Fedora, Red Hat, CentOS Sistemlerde Rootkit Taraması Nasıl?

Bu makalemde Fedora, Red Hat, CentOS Sistemlerde Rootkit Taraması gerçekleştirmek için rkhunter uygulamasını kurulum ve kullanımı hakkında bilgi vermeye çalışacağım. 

Öncelikle kısaca Rootkit Nedir? bundan bahsedelim…

Rootkit Nedir? 
İlk rootkit Lane Davis ve Riley Dake tarafından SunOS 4.1.1 için yazılmıştı. Günümüzde rootkitler Windows İşletim Sistemleri gibi GNU/Linux tabanlı olmayan sistemlerde de kullanılmaktadır. 1995 yılında Sony, piyasaya sürdüğü cdlere kopya koruması amacıyla koymuş olduğu yazılım yüzünden birçok kullanıcının bilgisayarına izinsiz girişlerin yapılabilmesine olanak sağladı. Sony'nin cdlerini kullanan herkese bu rootkit bulaştı. Bu olaydan sonra Sony cdleri toplatmak zorunda kaldı. Bu olay rootkitler hakkında bilinçli olmanın ne kadar büyük bir öneme sahip olduğunu bize gösteriyor.

Rootkitler çalışan işlemler arasında kendini gizleyebilen, kötü niyetli kişilere, uzaktan bilgisayarınızın tam hakimiyetini sağlayan tespit edilmesi oldukça zor olan  programcıklardır. Rootkitlerin amacı virüslerin aksine sistem stabilitesini gözle görülür şekilde etkilemektende ziyade sistemi yavaşlatmakve yayılmak gibi bir dertleri yoktur. Buna rağmen kullanıcının kontrolü dışında sistemin tüm hakimiyetinin kötü niyetli kullanıcıların eline geçmesine neden olmaktadırlar. Kısaca kullandığımız sistemlerin bizler farkında olmadan siber saldırılarda kullanılabilecek birer client haline getirilmesini sağlamaktadır. Amacının yayılmak değil, bulunduğu sistemde varlığını gizlemenin önemide burada yatmakta. Güvenilir bir kaynaktan geldiğine inanılan bir programın üst düzey yetki ile (root) çalıştırılması zararlı bir rootkit'in sisteme kurulmasına sebep olur. Pek çoğu işletim sisteminin çekirdeğine kendini yerleştirdiği için, antivirüsler tarafından tespit edilmesi oldukça zordur.  

Çalışma şekillerine göre Rootkitler
  • Bellenim (Firmware): Rootkit bir yazılımın firmware güncellemesine kendisini kopyalar. Bu sayede sistem firmware kodun bütünlüğünü korumak amacı ile kontrol etmeyeceği için rootkit sisteme sızmış olur.
  • Gerçeklik Yaratımı (Virtualized): Rootkit bilgisayarın boot sırasında kendisini ilk sıraya alır ve sistemde varolan işletim sistemini sanal bir işletim sistemi gibi kendisinin üzerinden çalıştırır. 
  • Çekirdek Düzeyi (Kernel Level): Rootkit kendisini bir sürücü ya da başka bir program aracılığı ile çekirdeğin koduna ekler ya da çekirdeğin kodu ile değiştirir. Eğer rootkitin kodunda bir hata varsa çekirdeğin çalışma düzeninde aksaklıklar meydana gelebilir.
  • Kütüphane Düzeyi (Library Level): Rootkit sistem kayıtlarını yamayarak ekleme yaparak ya da yenisi ile değiştirerek saldıranın bilgisini gizler.    
  • Uygulama Düzeyi (Application Level): Rootkit uygulamayı trojanlı hali ile değiştirir ya da uygulamanın çalışma biçimini ekleme veya yama yaparak değiştirir.  
NOT: Crack, Key generator, kopya yazılım kullanımı rootkitler için dayanılmaz bir kaynaktır. Ayrıca günümüzde sıklıkla .ISO (MD5 kontrolünü önemi burada devriye girer) ile dosyalarınada yerleştirilmekte olan rootkitler, güvenlik açığı olan güncellenmeyen sistemlerde de kolaylıkla kendilerine yer bulmaktadır.



Fedora, Red Hat, CentOS Sistemlerde rkhunter ile Rootkit Taraması 
Farklı İşletim sistemleri için rootkit taraması yapan bir çok güvenlik yazılımı mevcut. 
Örneğin Windows İşletim Sistemi için;
Aynı şekilde GNU/Linux sistemlerde rootkit ve diğer zararlı yazılımların taranmasında kullanılan birçok uygulama mevcut.
Rkhunter Kurulumu
Rkhunter GNU/Linux sistemlerde rootkit ve diğer zararlı yazılımların taranmasında kullanılan bir uygulamadır. Bu uygulama ile sistemimizi tarayabilmek için aşağıdaki komut ile uygulamanın kurulumu gerçekleştirelim.
# cd /tmp
# wget http://downloads.sourceforge.net/project/rkhunter/rkhunter/1.4.2/rkhunter-1.4.2.tar.gz

# tar -xvf rkhunter-1.4.2.tar.gz
# cd rkhunter-1.4.2
# ./installer.sh --layout default --install

Kurulumumuzu gerçekleştirdik. Şimdi uygulamamızı güncelleyelim.
# rkhunter --update

Güncelleme işleminin ardından sistemimizde rootkit taramasını başlatalım.
# rkhunter --check

NOT: rkhunter taramalarına ilişkin log dosyaları /var/log/rkhunter.log


rkhunter parametreleri ile ilgili detaylı bilgi almak için:
# rkhunter --help

Rootkitsiz mutlu günler dileğiyle…