यूनिक्स-भूमि में हम में से (और हां, मैक लोग, जिनमें आपको शामिल है) अक्सर मैलवेयर से निपटना नहीं पड़ता है। इसके सटीक कारणों के बारे में बहस के लिए एक जगह है, लेकिन कुछ लोग तर्क देंगे कि लिनक्स, बीएसडी और ओएसएक्स जितनी मुश्किल हो या विंडोज के रूप में अक्सर हिट हो जाएंगे। हालांकि, यह हमें मैलवेयर से प्रतिरक्षा नहीं करता है। हम सभी ऑनलाइन सॉफ्टवेयर डाउनलोड करते हैं, और यहां तक ​​कि जो लोग केवल अपने सॉफ्टवेयर प्रदाता के पैकेज के साथ चिपकते हैं, वे अभी भी बग या सुरक्षा छेद से पीड़ित हो सकते हैं जो गंदे लोगों या सॉफ्टवेयर को अंदरूनी अनुमति दे सकते हैं। जैसा कि पुरानी कहावत है, "रोकथाम का एक औंस इलाज के पौंड के लायक है"। आज हम आपको कुछ तरीकों से दिखाना चाहते हैं कि आप यह सुनिश्चित करने के लिए अपने सिस्टम को स्कैन कर सकते हैं कि छाया में छिपी हुई कोई भी खराब रूटकिट नहीं है।

त्वरित और गंदे व्यक्तिगत स्कैन

कुछ मैलवेयर लेखकों द्वारा उपयोग की जाने वाली एक आम तकनीक एक सामान्य सिस्टम बाइनरी को प्रतिस्थापित करने के लिए है जो अतिरिक्त या वैकल्पिक क्रियाएं लेती है। उनमें से कई संक्रमण को कठिन बनाने के प्रयास में अपरिवर्तनीय संस्करणों को अपरिवर्तनीय बनाकर खुद को बचाने की कोशिश करते हैं। सौभाग्य से, यह पीछे छोड़ देता है जिसे सामान्य सिस्टम टूल्स द्वारा उठाया जा सकता है।

जैसा कि यहां दिखाया गया है, / bin, / sbin, और / usr / bin जैसे स्थानों में आपके सिस्टम की बाइनरी फ़ाइलों के गुण प्रदर्शित करने के लिए lsattr कमांड का उपयोग करें।

 lsattr / usr / बिन 

सामान्य, गैर-संदिग्ध आउटपुट इस तरह कुछ दिखना चाहिए।

कुछ स्थानों जैसे / sbin स्कैन करने के लिए आपको रूट विशेषाधिकारों की आवश्यकता हो सकती है। अगर आउटपुट में एस, आई, या जैसे अन्य गुण होते हैं, तो संभवतः यह संकेत हो सकता है कि कुछ गलत है, और आप नीचे दिखाए गए गहन स्कैन का प्रयास करना चाहेंगे।

स्कैनर # 1 - चक्रूटकिट

Chkrootkit यह निर्धारित करने के लिए कि क्या उनमें से कोई भी ज्ञात मैलवेयर के संकेत दिखाता है, अपने सिस्टम महत्वपूर्ण फ़ाइलों को स्कैन करने का एक टूल है। यह स्क्रिप्ट का एक समूह है जो मौजूदा सिस्टम टूल्स और कमांड का उपयोग आपकी सिस्टम फ़ाइलों और / proc जानकारी को सत्यापित करने के लिए करता है। इसकी वजह से, इसे लाइव सीडी से चलाने की सिफारिश की जाती है, जहां उच्च आत्मविश्वास हो सकता है कि आधार उपकरण पहले से ही समझौता नहीं किया गया है। आप इसे कमांड लाइन से बस चला सकते हैं

 # आपको रूट विशेषाधिकार chkrootkit के लिए "सुडो" की आवश्यकता हो सकती है 

लेकिन चूंकि chkrootkit डिफ़ॉल्ट रूप से लॉग फ़ाइल नहीं बनाता है, इसलिए मैं आउटपुट को लॉग फ़ाइल में रीडायरेक्ट करने की अनुशंसा करता हूं, जैसे कि

 chkrootkit> mylogfile.txt 

और जब यह खत्म हो जाता है, तो बस अपनी पसंद के टेक्स्ट एडिटर में लॉग फ़ाइल खोलें।

स्कैनर # 2 - रूटकिट हंटर (rkhunter)

रूटकिट हंटर chkrootkit की तरह बहुत काम करता है, लेकिन हैश चेक पर इसकी अधिकांश कार्यक्षमता का आधार है। सॉफ़्टवेयर में सामान्य सिस्टम फ़ाइलों के ज्ञात अच्छे SHA-1 हैंश शामिल हैं, और यदि यह पता चलता है कि आपका अलग है, तो यह एक त्रुटि या चेतावनी उचित के रूप में जारी करेगा। रूटकिट हंटर को क्रोक्रोटकिट से भी अधिक गहन कहा जा सकता है, क्योंकि इसमें नेटवर्क स्थिति, कर्नेल मॉड्यूल और अन्य टुकड़ों के बारे में अतिरिक्त चेक शामिल हैं जो chkrootkit स्कैन नहीं करता है।

एक सामान्य स्थानीय स्कैन शुरू करने के लिए, बस चलाएं

 # आपको रूट विशेषाधिकारों rkhunter -c के लिए "sudo" की आवश्यकता हो सकती है 

जब यह पूरा हो जाए, तो आपको अपने स्कैन के परिणामों के साथ सारांश दिखाया जाएगा।

रूटकिट हंटर डिफ़ॉल्ट रूप से लॉग फ़ाइल बनाता है, और इसे /var/log/rkhunter.log पर सहेजता है।

निष्कर्ष

चेतावनी दीजिये - इन दोनों अनुप्रयोगों के साथ-साथ "मैन्युअल" विधि, झूठी सकारात्मक उत्पन्न कर सकती है। यदि आपको सकारात्मक परिणाम मिलता है, तो कोई कार्रवाई करने से पहले इसे अच्छी तरह से जांचें। उम्मीद है कि इन तरीकों में से एक समस्या बनने से पहले खतरे की पहचान करने में आपकी मदद कर सकती है। यदि आपको गंदा फाइलों या एप्लायंस का पता लगाने के तरीकों के लिए कोई अन्य सुझाव मिल गया है, तो कृपया नीचे दी गई टिप्पणियों में हमें बताएं।

छवि क्रेडिट: rykerstribe