隱匿技術 Rootkit
rootkit 這個名詞,來自 root 與 kit 兩個字的結合。root 是 unix 系統中管理者的名稱,代表 unix 系統裡的最高權限;kit 則是工具套件的意思。
rootkit 是一套要可以讓攻擊者取得受害電腦最高權限的工具,為了維持以後與該部電腦之聯繫,攻擊者利用 root 權限隱藏與電腦的溝通,不讓管理者發現。 實際上 rootkit 所做的就是隱藏攻擊者的蹤跡並植入一些可以收集使用者帳號與密碼的工具。在 unix 環境中,攻擊者進入電腦後,首要工作就是安裝 rootkit,但通常必須具備 root 帳號的權限才能夠安裝 rootkit,所以攻擊者就會利用已知的遠端遙控弱點或其他破解方式來取得 root 的帳號與密碼。 rootkit 工具能偽裝成正常的程式,暗中把真正的程式換掉,並留下一些特殊的後門 ,以方便往後控制主機運作,或進行資料竊取。
rootkit 也稱為後門程 或 木馬程式。 駭客利用各種方法 (遠端攻擊、密碼猜測、暴力破解...等) 來取得系統的 root 權後,即可在目標主機上面安裝 rootkit 來隱藏入侵的蹤跡,並且保留下次使用 root 帳號的權限,所以說 rootkit 是讓攻擊者再一次進入您電腦的工具。 某些複雜的 rootkit 還可提供攻擊者 telnet、shell 與 finger 等服務,並可用來清理 /var/log和 /var/adm 目錄與其他檔案。
如何防禦:
清查後門 | 追查入侵原因 | 追蹤入侵來源 |
做好重灌系統的心理準備 | 備份重要檔案 | 做好重灌系統 |
加強安全防駭知識 | 注意相關安全訊息 | 勤補系統 |
善用工具 (如: 安裝檢查檔案系統完整性的工具: Tripware; 安裝任何程式套件之前,使用 MD5 checksum 比對) |
||
養成良好的網管習慣 (如: 避免用 telnet / ftp, 改用 ssh2, sftp2, scp) 持續的關心監控 努力維護主機安全 |
瀏覽數: