Cara Mengungkap Proses Linux yang Tersembunyi dengan Unhide
Sementara GNU / Linux adalah sistem operasi yang sangat aman, banyak orang terpikat ke rasa aman yang salah. Mereka salah paham bahwa tidak ada yang bisa terjadi karena mereka bekerja dari lingkungan yang aman. Memang benar bahwa sangat sedikit malware yang ada untuk lingkungan Linux, tetapi masih sangat mungkin bahwa instalasi Linux akhirnya dapat dikompromikan. Jika tidak ada yang lain, maka mempertimbangkan kemungkinan rootkit dan serangan serupa lainnya adalah bagian penting dari administrasi sistem. Rootkit mengacu pada seperangkat alat pengguna pihak ketiga setelah mereka mendapatkan akses ke sistem komputer yang tidak benar mereka akses. Kit ini kemudian dapat digunakan untuk memodifikasi file tanpa sepengetahuan pengguna yang berhak. Paket unhide menyediakan teknologi yang dibutuhkan untuk menemukan perangkat lunak yang disusupi dengan cepat.
Unhide ada di repositori untuk sebagian besar distribusi Linux utama. Penggunaan perintah paket manager seperti sudo apt-get install unhide cukup untuk memaksakannya untuk menginstal pada rasa Debian dan Ubuntu. Server dengan akses GUI dapat menggunakan Synaptic Package Manager. Distribusi Fedora dan Arch memiliki versi pra-bangun dari unhide untuk sistem manajemen paket mereka sendiri. Setelah unhide dipasang, administrator sistem harus dapat menggunakannya dengan beberapa cara berbeda.
Metode 1: Bruteforcing Process IDs
Teknik yang paling dasar melibatkan bruteforcing setiap proses ID untuk memastikan bahwa tidak ada yang disembunyikan dari pengguna. Kecuali Anda memiliki akses root, ketik sudo unhide brute -d pada prompt CLI. Opsi d menggandakan uji untuk mengurangi jumlah kesalahan positif yang dilaporkan.
Output sangat mendasar. Setelah pesan hak cipta, unhide akan menjelaskan pemeriksaan yang dilakukannya. Akan ada garis yang menyatakan:
[*] Memulai pemindaian dengan menggunakan kekerasan melawan PIDS dengan garpu ()dan yang lain menyatakan:
[*] Memulai pemindaian dengan menggunakan kekerasan melawan PIDS dengan fungsi pthreadJika tidak ada output lain, maka tidak ada alasan untuk khawatir. Jika subroutine kasar program menemukan sesuatu, maka ia akan melaporkan sesuatu seperti:
Ditemukan HIDDEN PID: 0000
Empat nol akan diganti dengan angka yang valid. Jika itu hanya membaca bahwa itu adalah proses sementara, maka ini mungkin salah positif. Jangan ragu untuk menjalankan tes beberapa kali hingga hasilnya bersih. Jika ada informasi lebih lanjut, maka mungkin diperlukan pemeriksaan lanjutan. Jika Anda memerlukan log, Anda dapat menggunakan tombol -f untuk membuat file log di direktori saat ini. Versi yang lebih baru dari program ini memanggil file ini unhide-linux.log, dan menampilkan output teks biasa.
Metode 2: Membandingkan / proc dan / bin / ps
Sebagai gantinya Anda dapat langsung menampilkan daftar proses / bin / id dan / proc untuk memastikan bahwa kedua daftar terpisah ini cocok dengan kecocokan pohon Unix. Jika ada sesuatu yang serba salah, maka program akan melaporkan PID yang tidak biasa. Aturan Unix menetapkan bahwa proses yang berjalan harus menyajikan nomor ID dalam dua daftar ini. Ketik sudo unhide proc -v untuk memulai tes. Tacking on v akan menempatkan program dalam mode verbose.
Metode ini akan mengembalikan perintah yang menyatakan:
[*] Mencari proses Tersembunyi melalui / proc stat scanningJika sesuatu yang tidak biasa terjadi, itu akan muncul setelah baris teks ini.
Metode 3: Menggabungkan Teknik Proc dan Procfs
Jika perlu Anda benar-benar dapat membandingkan / bin / ps dan / proc daftar pohon file Unix sementara juga juga membandingkan semua informasi dari daftar / bin / ps dengan entri procfs virtual. Ini memeriksa baik aturan file pohon Unix maupun data procfs. Ketik sudo unhide procall -v untuk melakukan tes ini, yang mungkin membutuhkan waktu cukup lama karena harus memindai semua statistik proc dan juga melakukan beberapa tes lainnya. Ini adalah cara terbaik untuk memastikan bahwa semua yang ada di server bersifat copasetic.
TIP PRO: Jika masalahnya ada pada komputer Anda atau laptop / notebook, Anda harus mencoba menggunakan Perangkat Lunak Reimage Plus yang dapat memindai repositori dan mengganti file yang rusak dan hilang. Ini berfungsi dalam banyak kasus, di mana masalah ini berasal karena sistem yang rusak. Anda dapat mengunduh Reimage Plus dengan Mengklik di SiniMetode 4: Membandingkan procfs Hasil dengan / bin / ps
Tes sebelumnya terlalu terlibat untuk sebagian besar aplikasi, tetapi Anda dapat menjalankan sistem file proc untuk memeriksa secara independen untuk beberapa ketepatan. Ketik sudo unhide procfs -m, yang akan melakukan pemeriksaan ini ditambah beberapa pemeriksaan yang diberikan dengan mem-on.
Ini masih merupakan tes yang agak terlibat, dan mungkin membutuhkan waktu beberapa saat. Ia mengembalikan tiga baris output terpisah:
Perlu diingat bahwa Anda dapat membuat log lengkap dengan salah satu tes ini dengan menambahkan -f ke perintah.
Metode 5: Menjalankan Pemindaian Cepat
Jika Anda hanya perlu menjalankan pemindaian cepat tanpa memperhatikan diri Anda dengan pemeriksaan mendalam, maka cukup ketik sudo unhide cepat, yang seharusnya berjalan secepat yang disarankan oleh namanya. Teknik ini memindai daftar proc serta sistem file proc. Ini juga menjalankan pemeriksaan yang melibatkan membandingkan informasi yang dikumpulkan dari / bin / id dengan informasi yang diberikan oleh panggilan ke sumber daya sistem. Ini memberikan satu baris output, tetapi sayangnya meningkatkan risiko positif palsu. Ini berguna untuk memeriksa ulang setelah sudah meninjau hasil sebelumnya.
Outputnya adalah sebagai berikut:
[*] Mencari proses Tersembunyi melalui perbandingan hasil panggilan sistem, proc, dir, dan psAnda mungkin melihat beberapa proses sementara muncul setelah menjalankan pemindaian ini.
Metode 6: Menjalankan Pemindaian Terbalik
Teknik yang sangat baik untuk mengendus rootkit melibatkan verifikasi semua ps thread. Jika Anda menjalankan perintah ps pada prompt CLI, maka Anda dapat melihat daftar perintah dijalankan dari terminal. Pemindaian terbalik memverifikasi bahwa masing-masing benang prosesor yang gambar ps menunjukkan panggilan sistem yang valid dan dapat dicari dalam daftar procfs. Ini adalah cara yang bagus untuk memastikan bahwa rootkit tidak membunuh sesuatu. Cukup ketik sudo unhide reverse untuk menjalankan pemeriksaan ini. Ini harus berjalan sangat cepat. Ketika berjalan, program harus memberi tahu Anda bahwa itu mencari proses palsu.
Metode 7: Membandingkan / bin / id dengan Panggilan Sistem
Akhirnya pemeriksaan yang paling komprehensif melibatkan membandingkan semua informasi dari daftar / bin / ps dengan informasi yang diambil dari panggilan sistem yang valid. Ketik sudo unhide sys untuk memulai tes ini. Ini akan lebih dari memakan waktu lebih lama daripada yang lain. Karena ia menyediakan begitu banyak baris output yang berbeda, Anda mungkin ingin menggunakan perintah -f-to-file untuk membuat lebih mudah untuk melihat kembali melalui semua yang ditemukannya.
TIP PRO: Jika masalahnya ada pada komputer Anda atau laptop / notebook, Anda harus mencoba menggunakan Perangkat Lunak Reimage Plus yang dapat memindai repositori dan mengganti file yang rusak dan hilang. Ini berfungsi dalam banyak kasus, di mana masalah ini berasal karena sistem yang rusak. Anda dapat mengunduh Reimage Plus dengan Mengklik di Sini