Cách kiểm tra Rootkit trên Linux, BSD và OS X ?

Tất cả chúng ta trong cộng đồng UNIX (bao gồm cả Mac) thường không lo ngại về nguy cơ bị các phần mềm độc hại tấn công. Tuy nhiên trong thế giới internet ngày càng phát triển thì không có gì là không thể. Việc tải các phần mềm trực tuyến, thậm chí ngay cả các gói phần mềm cập nhật từ các nhà sản xuất cũng không tránh khỏi những mối lo về lỗ hổng bảo mật mà tin tặc có thể khai thác. Vì vậy mỗi cá nhân sử dụng Linux, BSD và OS X hãy tự đảm bảo cho hệ thống của mình trước các malware hay rootkit được phát tán từ mạng internet. Trong bài viết này chúng tôi sẽ hướng dẫn các bạn một số cách cơ bản để kiểm tra hệ thống của mình có ẩn chưa rootkit hay không.

Một kỹ thuật phổ biến được các tác giả của phần mềm độc hại sử dụng đó là thay thế hệ thống mã nhị phân thông thường bằng cách bổ sung hoặc thay thế hoàn toàn sự hoạt động của nó. Nhiều người tự bảo vệ mình bằng cách làm cho các phiên bản của chúng bị hỏng immutable nhằm làm cho sự lây nhiễm khó khăn hơn và có thể loại bỏ được chúng.

Sử dụng lệnh lsattr để hiển thị thuộc tính của các tập tin nhị phân trong hệ thống của bạn tại các vị trí như /bin, /sbin và /usr/bin, như ví dụ:

lsattr /usr/bin

Thông thường nếu không có vấn đề gì thì kết quả sẽ như sau:

Có thể bạn cần có quyền root để quét một số nơi như /sbin. Nếu nội dung xuất ra có chứa các thuộc tính khác như s, I hoặc a... là dấu hiệu cho thấy có vấn đề nào đó bất thường. Vì vậy bạn cần thử lại bằng cách quét sâu hơn.

Sử dụng Chkrootkit

Chkrootkit là một công cụ dùng để quét các tập tin hệ thống quan trọng để phát hiện dấu hiệu có mặt của các phần mềm độc hại. Đây là một nhóm các kịch bản (script) sử dụng các công cụ hệ thống sẵn có và các dòng lệnh để xác định các file hệ thống của bạn và thông tin về /proc. Bởi vì điều này mà nó được khuyến cáo hơn là chạy từ đĩa CD. Đơn giản là bạn chỉ cần chạy dòng lệnh sau:

(Bạn có thể cần “sudo” từ quyền root)

chkrootkit 

Tuy nhiên do chkrootkit không tạo ra tập tin log theo mặc định, vì vậy bạn nên chuyển kết quả xuất ra một file log như sau:

chkrootkit > mylogfile.txt

Sau khi hoàn thành, chỉ cần mở file đó lên bằng trình soạn thỏa văn bản.

Sử dụng Rootkit Hunter (rkhunter)

Rootkit Hunter có hoạt động tương tự chkrootkit, nhưng về cơ bản chức năng của nó là kiểm tra các tập tin bị hỏng. Phần mềm này bao gồm cả các SHA-1 hash của các tập tin hệ thống phổ biến. Nếu thấy sự khác biệt, nó sẽ đưa ra cảnh báo lỗi thích hợp. Rootkit Hunter được coi là toàn diện hơn chkrootkit bởi nó được tích hợp khả năng kiểm tra trạng thái mạng, các mô-đun kernel và một số phân vùng khác mà chkrootkit không quét tới.

Để bắt đầu tiến hành việc quét thông thường chỉ cần chạy lệnh sau (bạn có thể cần đến “sudo” từ quyền root):

rkhunter -c

Khi hoàn thành bạn sẽ thấy một bảng tóm tắt kết quả vừa quét được:

Mặc định Rootkit Hunter sẽ tạo ra một file log và lưu lại tại /var/log/rkhunter.log.

Kết luận

Các kết quả trên dù là bằng phần mềm hay phương pháp thủ công đều chưa hẳn là chính xác tuyệt đối nên bạn cần chú ý điều tra thật kỹ trước khi thực hiện một hành động nào đó. Hy vọng một trong những cách trên có thể giúp ích cho hệ thống của các bạn chống lại những mối đe dọa trước khi chúng trở nên nghiêm trọng.