Salah satu bahaya koneksi ke Internet yang paling terkenal dan selalu ada adalah sistem yang disusupi, di mana penyerang dapat menggunakan perangkat Anda untuk mencuri informasi pribadi dan informasi sensitif lainnya.
Meskipun ada berbagai metode yang dapat digunakan seseorang untuk menyerang sistem, rootkit adalah pilihan umum di kalangan peretas jahat. Inti dari tutorial ini adalah membantu Anda meningkatkan keamanan perangkat Linux Anda menggunakan RKhunter atau Rootkit hunter.
Mari kita mulai.
Apa itu Rootkit?
Rootkit adalah program yang kuat dan berbahaya serta dapat dieksekusi yang diinstal pada sistem yang disusupi untuk mempertahankan akses meskipun sistem memiliki tambalan kerentanan keamanan.
Secara teknis, rootkit adalah salah satu alat berbahaya paling canggih yang digunakan pada fase kedua hingga terakhir pengujian penetrasi (Memelihara Akses).
Ketika seseorang menginstal rootkit pada suatu sistem, itu memberi penyerang akses ke sistem atau jaringan jarak jauh. Dalam kebanyakan kasus, rootkit lebih dari satu file yang melakukan berbagai tugas, termasuk membuat pengguna, memulai proses, menghapus file, dan tindakan lain yang berbahaya bagi sistem.
Referensi lucuSalah satu ilustrasi terbaik tentang betapa berbahayanya rootkit ada di acara TV Tuan Robot. Episode 101. Menit 25-30. Mengutip Tuan Robot (“Maaf, itu kode berbahaya yang mengambil alih sistem mereka sepenuhnya. Itu dapat menghapus file sistem, menginstal program, virus, worm … Ini pada dasarnya tidak terlihat, Anda tidak dapat menghentikannya”).
Jenis Rootkit
Ada berbagai jenis rootkit, yang masing-masing melakukan tugas yang berbeda. Saya tidak akan mempelajari cara kerjanya atau cara membuatnya. Mereka termasuk:
Rootkit Tingkat KernelJenis rootkit ini beroperasi pada level kernel. mereka dapat melakukan operasi pada inti sistem operasi.
Rootkit Tingkat PenggunaRootkit ini beroperasi dalam mode pengguna normal; mereka dapat melakukan tugas seperti menavigasi direktori, menghapus file, dan lainnya.
Rootkit Tingkat MemoriRootkit ini berada di memori utama sistem Anda dan memonopoli sumber daya sistem Anda. Karena mereka tidak menyuntikkan kode apa pun ke dalam sistem, reboot sederhana dapat membantu Anda menghapusnya.
Rootkit Tingkat BootloaderRootkit ini terutama menargetkan sistem bootloader dan terutama memengaruhi bootloader daripada file sistem.
Rootkit FirmwareMereka adalah jenis rootkit yang sangat parah yang memengaruhi firmware sistem sehingga menginfeksi semua bagian lain dari sistem Anda termasuk perangkat keras. Mereka sangat tidak terdeteksi di bawah program AV standar.
Jika Anda ingin menguji rootkit yang dikembangkan oleh orang lain atau membuat sendiri, pertimbangkan untuk mempelajari lebih lanjut dari sumber berikut:
https://awesomeopensource.com/project/d30sa1/RootKits-List-Download
CATATAN:Uji rootkit pada mesin virtual. Gunakan dengan risiko Anda sendiri.
Apa itu RKhunter?
RKhunter, umumnya dikenal sebagai RKH, adalah utilitas Unix yang memungkinkan pengguna memindai sistem untuk rootkit, exploit, backdoor, dan keylogger. RKH bekerja dengan membandingkan hash yang dihasilkan dari file dalam database online dari hash yang tidak terpengaruh.
Pelajari lebih lanjut tentang cara kerja RKH dengan membaca wiki-nya dari sumber di bawah ini:
https://sourceforge.net/p/rkhunter/wiki/index/
Menginstal RKhunter
RKH tersedia di distribusi Linux utama dan Anda dapat menginstalnya menggunakan pengelola paket populer.
Instal di Debian/Ubuntu
Untuk menginstal di Debian atau ubuntu:
sudo instalasi apt-get pemburu: -y:
Instal di CentOS/REHL
Untuk menginstal pada sistem REHL, unduh paket menggunakan curl seperti yang ditunjukkan di bawah ini:
keriting – OLJ https://sourceforge.net/proyek/pemburu:/file/terakhir/unduh
Setelah mengunduh paket, ekstrak arsip dan jalankan skrip penginstal yang disediakan.
(cento:@centos8 ~:)$: CD: rhunter-1.4.6/
(cento:@centos8 rkhunter-1.4.6)$: sudo ./Pemasang: — Install
Setelah penginstal selesai, Anda harus menginstal rkhunter dan siap digunakan.
Cara melakukan pemeriksaan sistem dengan RKhunter
Untuk menjalankan pemeriksaan sistem menggunakan alat RKhunter, gunakan perintah:
Menjalankan perintah ini akan meluncurkan RKH dan menjalankan pemindaian sistem lengkap pada sistem Anda menggunakan sesi interaktif seperti yang ditunjukkan di bawah ini:
Setelah selesai, Anda akan menerima laporan pemeriksaan sistem lengkap dan log di lokasi yang ditentukan.
Kesimpulan
Tutorial ini telah memberi Anda pemahaman yang lebih baik tentang apa itu rootkit, cara menginstal rkhunter, dan cara melakukan pemindaian sistem untuk rootkit dan eksploit lainnya. Pertimbangkan untuk menjalankan pemindaian sistem yang lebih dalam untuk sistem kritis dan memperbaikinya.
Selamat berburu rootkit!