootkit：什么是Linux，以及如何在Linux中检测到它们

根目录：它们是什么以及如何在Linux中检测到它们

什么是Rootkit？

它们是工具， 其主要目的是隐藏自己并隐藏任何其他揭示系统中入侵性存在的实例 。例如，对进程，程序，目录或文件的任何修改。在大多数情况下，这是出于恶意目的，例如提取非常重要的信息或执行破坏性操作，入侵者可以远程，不知不觉地进入系统 。它的名字来自一个想法，即rootkit允许您在安装后以root用户的身份轻松访问它。

其操作着重于用更改的版本替换系统程序文件以便执行特定操作的事实。也就是说，它们模仿了系统的行为，但隐藏了其他行为和现有入侵者的证据 。这些修改的版本称为特洛伊木马。因此，基本上，rootkit是一组木马。

众所周知，在Linux中，病毒不是危险。最大的风险是您的程序中每天发现的漏洞。入侵者可以利用它来安装rootkit。这就是保持系统整体更新，不断验证其状态的重要性 。

通常是特洛伊木马受害者的一些文件包括login，telnet，su，ifconfig，netstat，find。

以及那些属于/etc/inetd.conf列表的文件。

您可能对以下内容感兴趣：保持Linux上无恶意软件的技巧

Rootkit的类型

我们可以根据使用的技术对它们进行分类。因此，我们有三种主要类型。

二进制文件：那些能够影响一组关键系统文件的文件。用修改后的类似文件替换某些文件。 核心：影响核心组件的组件。 来自库：他们利用系统库来保留木马。

检测Rootkit

我们可以通过几种方式做到这一点：

验证文件的合法性。 这通过用于校验和的算法。这些算法为 MD5校验和 样式，表示两个文件的总和相等，两个文件必须相同 。因此，作为一个好的管理员，我必须将系统校验和存储在外部设备上。这样，稍后，我将可以通过将这些结果与特定时刻的结果进行比较，并使用为此目的设计的一些测量工具，来检测rootkit的存在 。例如， Tripwire ，另一种允许我们检测到rootkit的方法是从其他计算机执行端口扫描 ，以验证是否存在后门正在监听通常未使用的端口，还有专门的守护程序，例如 rkdet 检测安装尝试，在某些情况下甚至阻止安装发生并通知管理员； 另一种 工具是Shell脚本类型，例如 Chkrootkit ，它负责验证系统中二进制文件的存在，并由rootkits修改。