Bir Linux sunucuda CPU kullanımı normal, bellek yeterli ve servisler aktif olabilir. Ancak bu durum her zaman her şeyin yolunda olduğu anlamına gelmez. Dışa doğru anormal trafik, bilinmeyen bağlantılar ya da loglara yansımayan hareketler fark edilirse, problem performans değil güvenlik temelli olabilir. Bu tür durumlarda rootkit ihtimali dikkate alınmalıdır.
Rootkit Nedir?
Rootkit, bir sistemde aktif olduğu halde tespit edilmemek için gizlenme mekanizmaları kullanan zararlı yazılım türüdür. Komut çıktılarının manipüle edilmesi veya çekirdek seviyesinde müdahale edilmesi bu yöntemlerden bazılarıdır. Bu sayede süreçler, dosyalar ve ağ trafiği görünmez olabilir. Rootkit’in amacı saldırı yapmak değil, saldırının fark edilmesini engellemektir.
Rootkit Türleri
| Rootkit Türü | Çalıştığı Katman | Ne Yapar | Tespit Zorluğu |
|---|---|---|---|
| Userland Rootkit | Kullanıcı alanı | Sistem komutlarını (ls, ps, netstat) değiştirir | Orta |
| Kernel Rootkit | Çekirdek seviyesi | Kernel modüllerini değiştirir, her şeyi gizler | Çok zor |
| Bootkit | Boot süreci | Sistem açılırken yüklenir | Çok zor |
| Firmware Rootkit | BIOS / UEFI | Disk silinse bile kalıcıdır | Aşırı zor |
Linux sistemlerde rootkit araması yapılırken çoğunlukla Rkhunter ve Chkrootkit araçları kullanılır. Bu araçlar her saldırıyı tespit edemez ve tek başına karar verdirici değildir. Buna rağmen doğru şekilde kullanıldığında, olası tehditler için erken uyarı sağlayan önemli bir güvenlik kontrolü haline gelirler.
Kurulum Öncesi Yapılandırma
Rootkit tarama araçları, sistemin mevcut durumunu referans alır. Güncelleme yapılmış veya yeni değişiklikler uygulanmış bir ortamda tarama başlatılırsa, üretilen uyarıların önemli bir kısmı yanlış alarm olabilir.
Yetki Ve Ortam Kontrolü
Aşağıdaki komutlar, hangi kullanıcıda olduğunuzu ve temel sistem bilgisini sabitlemenizi sağlar.
whoami<br>uname -a<br>uptime Chkrootkit ile Temel Rootkit Taraması
Chkrootkit, sade yapısı ile hızlı bir kontrol sağlar. Kurulum sonrası ek ayar gerektirmeden kısa sürede tarama tamamlanır. Bu nedenle sistem yöneticileri tarafından genellikle doğrulama amaçlı kullanılır.
Kurulum
Debian Ubuntu için
apt install rkhunter -yRHEL Alma Rocky için
dnf install epel-release -y<br>dnf install rkhunter -ySistemin temiz durumundaki dosya özellikleri ve hash değerleri kaydedilmelidir.
sudo rkhunter --propupdBu adım atlanırsa sonraki taramalarda üretilen uyarıların büyük kısmı anlamsız olur. Araç, hangi değişikliğin normal olduğunu ayırt edemez. Tarama şu şekilde yapılır.
sudo rkhunter --check --skTarama sonrası tüm çıktılar şu dosyada toplanır.
/var/log/rkhunter.logBurada görülen her warning gerçek bir ihlal anlamına gelmez. Paket güncellemeleri, kernel değişiklikleri veya özel derlenmiş binary’ler de benzer uyarılar üretebilir.
Rootkit Tespitinde Uyarıların Analizi
Bu aşamada önemli olan, tarama aracının verdiği uyarıyı doğrulama adımlarıyla desteklemektir. Araçların ürettiği uyarılar tek başına güvenlik ihlali anlamına gelmez. Gerçek doğrulama, sistem yöneticisinin Linux komutlarını doğru okuyup yorumlamasıyla yapılır.
Kurulum
Debian Ubuntu için
apt install chkrootkit -yRHEL Alma Rocky için
dnf install chkrootkit -yTarama ve log alma
chkrootkit
chkrootkit | tee /var/log/chkrootkit.logChkrootkit çıktısında INFECTED benzeri ifadeler görüldüğünde hemen sonuca varılmamalıdır. Bazı kontroller özellikle LKM testlerinde yanlış pozitif üretebilir. Bu nedenle uyarılar mutlaka ek kontrollerle doğrulanmalıdır.
Uyarı Geldiğinde Ne Yapılmalı?
Bu aşamada amaç, tarama aracının ürettiği uyarıyı gerçek bir bulguya dönüştürebilecek doğrulama zincirini kurmaktır.
Bu aşamada tarama araçlarının ürettiği uyarılar tek başına yeterli değildir. Asıl doğrulama, sistem yöneticisinin temel Linux komutlarını doğru yorumlamasıyla yapılır.
Süreç ve Bağlantı Kontrolü
Beklenmedik süreçler ve dinleyen portlar öncelikle kontrol edilmelidir.
ps auxf | head -n 50
ss -tulpn
lsof -i -P -n | head -n 50Kullanıcılar ve Oturumlar
Anormal oturumlar ve beklenmedik kullanıcılar, rootkit kadar önemli sinyaller verebilir.
last -a | head
w
cat /etc/passwdve systemd Kalıcılık Kontrolü
Birçok kalıcılık yöntemi cron veya systemd üzerinden uygulanır. Beklenmeyen zamanlayıcılar ve servisler not edilmelidir.
crontab -l
ls -la /etc/cron.*
systemctl list-timers --all
systemctl list-unit-files --state=enabled | head -n 50Şüpheli İzinlere Sahip Dosyalar
SUID ve SGID izinleri olan dosyalar otomatik olarak zararlı kabul edilmemelidir. Buna rağmen bu dosyalar yetki yükseltme riskini barındırır. Tespit edilen dosyaların listelenmesi ve daha sonra kontrol edilmesi gerekir.
find / -xdev -type f -perm -4000 -print 2>/dev/null | head -n 50
find / -xdev -type f -perm -2000 -print 2>/dev/null | head -n 50Tamamlayıcı Güvenlik Araçları
Bu araçlar disk üzerindeki izlere odaklanır. Kernel seviyesinde gizlenen veya yalnızca bellek üzerinde çalışan tehditler klasik taramalardan kaçabilir. Bu nedenle tamamlayıcı araçlar kullanılmalıdır.
AIDE
Dosya bütünlüğü takibi yapar. Hash tabanlı çalışır.
apt install aide -y
aideinit
aide --checkLynis
Sistem sıkılaştırma ve güvenlik denetimi yapar. Yanlış yapılandırmaları ortaya çıkarır.
apt install lynis -y
lynis audit systemAuditd
Sistemdeki kritik olayları kayıt altına alır. Yetki yükseltme, dosya erişimi, değişiklikler.
apt install auditd -y
systemctl enable auditd --nowSık Sorulan Sorular
Rootkit ile backdoor arasındaki teknik fark nedir?
Backdoor, sisteme uzaktan erişim sağlayan bir giriş noktasıdır. Rootkit ise bu erişimi, süreçleri ve dosyaları gizleyen bir katmandır. Çoğu senaryoda rootkit, mevcut bir backdoor veya yetki yükseltme sonrası devreye girer ve saldırının fark edilmesini engeller.
Kernel rootkit, kullanıcı alanı rootkit’ten teknik olarak neden daha tehlikelidir?
Kernel rootkit’ler çekirdek seviyesinde çalıştığı için sistem çağrılarını manipüle edebilir. ps, ls, netstat, ss gibi araçların ürettiği çıktılar kernel üzerinden filtrelenir.
Rootkit taraması neden canlı sistemde güvenilir değildir?
Eğer rootkit aktifse, tarama aracının kendisi manipüle edilmiş çıktılarla çalışır. Bu nedenle ileri seviye analizlerde offline tarama veya farklı bir kernel ile boot edilerek inceleme tercih edilir.
Bellek üzerinde çalışan rootkit’ler disk taramalarından neden kaçar?
Disk tabanlı rootkit’ler dosya, modül veya binary bırakır. Bellek tabanlı rootkit’ler ise yalnızca RAM üzerinde yaşar ve reboot sonrası kaybolur. Bu tür tehditler rkhunter veya chkrootkit tarafından tespit edilemez.