কিভাবে লিনাক্স মধ্যে একটি লুকানো প্রক্রিয়া সনাক্ত করতে?

10

আমাদের মনে একটি বাক্স রয়েছে যা মূলত কাজ করে গেছে। প্রশ্নটি আমরা কীভাবে এটি পাই? আমি কোনও সিস্টেম অ্যাডমিনিস্ট্রেটর নই, তবে পরিস্থিতি সমাধানের জন্য আমাকে দলে নিয়ে আসা হয়েছিল এবং আমি কৌতূহল বোধ করি যেখানে সমস্যাগুলির মতো ভাল জায়গাগুলি সন্ধান করার মতো জায়গা হতে পারে?

আমাদের সন্দেহ হওয়ার কারণটি হ'ল আমরা উচ্চতর (যা এলোমেলো মনে হয়) বন্দরগুলি থেকে মেশিনে সাধারণ নেটওয়ার্ক ব্যবহারের চেয়ে বেশি লক্ষ্য করেছি।

সমস্যা সন্তানের সনাক্ত করতে আমরা কী করতে পারি? ভবিষ্যতে এ থেকে রক্ষা করার জন্য আমরা কী করতে পারি? ভবিষ্যতে আমাদের সম্পর্কে সচেতন করার জন্য আমরা কী চালনা করতে পারি? (নেটওয়ার্ক মনিটরিং বাদে আমরা ইতিমধ্যে নিবিড় নজর রাখতে কাজ করছি))

অগ্রিম ধন্যবাদ এবং প্রয়োজনে আমি আরও বিশদ সরবরাহ করতে পারি। আপনার সময়ের প্রশংসা করুন।

linux  security  process  hidden 
ক্রিস
সূত্র
2
গ্যারান্টিযুক্ত ফিক্স: কক্ষপথ থেকে এটিকে নোক করুন এবং ব্যাকআপ থেকে পুনরুদ্ধার করুন।
ক্রিস এস
এটি সাম্প্রতিক প্রশ্নের সদৃশ বলে মনে হচ্ছে ।
স্টিভেন সোমবার
1
"আমি কোনও সিস্টেম প্রশাসক নই, তবে পরিস্থিতি সমাধানের জন্য আমাকে দলে নিয়ে আসা হয়েছিল" - এটি অমূল্য। বিষয়গুলি পরিষ্কার করার জন্য: আপনার প্রশ্নটি পুরোপুরি ঠিক। আপনার বাস্তব জীবনের পরিস্থিতি এমন নয়। যে আপনাকে জড়িত করার সিদ্ধান্ত নিয়েছে সে ভুল।
সম্বন্ধে সাহায্য
@ ক্রিস এস: এটি একটি শেখার প্রশ্ন এতটা নয় যে এই সমস্যাটির সমাধানের দ্রুততম উপায়।
ক্রিস
হল্প: আমি এটিকে সমাধান করার জন্য দায়বদ্ধ না তবে এটি থেকে শিখার অংশ। আমি সাম্প্রতিক সিএসই স্নাতক মাত্র কাজের ফাঁকে আমার পা ভিজিয়ে নিচ্ছি।
ক্রিস

উত্তর:

6

আপনি মেশিনে থাকা কোনও সিস্টেম সরঞ্জামকে বিশ্বাস করতে পারবেন না। রুটকিটগুলি তাদের উপস্থিতি লুকানোর জন্য পিএস, নেটস্ট্যাট, এলএস এবং আরও অনেক কিছু প্রতিস্থাপন করবে। আপনার মেশিনটি অফলাইনে নেওয়া উচিত, তার হার্ড ড্রাইভটি বের করা উচিত, একটি ফরেনসিক অনুলিপি তৈরি করা উচিত (মনে করুন ডিডি) তারপরে রুটকিটের জন্য স্ক্যান করার জন্য সিওনড্ডারি মেশিনে সেখান থেকে কাজ করুন।

আপনি যদি লাইভ মেশিনে কাজ করার জন্য জোর দিয়ে থাকেন (যা সাধারণত নিরর্থক) তবে আপনি সিডিতে একটি উদ্ধার বিতরণ ডাউনলোড করার চেষ্টা করতে পারেন (এটির অনুলিপিটি অনুলিপি কেবল পঠনযোগ্য হবে) এবং এর পিপি, এলএসএম ইত্যাদি অনুলিপিগুলি ব্যবহার করতে পারেন

এমনকি এটি ব্যর্থ হতে পারে কারণ একটি রুটকিট / প্রোকের এন্ট্রিগুলি লুকানোর জন্য কার্নেল মডিউলগুলি ইনস্টল করতে পারে যেখানে পিএস এর মতো সরঞ্জামগুলি সাধারণত চালিত হয়।

শুভকামনা!

bot403
সূত্র
যদি তার আরপিএম ভিত্তিক বিতরণ থাকে তবে সে rpm -V -f /bin/psএটি পরিবর্তন করতে পারে কিনা তা পরীক্ষা করতে দৌড়াতে পারে। অবশ্যই, এটি কেবল তখনই কাজ করবে যদি আক্রমণকারীও পরিবর্তন না করে rpmবা আরপিএম ডাটাবেস করে। যদিও তিনি কয়েকটি rpmফাইলের সংশোধন করতে পারতেন তারপরে চালান rpm -V rpmএবং এটি পড়ে আছে কিনা তা পরীক্ষা করে দেখুন।
ক্রিশ্চিয়ান সিপিতু
5

ভালভাবে নির্মিত রুটকিটের সমস্যা হ'ল তারা আপনার সিস্টেমের আদেশটি পরিবর্তন করে; রুটকিটের প্রসেসগুলি না দেখানোর জন্য পিএস এবং শীর্ষের মতো এবং রুটকিটের ফাইল না দেখানোর জন্য ls হয়।

সুতরাং আপনার যা করা দরকার তা হ'ল এই কমান্ডটি সম্ভবত উত্স থেকে বা বিনয়ের আকারে পাওয়া get (ভালভাবে স্বাক্ষরিত হওয়া নিশ্চিত হন)। তবে একটি রুট কিটের কৌশল (আমি এটি দেখেছি) এটি হ'ল তারা সম্ভবত আপনার সংকলকটিও দূষিত করেছে। সুতরাং যখন সংকলকটি জানে যে সে এলএস বা পিএস বা কোনও কমান্ড সংকলন করছে তিনি সেগুলিও তাদের ক্ষতি করেছিলেন।

আমি যখন এই সমস্যাটি দেখেছি তখন আমি বলেছিলাম যে জিসিসি পুনরায় সংকলন করতে পারে, তবে আমাকে জিসিসি সংক্রামিত করার দরকার নেই ... ইনফেক্টটি জিসিসি .... সুতরাং যখন তিনি জানেন যে তিনি নিজেই সংকলন করছেন তিনি এটি সংক্রামিত করতে পারেন যাতে এটি আদেশটি সংক্রামিত করতে পারে।

আপনি বলবেন যে এটি বড় এবং সনাক্তকরণের পক্ষে কঠিন, হ্যাঁ তবে বিরল এমন রুট কিট যা এতগুলি বুলেটপ্রুফ আমি কেবল আপনাকে আরও খারাপ ক্ষেত্রে দিয়েছি।

গুরুতরভাবে, আপনি যদি নিশ্চিত হন যে আপনার সার্ভারে একটি রুট কিট রয়েছে, তবে এটি পুনরায় ইনস্টল করুন!

Gopoi
সূত্র
উত্তরের প্রশংসা করুন, এবং হ্যাঁ এটি পুনরায় ইনস্টল করা আপাতত সমাধান। যদিও বিষয়টি হ'ল আমি এটি সম্পর্কে এতটা রাস্তায় জানতে চাই এবং পুরো সার্ভারটি পুনর্নির্মাণ না করে আমি এটি সনাক্ত করতে এবং পুনরুদ্ধার করতে সক্ষম হতে পারি। আমাদের এক্সিকিউটিউট পরের এক্সিকিউটিভের চেয়ে ডাউনটাইম পছন্দ করে না।
ক্রিস
@ ক্রিস, প্রতিরোধই আপনার একমাত্র নিরাময় .. এটি কীভাবে ঘটেছিল তা নিয়ে কাজ করুন যাতে আমরা উত্তর দিতে পারি .. "কীভাবে" এটি আবার ঘটতে না পারে
আরেনস্টার
আপনি প্রশ্নের ভাল উত্তরদাতা চয়ন করবেন?
গোপোই
5

আপনার সার্ভারটি "মূল" হয়েছে কিনা তা জানার সর্বোত্তম উপায় হ'ল হোস্ট-ভিত্তিক অনুপ্রবেশ সনাক্তকরণ সিস্টেম (এইচআইডিএস) চালানো। দুর্ভাগ্যক্রমে, আপনি যদি এখন এইডস চালাচ্ছেন না, তবে এটি ইনস্টল করতে খুব দেরি হয়ে গেছে। সার্ভার প্রথম ইনস্টল করা সঠিক সময় HIDS ইনস্টল করতে হয়, এবং সামনে এটা একটি নেটওয়ার্ক সম্মুখের করা হয়।

সংক্ষেপে, বেশিরভাগ এইআইডিএস সমস্ত সিস্টেম বাইনারিগুলির ক্রিপ্টোগ্রাফিক হ্যাশগুলি গণনা করে এবং সেই হ্যাশগুলি (অন্যান্য অসংখ্য ফাইলের পরিসংখ্যান সহ) একটি ডাটাবেসে সংরক্ষণ করে, যেটিকে বেসলাইন ডাটাবেস বলে। তারপরে, পর্যায়ক্রমে, এইচআইডিএস আপনার সিস্টেমটিকে পুনরুদ্ধার করে, তার বেসলাইন ডাটাবেসের সমস্ত ফাইলকে প্রকৃত সিস্টেমের ফাইলগুলির সাথে তুলনা করে।

হ্যাঁ, অবশ্যই, কোনও রুটকিটের পক্ষে আপনার বেসলাইন ডাটাবেসটি সংশোধন করা সম্ভব, এজন্য আপনাকে সার্ভারটি অনলাইনে রাখার আগে আপনাকে সেই ডাটাবেসের একটি অনুলিপি নিতে হবে এবং সার্ভারের থেকে আলাদা করে সংরক্ষণ করতে হবে । তারপরে, যদি আপনি সন্দেহ করেন যে আপনি "মূল" (এবং আপনার বেসলাইন ডাটাবেসটিও ছড়িয়ে পড়েছে সন্দেহ করে), আপনি ইনস্টল মিডিয়া থেকে আপনার সিস্টেমটি বুট করতে পারেন, ব্যাকআপ থেকে পরিচিত-ভাল ডাটাবেসটি পুনরুদ্ধার করতে পারেন এবং তারপরে স্ক্যান চালাতে পারেন known-ভাল। তবে এটি অনেক বেশি সম্ভাবনা রয়েছে যে কোনও রুটকিট আপনার নির্দিষ্ট এইডসকে পরাস্ত করার প্রত্যাশা করবে না এবং তাই আপনি এইডস থেকে একটি বিজ্ঞপ্তি পাবেন যে সিস্টেম ফাইলগুলি পরিবর্তিত হয়েছে, এটি সম্ভাব্য সিস্টেমের প্রবেশের ইঙ্গিত দেয়।

যেহেতু আপনি কোনও এইচডিএস চালাচ্ছেন না, তাই আপনি রুট হয়েছেন কি না, বা কোন সিস্টেম ফাইলগুলি সংশোধন করা হয়েছে তা নির্দিষ্ট করে দেখার কোনও দ্রুত উপায় আপনার নেই। আপনার সিস্টেম ফাইলগুলির সাথে পরিচিত-ভাল ইনস্টলেশন মিডিয়া থেকে টানা জ্ঞাত-ভাল ফাইলগুলির সাথে তুলনা করার জন্য আপনি পুরো সময় ব্যয় করতে পারেন, তবে সেই সময়টি সম্ভবত সেই মিডিয়া থেকে আপনার সিস্টেমটিকে পুনরায় ইনস্টল করতে ব্যয় করতে পারে। আপনি যদি সত্যের পরে কীভাবে বদ্ধমূল হয়েছিলেন তা খতিয়ে দেখতে চান, আপনার সিস্টেমটি মুছে ফেলা এবং পুনরায় ইনস্টল করার আগে সবচেয়ে ভাল কোর্সটি আপনার সিস্টেমে নেওয়া।

স্টিভেন সোমবার
সূত্র
সামহাইন একটি এইডস।
পেফু
4

আগের তৈরি পোস্ট দেখুন

পার্ল রুটকিট অপসারণে ব্যথা

আপনি এটি পড়তে সত্যই গুরুত্বপূর্ণ ...

আপনার প্রশ্নের উত্তর হিসাবে ..

আমি সাধারণত একটি আইডিএস / আইপিএস (অনুপ্রবেশ সনাক্তকরণ / সুরক্ষা ব্যবস্থা) সানর্টের মতো চালাচ্ছি .. এটি বাজে খেলার বিরুদ্ধে দুর্দান্ত কাজ করে, এবং আমি এটিকে কার্যকরীতে একটি দুর্দান্ত কাজ করে দেখেছি ..

আমি লগ মেসেজগুলি উত্পাদন সার্ভারগুলি বন্ধ রাখার জন্য সিসলগ সার্ভারগুলিও ব্যবহার করি, যাতে আপনি সমস্যা এবং পরিবর্তনগুলি / rootkit'd ব্যাকট্রেস করতে পারেন

আমি প্রায়শই ক্যাক্টির মতো পরিচালন সরঞ্জামগুলি ব্যবহার করি যা গ্রাফ সিপিইউ, মেমরি, ডিস্ক, নেটওয়ার্ক ব্যবহার এবং যদি কিছু সাধারণ থেকে বাইরে থাকে তবে রিপোর্ট করুন ..

রুটকিট হওয়া একটি গুরুতর সমস্যা, অবশ্যই কারণটি কার্যকর করার চেষ্টা করুন ..

আশা করি এটি সাহায্য করে ..: ডি

Arenstar
সূত্র
3

এলোমেলো উচ্চ বন্দরগুলি হল সাময়িক বন্দরগুলি, যা সূচিত করে যে আপনার সম্ভবত এই সিস্টেম থেকে এক বা একাধিক প্রোগ্রাম সংযোগ রয়েছে।

যদি এটি মূল নয়, তবে netstat -np | grep -v ^unixকোন প্রোগ্রামটি গুলি ট্রাফিক তৈরি করছে সে সম্পর্কে আপনাকে একটি ইঙ্গিত দিতে পারে।

আপনি যে সিস্টেমটি বিশ্বাস করেন যে শিকড়ের শিকড় থেকে কাটানো হয়েছে তার প্যাকেটগুলি ডাম্প করতে tcpdump ব্যবহার করে কাছের সিস্টেম থেকে ট্র্যাফিক স্ক্যান করতে সক্ষম হতে পারেন। যদি সমস্যা প্রোগ্রামটি রুট হিসাবে চলমান না থাকে তবে আপনি এটি সংক্রামিত সিস্টেম থেকে করতে পারেন।

রুট হওয়া এড়াতে আপনি করতে পারেন এমন বেশ কয়েকটি জিনিস:

  • আপনার সিস্টেমটি প্যাচযুক্ত রাখুন, বিশেষত কার্নেল। আক্রমণ ভেক্টর নির্ধারণের জন্য কার্নেল মুক্তির কারণগুলি পর্যবেক্ষণ করুন।
  • শুধুমাত্র প্রয়োজনীয় প্রোগ্রামগুলি ইনস্টল এবং ব্যবহার করুন। যতটা সম্ভব ন্যূনতম ইনস্টল করুন।
  • রুট হিসাবে যতটা সম্ভব চালান। একবারে রুট সুবিধার্থে প্রয়োজনীয় সেটআপটি শেষ হয়ে গেলে অনেকগুলি প্রোগ্রাম অনিবদ্ধ ব্যবহারকারীদের মধ্যে পরিবর্তিত হয়।

সম্পাদনা: আপনি যদি শিকড়যুক্ত হন তবে স্ট্যাটিকালি লিঙ্কযুক্ত পিএস এবং এলএস প্রোগ্রামগুলি ব্যবহার করে দুটি সরঞ্জামের সন্ধানকারী চলমান প্রোগ্রামগুলির মধ্যে পার্থক্য নির্দেশ করতে পারে। স্বল্পকালীন প্রোগ্রাম বন্ধ হয়ে যাওয়ায় তালিকার পার্থক্যও দেখা দিতে পারে।

BillThor
সূত্র
1

যে সিস্টেমটি মূলী হতে পারে তার আসল ফিক্স হ'ল সুরক্ষিত উত্স থেকে এটি পুনরায় ইনস্টল করা। ইনস্টলেশন সিডি পছন্দ। তারপরে কেবল ব্যাকআপ থেকে আপনার ডেটা পুনরুদ্ধার করুন । আপনার ব্যাকআপের কোনও বাইনারি বা স্ক্রিপ্টগুলি আপোস করা হয়ে থাকতে পারে এবং আপনার ব্যাকআপে সংরক্ষণ করা হয়েছে।

একটি চলমান সিস্টেমে রুট কিটটি সন্ধান করার জন্য এটির একটি উপায় হ'ল রুটকিট সনাক্তকরণের জন্য তৈরি কার্নেল মডিউলটি তৈরি করা ile এটি একটি ভিন্ন মেশিনে সংকলন করুন যা একই ওএস সংস্করণটি চলছে। তারপরে এটি অনুলিপি করুন এবং এটি insmod করুন।

একটি রুটকিট ডিটেক্টরটিতে চলমান প্রক্রিয়া টেবিলটি ডাম্প করতে, সিস্কল টেবিলটি যাচাই করতে (সিস্কেল ইন্টারসেপ্টগুলি সন্ধান করার জন্য) এবং অন্যান্য বৈশিষ্ট্যগুলি কার্নেল মডিউলটিতে তৈরি সরঞ্জাম থাকবে। এটিতে স্ক্রিপ্ট থাকতে পারে যা মডিউল থেকে আউটপুট নেবে এবং পিএস, নেটস্যাট, এলএস ইত্যাদির আউটপুটটির সাথে তুলনা করবে বা এটি পরিচিত রুটকিট স্বাক্ষরের জন্য এবং কার্নেল স্পেসে মেমরিটি স্ক্যান করতে সক্ষম হতে পারে।

জ্যান লিনাক্স
সূত্র
1

এটি ইঁদুরের মতো: আপনি যদি দেখেন তবে সেখানে একশো লোক বাস করছেন। আপনি যদি কোনও আপোষের চিহ্ন দেখেন তবে আপনাকে ধরে নিতে হবে পুরো সিস্টেমটি আপোস হয়েছে। এজন্য সকলেই পরামর্শ দিচ্ছেন যে আপনি অনেক সময় দেখার চেয়ে সিস্টেমটি পুনরায় ইনস্টল করবেন। আমি বেশ কয়েকটি পরিস্থিতিতে মুখোমুখি হয়েছি যেখানে কোনও মেশিন আপোস হয়েছিল এবং সিসাদমিনরা ভেবেছিল যে তারা এই জগাখিচুড়ি পরিষ্কার করে দেবে, পরে কেবল অনুশোচনা করার জন্য।

রুটকিটসের পক্ষে সিস্টেম বাইনারি যেমন পিএস, টপ, নেটস্যাট প্রতিস্থাপন করা খুব সাধারণ। এবং ট্রোজান ssh এ এটিও সাধারণ। সুতরাং, এই ফাইলগুলিতে চেকসাম অদ্ভুততার সন্ধান করা একটি প্রধান কৌশল। আপনি যদি কোনও আরপিএম-ভিত্তিক সিস্টেমে থাকেন তবে আরপিএম-ভি সাধারণত একটি ভাল সরঞ্জাম বা ডেবিয়ান / উবুন্টুতে ডিপি কেজি-যাচাই করা হয়। অথবা আপনি সরাসরি চেকসামগুলি পরীক্ষা করতে পারেন (তবে প্রিলিংকের বাইরে নজর রাখুন, যা গতির কারণে ফ্লাইতে বাইনারিগুলি পরিবর্তন করে)। এটি নির্ভরযোগ্য নয়, তবে অনেকগুলি স্ক্রিপ্ট-কিডি আক্রমণ এই চিহ্নগুলি আবরণ করে না। (অন্য কথায়, আপনি যদি কিছু খুঁজে পান তবে ভাল you আপনি যদি কিছু না খুঁজে পান তবে এটি প্রমাণ করে না যে আপনি পরিষ্কার আছেন))

অন্য বিষয়গুলি সন্ধান করতে হবে: পোর্টগুলি কোনও বাহ্যিক থেকে খোলা দেখানো হয়েছে nmapযা netstatমেশিনের মাধ্যমে খোলা দেখায় না এবং যে পাইডগুলি এতে প্রদর্শিত হয় /procনা ps। এবং যদি আপনার কাছে রিমোট সিসলগ সক্ষম করা থাকে তবে এসএসএস লগইনগুলি সন্ধান করুন যার লগলগে রেকর্ড নেই।

mattdm
সূত্র
0

নিজেকে আরখুন্টার এবং চক্রোথকিটের একটি অনুলিপি ধরুন। এগুলি সাধারণত এমন জিনিসগুলি সন্ধান করতে সহায়তা করে যা বেশ ভাল থাকে।

ফায়ারওয়ালের পাশাপাশি আপনার অ্যাপাচি স্তরেও মোড_সিকিউরিটি চালানো সবসময় ভাল। সাধারণত তারা একটি পুরানো ওয়েব অ্যাপ্লিকেশন বা স্ক্রিপ্ট পাবেন এবং পার্ল শেল স্ক্রিপ্ট এবং অন্যান্য মজাদার জিনিসগুলির সাথে সেখান থেকে অ্যাক্সেস বাড়িয়ে তুলবে।

PS auxfww সাধারণত অন্তর্ভুক্ত নয় এমন প্রক্রিয়াগুলি খুঁজে পেতে দুর্দান্ত।

এছাড়াও: নির্দিষ্ট পোর্টে কী শুনছে তা দেখতে নেটস্প্যাট -আনপ।

আবার এগুলি ভাল যদি আপনি মূল না হয়ে থাকেন, কেবল আপস করেন।

স্টিভেন লেগেট
সূত্র
আমাদের সাইট ব্যবহার করে, আপনি স্বীকার করেছেন যে আপনি আমাদের কুকি নীতি এবং গোপনীয়তা নীতিটি পড়েছেন এবং বুঝতে পেরেছেন ।
Licensed under cc by-sa 3.0 with attribution required.