CHKROOTKIT ile güvenlik açığı tespiti

**Ke[R]eM** · #1 (**permalink**) 21-06-2008, 04:35

CHKROOTKIT (Check rootkit) programinin ne ise yaradigini anlamak icin once biraz 'rootkit' kavramindan bahsetmek gerekiyor.

Rootkit'ler unix ve turevi sistemlere herhangi bir guvenlik acigini kullanarak kullanici seviyesinde bir hesapla girdikten sonra sistemde 'root' yetkilerini elde etmeye yarayan otomatik scriptlerdir. Bunlarin bir cok turu vardir ve sistemde calistirildiklarinda yaptiklari islemler birbidinden farkli olsa da genellikle tamami bazi sistem programlarini 'root' haklarini elde etmede ise yarayacak farkli versiyonlariyla degistirip, sistemdeki kullanicilarin sifrelerini ele gecirmeye yarayan programlar calistirirlar. Bir baska yaptiklari islem, sistemde 'root' hesabina ulasmayi hedefleyen bu programlarin ve bu programi kullanan kisinin yaptiklarinin log'larda ve sistem kaynaklarindan gorulmesini engellemektir. Son olarak baz rootkit'ler backdoor tabir edilen 'arka kapi' programlari calistirarak, rootkit'i kullanan kisinin her istedigi zaman kendi sifresiyle sisteme girebilmesini saglarlar.

CHKROOTKIT programi asagidaki 'rootkit' cesitlerinin varligini tespit edebilmektedir.

Alıntı:

lrk3, lrk4, lrk5, lrk6 Solaris rootkit FreeBSD rootkit t0rn (baska cesitleri ve t0rn v8) Ambient's
Rootkit for Linux (ARK) Ramen Worm rh[67]-shaper RSHA Romanian rootkit RK17 Lion Worm Adore Worm
LPD Worm kenny-rk Adore LKM ShitC Worm Omega Worm Wormkit Worm Maniac-RK dsc-rootkit Ducoci rootkit
x.c Worm.

CHKROOTKIT'in marifetleri konusunda daha ileri gitmeden bir konuya aciklik getirmenin faydali olacagina inaniyorum. Bu urun eger sistemde bu rookitlerden biri varsa veya herhangi bir sekilde bir sorunla karsilastiysa, kullaniciyi sadece bu sorunlardan haberder edecektir. Hic bir sekilde bu rootkit'leri temizleyip, etkilerini temizlemeye calismaz. Bu sekilde sadece bilgi verici bir arac olarak dusunulmelidir. Zaten bu sekilde guvenligi zedelenmis bir sistem icin butun bilgi islem ve guvenlik uzmanlarinin uzlastigi tek gercek cozum bu tip bir sistemi hic vakit kaybetmeden ag'dan cikarip butun sabit diskleri silip isletim sistemini ve programlari temiz oldugu bilinen bir CD'den tekrar yuklemektir. Bu tip bir sistemde hic bir programa guvenilemeyecegi icin tek kesin cozum budur. Ayni sekilde CHKROOTKIT'in bir soruna rastlamadigi sistemler de tamamen sorunsuz ve guvenlik acilarindan yoksun olarak dusunulemez. Lutfen birden fazla aracla testler yapip, isletim sistemlerinizin en son guvenlik yamalarini yuklemeyi ihmal etmeyiniz.

CHKROOTKIT paketi 6 adet kucuk programcigin birlesiminden olusmaktadir.

Bunlardan en onemlisi olan 'chkrootkit' bu sekilde bir saldiri duzenleyen kisilerin ilk degistirecegi ana sistem programciklarini ve bu kisilerin kurabilecegi cokca kullanilan programlari kontrol eder. Eger ana sistem programlarinda bir saldiri isareti varsa kullaniciyi uyarir.

'chkrootkit'in taradigi programlar sunlardir:

Alıntı:

aliens, asp, bindshell, lkm, rexedcs, sniffer, wted,
z2, amd, basename, biff, chfn, chsh, cron, date, du, dirname, echo, egrep, env, find, fingerd, gpm,
grep, hdparm, su, ifconfig, inetd, inetdconf, identd, killall, login, ls, mail, mingetty, netstat,
named, passwd, pidof, pop2, pop3, ps, pstree, rpcinfo, rlogind, rshd, slogin, sendmail, sshd,
syslogd, tar, tcpd, top, telnetd, timed, traceroute, write.

CHKROOTKIT paketindeki diger programlardan 'chklastlog', 'chkwtmp', ve 'check_wtmpx' sistem dosyalarindaki cesitli saldiri isaretlerini tespit eder.

Ayni paketin 'chkproc' programi LKM (Loadable Kernel Module) tabir edilen sistem boot ettikten sonra yuklenen cekirdek modulleri sistemi kullanilarak calistirilan atak programlarini tespit eder. Bu tip programlar sistemi kapatip acsaniz da yeniden calisacagindan 'chkproc' vazgecilmez bir yardimcidir.

Paketteki son program olan 'ifpromisc' ise yine cok onemli bir gorevi gerceklestirmektedir. Normal calisan ethernet adaptorleri sadece kendilerine adreslenmis paketleri dinlerler. Diger makinelere giden paketlerle hic bir zaman ilgilenmezler. Fakat ozellikle acik kaynak kodlu isletim sistemlerinde bu ozelligi butun networkdeki trafigi dinleyecek sekilde degistirmek hic de zor degildir. Bir sistem atagini gerceklestiren kisilerin ilk yapacagi seylerden biri network adaptorlerini PROMISCIOUS tabir edilen bu butun network trafigini dinleyen duruma gecirmek olacaktir. Bu sekilde atagi gerceklestiren kisi network'deki herkesin butun mesajlarini okuyup ziyaret ettikleri siteleri izleyebilecegi gibi, ayni zamanda butun network kullanicilarinin sifrelerini de toplayabilir. Networkdeki kullanici sayisi arttikca bu atagin ciddiyeti de o oranda artmaktadir. ISP , hosting sirketi gibi kuruluslarin networklerinde bu tur bir acik bulunmasi cok ciddi sonuclar dogurabilir.

Bu tip bir ataktan korunmanin en iyi yolu trafigi butun network'e yayinlayan HUB turu dusuk teknolojili network araclari yerine, sadece paketin sahibi olan network adaptorune yayin yapan SWITCH'ler kullanmaktir. Ayrica telnet/pop/ftp gibi sifreleri ve bilgileri acik text olarak gonderen protokoller yerine SSH/SCP gibi sifreler de dahil butun trafigi encrypted (sifreli) olarak gonderen protokoller kullanilmalidir. 'ifpromisc' eger sisteminizdeki herhangi bir network adaptoru PROMISC durumunda ise size bunu bildirecektir.

CHKROOTKIT Paketinin kurulumu ve kullanimi son derece basittir. Kurulum icin tek yapmaniz gereken chkrootkit.tar.gz dosyasini acip , actiginiz bu dizin icine gecip

PHP- Kodu:


			
make sense

yazmaktir. Bu tek komut butun C kodlarini compile edip birer calistirilabilir programa donusturecektir. Paketteki programlari tek tek kullanabileceginiz gibi ayni dizinde sadece

PHP- Kodu:


			
./chkrootkit

yazarak butun paketi bir asamada da calistirabilirsiniz. Bu islem butun testleri calistirip sonuclari ekrana basacaktir. Eger herhangi bir test sonucunda 'INFECTED', 'TROJAN', 'VULNERABLE' vb. gibi ifadelerle karsilasirsaniz sisteminizde bir 'rootkit' calisiyor olma ihtimali yuksektir demektir.

Daha once de soyledigim gibi, eger CHKROOTKIT sisteminizde bir sorun tespit etmediyse her sey yolunda diyerek guvenlik testlerine son vermeyin. Sistem ataklari her gecen gun gelismekte ve degismektedir. Her zaman chkrootkit'in son versiyonunu yuklediginiz gibi ayni zamanda aktif ve pasif guvenlik urunleriyle sisteminizi korumaya ve herhangi bir guvenlik sorunu olup olmadigini kontrol etmeye devam ediniz.

Eger CHKROOTKIT veya baska bir urun sisteminizde bir guvenlik sorununu tespit ettiyse sistemi hemen agdan cekip isletim sisteminizle ilgili dokumanlardan bu sorunlardan kurtulma adimlarini takip ediniz.

Hepinize 'rootkit'siz sistemler dilerim.

Not: Bu rootkitler ile gercekten basa cikmak icin yukleyip nasil calistiklari konusundan bilgi sahibi olmakta fayda vardir. Eger bu tip bir calisma sirasinda size ait olmayan bir sisteme giris saglarsaniz lutfen sisteme zarar verecek seyler yapmaktan sakininiz. Sistemlere bilgi toplamak icin girmek ve arastirmak bir cok toplulukta kabul gorecek bir davranistir. Fakat girdiginiz sisteme zarar verdiginiz anda sizi butun gruplar dislayacaktir.

Kaynak: WebSitesiYapamak

Seçenekler
Yazdırılabilir şekli göster Sayfayı E-Mail olarak gönder
Stil
Normal Hybrid-Şeklinde gösterime geç Ağaç şeklinde gösterime geç

Konuyu Toplam 1 Üye okuyor. (0 Kayıtlı üye ve 1 Misafir)