Rootkit và cách phòng chống

Rootkit và cách phòng chống

Trước đây tôi có bài viết này về một spyware lẩn trong wallpaper có thể thu thập dữ liệu của smartphone gửi về một địa chỉ định trước.

Hôm qua, 7/9/2010, một bài viết khác trên VietnamNet nhắc lại vụ này có đoạn viết:

Phòng thí nghiệm của hãng bảo mật này (BitDefender) đã tạo ra một rootkit “mẫu” đi kèm với một số ứng dụng “giả danh” các ứng dụng hợp pháp. Kết quả, các mẫu rootkit nhanh chóng chiếm quyền điều hành điện thoại, cho phép hacker điều khiển từ xa ngay cả khi chiếc điện thoại nằm gọn trong tay bạn. Kẻ tấn công có thể truy cập vào cơ sở dữ liệu SQLite của điện thoại, từ đó có thể xem được toàn bộ tin nhắn, ghi nhớ hay địa chỉ liên lạc trên điện thoại bị nhiễm”

Vậy rootkit là cái gì?

Theo Wikipedia, rootkit hoạt động như thế này:

  • Đầu tiên, hacker dùng một cách nào đó để thâm nhập máy tính như một user bình thường (qua các lỗ hổng an ninh, qua các phần mềm tải về từ Internet, ….)
  • Sau đó, hacker sẽ cài phần mềm rootkit vào máy tính nạn nhân.
  • Rootkit này có hai nhiệm vụ: a/che giấu vết tích xâm nhập, không cho admin của máy biết là có kẻ xâm nhập, b/cho phép hacker xâm nhập và hoạt động trong máy với quyền cao hơn quyền user thường, thậm chí với quyền root. Với quyền đó, hacker có thể làm những điều mình muốn: điều khiển máy tính, thu thập dữ liệu, ăn trộm password, mở cổng hậu cho hacker thâm nhập, v.v….

Trong Linux, hiện tôi tìm được hai phần mềm chống rootkit (chắc còn nữa) là chkrookit (check rootkit) và rootkit hunter.

Cài đặt:

Trong Mandriva và Ubuntu, hai phần mềm trên có trong kho phần mềm. Mở menu chính Install & Remove software rồi tìm cài chkrootkitrkhunter.

Sử dụng:

Mở terminal rồi chạy các lệnh sau bằng quyền root:

rkhunter –update

rkhunter -c

Trong quá trình chạy lệnh thứ hai, thỉnh thoảng chương trình dừng lại yêu cầu Enter để chạy tiếp. Kết quả hiện trên màn hình và ghi vào file /var/log/rkhunter.log (xem bằng quyền root).

Với chkrootkit, chạy lệnh sau:

chkrootkit

hoặc

chkrootkit -x để chạy trong expert mode.

Cũng có thể đặt lịch để các phần mềm trên tự động chạy bằng chương trình cron (hoặc các giao diện của nó).

Ví dụ trong Mandriva, mở Configure Your Desktop → Advanced → Task Scheduler. Với Ubuntu, cần cài gói gnome-schedule.

Và đừng có ham tải về cài những thứ linh tinh trên Internet. Nên theo lời khuyên này trong bài báo nói trên:

Chắc chắn, mô hình bảo mật của Android tốt hơn thiết kế an ninh trong Windows, nhưng điều đó không có nghĩa là Android là hoàn toàn không thể bị tấn công. Điều này cũng đúng với cả hệ điều hành Linux hay Mac OS X. Ngay cả OpenBSD, hệ điều hành được thiết kế bảo mật tốt nhất cũng vẫn có vấn đề an ninh. Vì vậy, cẩn trọng với các ứng dụng chia sẻ quá dễ dãi, hào phóng trên mạng là một cách để giảm bớt nguy cơ này.”

Search “linux rootkit” sẽ thấy nhiều thông tin hơn về rootkit. Ví dụ xem tài liệu này.

6 thoughts on “Rootkit và cách phòng chống

  1. Chạy rkhunter toàn thấy Notfound, một hồi ra cái sum này không biết lành dữ nhiều hay ít:

    [07:40:58] System checks summary
    [07:40:58] =====================
    [07:40:58]
    [07:40:58] File properties checks…
    [07:40:58] Files checked: 133
    [07:40:58] Suspect files: 0
    [07:40:58]
    [07:40:58] Rootkit checks…
    [07:40:58] Rootkits checked : 242
    [07:40:58] Possible rootkits: 0
    [07:40:58]
    [07:40:58] Applications checks…
    [07:40:58] All checks skipped
    [07:40:58]
    [07:40:58] The system checks took: 1 minute and 10 seconds
    [07:40:58]
    [07:40:58] Info: End date is Sun Sep 12 07:40:58 ICT 2010

  2. Pingback: Vũ khí tin học bắt đầu xuất hiện trên không gian mạng « ZXC232-Phần mềm nguồn mở – Linux

  3. Pingback: Tường thuật trận đấu TQN vs. Sinh tử lệnh « ZXC232-Phần mềm tự do nguồn mở – Free and opensource software

  4. Chạy file này của bác, ra một đoạn thấy lo lo:

    Checking for passwd file changes [ Warning ]
    Checking for group file changes [ Warning ]
    Checking root account shell history files [ OK ]

    Performing system configuration file checks
    Checking for syslog configuration file [ Found ]
    Checking if syslog remote logging is allowed [ Not allowed ]

    Performing filesystem checks
    Checking /dev for suspicious file types [ None found ]
    Checking for hidden files and directories [ Warning ]

    [Press to continue]

    File properties checks…
    Files checked: 134
    Suspect files: 1

    Rootkit checks…
    Rootkits checked : 242
    Possible rootkits: 0

    Vậy xử lý làm sao hả bác?

  5. Pingback: Vũ khí tin học bắt đầu xuất hiện trên không gian mạng | MrLong

Gửi phản hồi

Mời bạn điền thông tin vào ô dưới đây hoặc kích vào một biểu tượng để đăng nhập:

WordPress.com Logo

Bạn đang bình luận bằng tài khoản WordPress.com Log Out / Thay đổi )

Twitter picture

Bạn đang bình luận bằng tài khoản Twitter Log Out / Thay đổi )

Facebook photo

Bạn đang bình luận bằng tài khoản Facebook Log Out / Thay đổi )

Google+ photo

Bạn đang bình luận bằng tài khoản Google+ Log Out / Thay đổi )

Connecting to %s