अनहाइड के साथ छिपी हुई लिनक्स प्रक्रियाओं को उजागर करें:अपने सिस्टम की सुरक्षा को मजबूत करें

<पी> जबकि जीएनयू/लिनक्स एक अत्यंत सुरक्षित ऑपरेटिंग सिस्टम है, बहुत से लोग सुरक्षा की झूठी भावना में फंस जाते हैं। उनका यह गलत विचार है कि कभी कुछ नहीं हो सकता क्योंकि वे सुरक्षित वातावरण में काम कर रहे हैं। यह सच है कि लिनक्स वातावरण के लिए बहुत कम मैलवेयर मौजूद हैं, लेकिन यह अभी भी बहुत संभव है कि लिनक्स इंस्टॉलेशन से अंततः समझौता किया जा सकता है। यदि और कुछ नहीं, तो रूटकिट और अन्य समान हमलों की संभावना पर विचार करना सिस्टम प्रशासन का एक महत्वपूर्ण हिस्सा है। रूटकिट उपकरणों के एक सेट को संदर्भित करता है जो तीसरे पक्ष के उपयोगकर्ताओं को एक कंप्यूटर सिस्टम तक पहुंच प्राप्त करने के बाद मिलता है जिस तक उनकी पहुंच नहीं है। इस किट का उपयोग सही उपयोगकर्ताओं की जानकारी के बिना फ़ाइलों को संशोधित करने के लिए किया जा सकता है। अनहाइड पैकेज ऐसे समझौता किए गए सॉफ़्टवेयर को तुरंत ढूंढने के लिए आवश्यक तकनीक प्रदान करता है।

<पी> अधिकांश प्रमुख लिनक्स वितरणों के लिए अनहाइड रिपॉजिटरी में है। पैकेज मैनेजर कमांड जैसे कि sudo apt-get install unhide का उपयोग इसे डेबियन और उबंटू के फ्लेवर पर इंस्टॉल करने के लिए मजबूर करने के लिए पर्याप्त है। जीयूआई एक्सेस वाले सर्वर सिनैप्टिक पैकेज मैनेजर का उपयोग कर सकते हैं। फेडोरा और आर्क वितरण के पास अपने स्वयं के पैकेज प्रबंधन सिस्टम के लिए अनहाइड के पूर्व-निर्मित संस्करण हैं। एक बार अनहाइड इंस्टॉल हो जाने पर, सिस्टम प्रशासक इसे कई अलग-अलग तरीकों से उपयोग करने में सक्षम होना चाहिए।

विधि 1:प्रक्रिया आईडी को क्रूर बनाना

<पी> सबसे बुनियादी तकनीक में यह सुनिश्चित करने के लिए प्रत्येक प्रक्रिया आईडी को बलपूर्वक लागू करना शामिल है कि उनमें से कोई भी उपयोगकर्ता से छिपा हुआ नहीं है। जब तक आपके पास रूट एक्सेस न हो, CLI प्रॉम्प्ट पर sudo unhide brute -d टाइप करें। डी विकल्प रिपोर्ट की गई झूठी सकारात्मकता की संख्या को कम करने के लिए परीक्षण को दोगुना कर देता है।

<पी> आउटपुट अत्यंत बुनियादी है. कॉपीराइट संदेश के बाद, अनहाइड अपने द्वारा की जाने वाली जाँचों की व्याख्या करेगा। वहां एक पंक्ति होगी जिसमें लिखा होगा:

<पी> [*]फोर्क() के साथ पीआईडीएस के खिलाफ क्रूर बल का उपयोग करके स्कैनिंग शुरू करना <पी> और दूसरा कथन:

<पी> [*]pthread फ़ंक्शन के साथ PIDS के विरुद्ध क्रूर बल का उपयोग करके स्कैनिंग प्रारंभ करना

<पी> यदि कोई अन्य आउटपुट नहीं है, तो चिंता का कोई कारण नहीं है। यदि प्रोग्राम के ब्रूट सबरूटीन को कुछ भी मिलता है, तो यह कुछ इस प्रकार रिपोर्ट करेगा:

<पी> छिपी हुई पीआईडी मिली:0000

<पी> चार शून्यों को एक वैध संख्या से बदल दिया जाएगा। यदि यह केवल यह पढ़ता है कि यह एक क्षणभंगुर प्रक्रिया है, तो यह एक गलत सकारात्मक हो सकता है। जब तक यह स्पष्ट परिणाम न दे, तब तक बेझिझक परीक्षण को कई बार चलाएं। यदि अधिक जानकारी है, तो अनुवर्ती जांच की आवश्यकता हो सकती है। यदि आपको लॉग की आवश्यकता है तो आप वर्तमान निर्देशिका में लॉग फ़ाइल बनाने के लिए -f स्विच का उपयोग कर सकते हैं। प्रोग्राम के नए संस्करण इस फ़ाइल को unhide-linux.log कहते हैं, और इसमें सादा पाठ आउटपुट की सुविधा है।

विधि 2:/proc और /bin/ps की तुलना करना

<पी> इसके बजाय आप यह सुनिश्चित करने के लिए कि यूनिक्स फ़ाइल ट्री में ये दो अलग-अलग सूचियाँ मेल खाती हैं, /bin/ps और /proc प्रक्रिया सूचियों की तुलना करने के लिए अनहाइड को निर्देशित कर सकते हैं। यदि कुछ गड़बड़ है, तो प्रोग्राम असामान्य पीआईडी की रिपोर्ट करेगा। यूनिक्स नियम निर्धारित करते हैं कि चल रही प्रक्रियाओं को इन दो सूचियों में आईडी नंबर प्रस्तुत करना होगा। परीक्षण शुरू करने के लिए sudo unhide proc -v टाइप करें। वी पर टैक करने से प्रोग्राम वर्बोज़ मोड में आ जाएगा।

<पी> यह विधि निम्नलिखित बताते हुए एक संकेत लौटाएगी:

<पी> [*] /proc स्टेट स्कैनिंग के माध्यम से छिपी हुई प्रक्रियाओं की खोज

<पी> यदि कुछ भी असामान्य घटित होता है, तो वह पाठ की इस पंक्ति के बाद दिखाई देगा।

विधि 3:Proc और Procfs तकनीकों का संयोजन

<पी> यदि आवश्यकता हो तो आप वास्तव में /bin/ps और /proc यूनिक्स फ़ाइल ट्री सूचियों की तुलना कर सकते हैं, साथ ही /bin/ps सूची की सभी जानकारी की तुलना वर्चुअल procfs प्रविष्टियों से भी कर सकते हैं। यह यूनिक्स फ़ाइल ट्री नियमों के साथ-साथ procfs डेटा दोनों की जाँच करता है। इस परीक्षण को करने के लिए sudo unhide procall -v टाइप करें, जिसमें काफी समय लग सकता है क्योंकि इसमें सभी /proc आँकड़ों को स्कैन करने के साथ-साथ कई अन्य परीक्षण भी करने होंगे। यह सुनिश्चित करने का एक उत्कृष्ट तरीका है कि सर्वर पर सब कुछ सह-संयोजक है।

<पी>

विधि 4:procfs परिणामों की तुलना /bin/ps से करना

<पी> पिछले परीक्षण अधिकांश अनुप्रयोगों के लिए बहुत अधिक शामिल हैं, लेकिन आप कुछ सुविधा के लिए प्रो फाइल सिस्टम जांच को स्वतंत्र रूप से चला सकते हैं। sudo unhide procfs -m टाइप करें, जो इन जांचों के साथ-साथ -m पर क्लिक करके कई और जांचें भी करेगा।

<पी> यह अभी भी एक जटिल परीक्षण है और इसमें कुछ समय लग सकता है। यह आउटपुट की तीन अलग-अलग पंक्तियाँ लौटाता है:

<पी> <पी> ध्यान रखें कि आप कमांड में -f जोड़कर इनमें से किसी भी परीक्षण के साथ एक पूर्ण लॉग बना सकते हैं।

विधि 5:त्वरित स्कैन चलाना

<पी> यदि आप गहराई से जांच किए बिना केवल एक त्वरित स्कैन चलाना चाहते हैं, तो बस sudo unhide fast टाइप करें, जिसे नाम से पता चलता है कि उतनी ही तेजी से चलना चाहिए। यह तकनीक proc सूचियों के साथ-साथ proc फ़ाइल सिस्टम को भी स्कैन करती है। यह एक जांच भी चलाता है जिसमें सिस्टम संसाधनों पर कॉल द्वारा प्रदान की गई जानकारी के साथ / बिन / पीएस से एकत्र की गई जानकारी की तुलना करना शामिल है। यह आउटपुट की एक पंक्ति प्रदान करता है, लेकिन दुर्भाग्य से झूठी सकारात्मकता का जोखिम बढ़ जाता है। पिछले परिणामों की समीक्षा करने के बाद दोबारा जांच करना उपयोगी है।

<पी> आउटपुट इस प्रकार है:

<पी> [*]सिस्टम कॉल, प्रो, डीआईआर और पीएस के परिणामों की तुलना के माध्यम से छिपी हुई प्रक्रियाओं की खोज <पी> आप इस स्कैन को चलाने के बाद कई अस्थायी प्रक्रियाएं देख सकते हैं।

विधि 6:रिवर्स स्कैन चलाना

<पी> रूटकिट को सूँघने की एक उत्कृष्ट तकनीक में सभी पीएस थ्रेड्स का सत्यापन शामिल है। यदि आप सीएलआई प्रॉम्प्ट पर पीएस कमांड चलाते हैं, तो आप टर्मिनल से चलने वाले कमांड की एक सूची देख सकते हैं। रिवर्स स्कैनिंग यह सत्यापित करती है कि प्रत्येक प्रोसेसर थ्रेड जो पीएस इमेजेज वैध सिस्टम कॉल प्रदर्शित करता है और प्रोसीएफएस लिस्टिंग में देखा जा सकता है। यह सुनिश्चित करने का एक शानदार तरीका है कि रूटकिट ने किसी चीज़ को नष्ट नहीं किया है। इस चेक को चलाने के लिए बस sudo unhide रिवर्स टाइप करें। इसे बहुत तेजी से चलना चाहिए. जब यह चलता है, तो प्रोग्राम को आपको सूचित करना चाहिए कि वह नकली प्रक्रियाओं की तलाश कर रहा है।

विधि 7:/bin/ps की सिस्टम कॉल से तुलना करना

<पी> अंत में सबसे व्यापक जांच में वैध सिस्टम कॉल से ली गई जानकारी के साथ / बिन / पीएस सूची से सभी जानकारी की तुलना करना शामिल है। इस परीक्षण को शुरू करने के लिए sudo unhide sys टाइप करें। इसे चलने में अन्य की तुलना में अधिक समय लगने की संभावना है। चूंकि यह आउटपुट की कई अलग-अलग लाइनें प्रदान करता है, इसलिए आप -f लॉग-टू-फ़ाइल कमांड का उपयोग करना चाह सकते हैं ताकि इसमें मिली हर चीज़ को वापस देखना आसान हो सके।

<पी> लेखक के बारे में

<पी>

<पी> केविन एरो

<पी> केविन एरो एक दशक से अधिक के उद्योग अनुभव के साथ एक अत्यधिक अनुभवी और जानकार प्रौद्योगिकी विशेषज्ञ हैं। उनके पास माइक्रोसॉफ्ट सर्टिफाइड टेक्नोलॉजी स्पेशलिस्ट (एमसीटीएस) प्रमाणन है और नवीनतम तकनीकी विकास के बारे में अपडेट रहने का उनमें गहरा जुनून है। केविन ने सॉफ्टवेयर विकास, साइबर सुरक्षा और क्लाउड कंप्यूटिंग जैसे क्षेत्रों में अपनी विशेषज्ञता और ज्ञान का प्रदर्शन करते हुए तकनीक से संबंधित विषयों की एक विस्तृत श्रृंखला पर विस्तार से लिखा है। तकनीकी क्षेत्र में उनके योगदान को उनके साथियों द्वारा व्यापक रूप से मान्यता और सम्मान दिया गया है, और जटिल तकनीकी अवधारणाओं को स्पष्ट और संक्षिप्त तरीके से समझाने की उनकी क्षमता के लिए उन्हें अत्यधिक सम्मानित किया जाता है।