अनहाइड के साथ छिपे हुए लिनक्स प्रक्रियाओं को कैसे उजागर करें

जबकि GNU / Linux एक अत्यंत सुरक्षित ऑपरेटिंग सिस्टम है, बहुत से लोग सुरक्षा के झूठे अर्थ में लालच देते हैं। उनके पास यह गलत विचार है कि कभी भी कुछ नहीं हो सकता क्योंकि वे सुरक्षित वातावरण से काम कर रहे हैं। यह सच है कि लिनक्स वातावरण के लिए बहुत कम मैलवेयर मौजूद है, लेकिन यह अभी भी बहुत संभव है कि लिनक्स स्थापना से अंततः समझौता किया जा सकता है। यदि और कुछ नहीं, तो रूटकिट्स और इसी तरह के अन्य हमलों की संभावना को देखते हुए सिस्टम प्रशासन का एक महत्वपूर्ण हिस्सा है। रूटकिट एक तृतीय पक्ष उपयोगकर्ताओं के लिए एक कंप्यूटर सिस्टम तक पहुंच प्राप्त करने के बाद उन्हें सही तरीके से उपयोग करने के लिए उपकरण के एक सेट को संदर्भित करता है। इस किट का उपयोग वास्तविक उपयोगकर्ताओं के ज्ञान के बिना फ़ाइलों को संशोधित करने के लिए किया जा सकता है। अनहाइड पैकेज ऐसे समझौता किए गए सॉफ़्टवेयर को जल्दी से खोजने के लिए आवश्यक तकनीक प्रदान करता है।

अधिकांश प्रमुख लिनक्स वितरणों के लिए Unhide रिपॉजिटरी में है। एक पैकेज मैनेजर कमांड का उपयोग जैसे कि sudo apt-get install unhide यह डेबियन और उबंटू के फ्लेवर पर स्थापित करने के लिए बाध्य करने के लिए पर्याप्त है। GUI पहुँच वाले सर्वर Synaptic Package Manager का उपयोग कर सकते हैं। फेडोरा और आर्क वितरण के पास अपने स्वयं के पैकेज प्रबंधन प्रणालियों के लिए अनहाइड के पूर्व-निर्मित संस्करण हैं। एक बार जब अनहाइड स्थापित हो जाता है, तो सिस्टम प्रशासक इसे कई अलग-अलग तरीकों से उपयोग करने में सक्षम होना चाहिए।

विधि 1: Bruteforcing प्रक्रिया ID

सबसे बुनियादी तकनीक में यह सुनिश्चित करने के लिए प्रत्येक प्रक्रिया आईडी को व्यवस्थित करना शामिल है कि उनमें से कोई भी उपयोगकर्ता से छिपाया नहीं गया है। जब तक आप रूट एक्सेस न करें, CLI प्रॉम्प्ट पर sudo unhide brute -d टाइप करें। डी विकल्प रिपोर्ट किए गए झूठे सकारात्मक की संख्या में कटौती करने के लिए परीक्षण को दोगुना कर देता है।

आउटपुट बेहद बुनियादी है। कॉपीराइट संदेश के बाद, unhide उन चेकों की व्याख्या करेगा, जो वह करता है। एक पंक्ति बताई जाएगी:

और एक और बताते हुए:

यदि कोई अन्य आउटपुट नहीं है, तो चिंता का कोई कारण नहीं है। यदि प्रोग्राम का जानवर सबरूटिन कुछ भी पाता है, तो यह कुछ इस तरह रिपोर्ट करेगा:

मिली छिपाई हुई पीआईडी: 0000

चार शून्य को एक वैध संख्या से बदल दिया जाएगा। यदि यह केवल यह पढ़ता है कि यह एक क्षणभंगुर प्रक्रिया है, तो यह एक झूठी सकारात्मक हो सकती है। स्वच्छ परिणाम प्रदान करने तक कई बार परीक्षण चलाने के लिए स्वतंत्र महसूस करें। यदि आगे की जानकारी है, तो यह एक अनुवर्ती चेक को वारंट कर सकता है। क्या आपको एक लॉग की आवश्यकता है जिसे आप वर्तमान निर्देशिका में लॉग फ़ाइल बनाने के लिए -f स्विच का उपयोग कर सकते हैं। कार्यक्रम के नए संस्करणों ने इस फाइल को अनहाइड-लिनक्स.लॉग कहा है, और इसमें सादे टेक्स्ट आउटपुट की सुविधा है।

विधि 2: तुलना / खरीद और / बिन / पीएस

आप इसके बजाय / बिन / पीएस और / खरीद प्रक्रिया सूची की तुलना करने के लिए अनहाइड को निर्देशित कर सकते हैं ताकि यह सुनिश्चित हो सके कि ये दो अलग-अलग सूचियाँ यूनिक्स विंडो मैच मैच में हैं। अगर कुछ गड़बड़ है, तो कार्यक्रम असामान्य पीआईडी ​​की रिपोर्ट करेगा। यूनिक्स के नियम यह निर्धारित करते हैं कि इन दो सूचियों में चलने वाली प्रक्रियाओं में आईडी नंबर मौजूद होना चाहिए। टेस्ट शुरू करने के लिए sudo unhide proc -v टाइप करें। V पर टैप करने से प्रोग्राम को वर्बोज़ मोड में डाल दिया जाएगा।

यह विधि एक त्वरित बताते हुए लौटेगी:

कुछ भी असामान्य होना चाहिए, यह पाठ की इस पंक्ति के बाद दिखाई देगा।

विधि 3: Proc और Procfs तकनीकों का संयोजन

अगर जरूरत हो तो आप वास्तव में / बिन / पीएस और / यूनिक्स फ़ाइल ट्री सूचियों की तुलना कर सकते हैं, जबकि वर्चुअल बक्सा प्रविष्टियों के साथ / बिन / पीएस सूची से सभी जानकारी की तुलना भी कर सकते हैं। यह दोनों यूनिक्स फ़ाइल ट्री नियमों की जाँच करता है और साथ ही डेटा की भी खरीद करता है। इस परीक्षण को करने के लिए sudo unhide proc -v टाइप करें, जिसमें काफी समय लग सकता है क्योंकि इसमें सभी / proc आँकड़ों को स्कैन करने के साथ-साथ कई अन्य परीक्षण भी करने होते हैं। यह सुनिश्चित करने का एक शानदार तरीका है कि सर्वर पर सब कुछ कॉपीसेसेटिक है।

विधि 4: तुलना करना परिणाम / बिन / पीएस के साथ परिणाम

पिछले परीक्षण अधिकांश अनुप्रयोगों के लिए भी शामिल हैं, लेकिन आप कुछ शीघ्रता के लिए खरीद फ़ाइल सिस्टम स्वतंत्र रूप से चला सकते हैं। प्रकार sudo अनहाइड procfs -m, जो इन चेकों का प्रदर्शन करेगा साथ ही -m से निपटने के द्वारा प्रदान किए गए कई और चेक।

यह अभी भी एक शामिल परीक्षण है, और इसमें एक क्षण लग सकता है। यह आउटपुट की तीन अलग-अलग लाइनें लौटाता है:

ध्यान रखें कि आप कमांड में -f जोड़कर इनमें से किसी भी परीक्षण के साथ एक पूर्ण लॉग बना सकते हैं।

विधि 5: एक त्वरित स्कैन चल रहा है

यदि आपको केवल गहन जांच के साथ अपने बारे में बताए बिना एक त्वरित स्कैन चलाने की आवश्यकता है, तो केवल सूडो अनहाइड टाइप करें, जो कि नाम से पता चलता है जितनी जल्दी चलना चाहिए। यह तकनीक खरीद सूचियों के साथ-साथ खरीद प्रणाली को भी स्कैन करती है। यह एक चेक भी चलाता है जिसमें सिस्टम संसाधनों के लिए कॉल द्वारा प्रदान की गई जानकारी के साथ / बिन / पीएस से एकत्रित जानकारी की तुलना करना शामिल है। यह आउटपुट की एक पंक्ति प्रदान करता है, लेकिन दुर्भाग्य से झूठी सकारात्मकता का खतरा बढ़ जाता है। पिछले परिणामों की पहले से समीक्षा करने के बाद इसे दोबारा जांचना उपयोगी है।

आउटपुट निम्नानुसार है:

इस स्कैन को चलाने के बाद आपको कई क्षणभंगुर प्रक्रियाएँ दिखाई दे सकती हैं।

विधि 6: रिवर्स स्कैन चलाना

रूटकिट को सूँघने की एक उत्कृष्ट तकनीक में सभी पीएस थ्रेड्स का सत्यापन शामिल है। यदि आप CL कमांड प्रॉम्प्ट पर ps कमांड चलाते हैं, तो आप टर्मिनल से कमांड रन की सूची देख सकते हैं। रिवर्स स्कैनिंग पुष्टि करता है कि प्रत्येक प्रोसेसर थ्रेड्स जो ps छवियां मान्य सिस्टम कॉल को प्रदर्शित करता है और इसे सैकफ लिस्टिंग में देखा जा सकता है। यह सुनिश्चित करने का एक शानदार तरीका है कि किसी रूटकिट को किसी चीज़ से नहीं मारा गया है। इस चेक को चलाने के लिए बस sudo अनहाइड रिवर्स टाइप करें। यह बहुत जल्दी चलना चाहिए। जब यह चलता है, तो कार्यक्रम आपको सूचित करना चाहिए कि यह नकली प्रक्रियाओं की तलाश कर रहा है।

विधि 7: सिस्टम कॉल के साथ तुलना / बिन / पीएस

अंत में सबसे व्यापक जांच में मान्य सिस्टम कॉल से ली गई जानकारी के साथ / बिन / पीएस सूची से सभी सूचनाओं की तुलना करना शामिल है। इस परीक्षण को शुरू करने के लिए सुडो अनहाइड सीस टाइप करें। दूसरों की तुलना में इसे चलने में अधिक समय लगेगा। चूंकि यह आउटपुट की कई अलग-अलग पंक्तियाँ प्रदान करता है, आप इसे प्राप्त की गई हर चीज के माध्यम से वापस देखना आसान बनाने के लिए -f लॉग-टू-फाइल कमांड का उपयोग करना चाह सकते हैं।