Skydd mot rootkits

Ett av de vanligaste hackarknepen, när en server väl är hackad, är att installera ett så kallat rootkit för att dölja sin närvaro. En normal systemadministratör märker ingenting av hackarens närvaro eftersom alla spår döljs, bland annat genom att loggfilerna rensas.

Rootkits är program som döljer saker för användaren. Ett rootkit kan dölja allt från filer och registernycklar till processer och trådar. Att få reda på om en dator blivit infekterad med ett rootkit är oftast omöjligt, eftersom rootkittet gömmer sig själv för alla de vanliga antivirus-programmen, likväl som från användaren.

På senare tid har rootkits blivit väldigt uppmärksammande i media och det mest kända fallet i nuläget var när Sonys musik-CD med kopieringsskyddet Extended Copy Protection från First 4 Internet innehöll en rootkit som var mycket svår att kunna detektera på en drabbad dator.

Det finns många olika rootkit för olika miljöer, men även flera olika motmedel. Ett av de ästa av dessa motmedel installerade jag idag på min köra debianserver: chkrootkit.

Chkrootkit är ett program som kan hitta en massa olika typer av rootkit, inklusive Lejonmasken samt Ramen-masken som kom ganska nyligen. Programmet fungerar under operativsystemen Linux, FreeBSD, Solaris och OpenBSD.

Chkrootkit används bara för att hitta och varna för att ett rootkit är installerat. Sedan krävs andra metoder för att återta kontrollen över servern, och stänga ute hackaren.
Debian

Postat under: Program