Yaygın bir düşünce,"linux'ta virüs yoktur,linuxta virüs derdi olmaz" tarzındadır ama aslında linux üzerinde virüslerden de tehlikeli olabilen "rootkit" denilen yazılımlar vardır.
Rootkitin en önemli özelliği virüsten farklı olarak kendini gizleme yeteneğidir.Taramalar sırasında ls,ps tarzındaki komutların çıktıları rootkit tarafından düzenlenir ve aslından farklı olarak görürsünüz.Bu sistem dosyasın enfekte olduğundan kolay şekilde yapılır.
Linux üzerinde rootkit tespiti chkrootkit komutu ile yapılır.Kullanımda açılış isteminde iken insert yazın ve enter'a basın.Masaüstü açılacaktır.Daha sonra süper kullanıcı terminali açın.Daha sonra monte etmiş olduğunuz dosya sistemini denetlemeye geldik.Linux sisteminiz atıyorum sda5 kısmında ise;
# chkrootkit -r /mnt/sda5 > /tmp/chkroot-output.txt
Komutun '>' işaretinden sonraki kısım komutun çıktısını text olarak belirttiğiniz kısımda kaydedilmesini sağlıyor.
Çıktıda şuna benzer satırlar göreceksiniz;
Checking `amd’… not found
Checking `basename’… not infected
Checking `biff’… not found
Checking `chfn’… not infected
Şayet enfekte edilen bir komut varsa bu size bir uyarı ile belirtilecektir.
Eğer bir rootkit tespit edilirse,muhtemelen bilgisayarınız denetimi başka ellerde demektir.Bundan 2 şekilde kurtulabilirsiniz;
1)Rootkitin enfekte olduğu komutları değiştirerek.Bu yöntemde dikkat etmeniz gereken derin bir inceleme yapmak ve tüm enfekte olduğu yerleri temizlemektir.Arka kapıları(backdoor) ları tamamen temizlemektir.
2)Daha güvenli ve kesin olan yöntem işletim sisteminizi yeniden aynı bölümün üzerine kurmaktır.Yani aynı kısıma format atmaktır.
Kaydol:
Kayıt Yorumları (Atom)
Hiç yorum yok:
Yorum Gönder