LINUX ROOT KIT - HOWTO

[ElviS] (elvis@sgroup.ru)

Спецвыпуск Xakep, номер #032, стр. 032-036-1

О ТОМ, КАК УСТАНОВИТЬ И ЗАЮЗАТЬ LRK5 НА ВСЮ КАТУШКУ

Какие бывают руткиты, ты уже знаешь. Знаешь, под какую ОСь какой и прочую общую инфу, но все-таки тебе хочется прочитать руководство по установке самого супер-пупер офигенного руткита, чтобы не загружаться доками, ридмишками и прочей байдой. Поэтому в этом HOWTO ты найдешь подробное руководство по установке и использованию Linux Root Kit 5 (LRK5).

Для начала ознакомимся с комплектом...

КИШКИ LINUX ROOT KIT'A

Вот какие тулзы/бэкдоры включает в себя Linux Root Kit:

bindshell port/shell daemon!

chfn Trojaned! Дает юзеру права рута.

chsh Trojaned! Дает юзеру права рута.

crontab Trojaned! Прячет нежелательные "следы" в кроне.

du Trojaned! Прячет файлы.

find Trojaned! Прячет файлы.

fix Заменяет файлы на пробэкдоренные.

ifconfig Trojaned! Прячет сниффер.

inetd Trojaned! Дает удаленный доступ.

killall Trojaned! Не дает убить процесс X(икс), с помощью killall.

Linsniffer Сниффер, просто сниффер.

login Trojaned! Позволяет хакеру логиниться под любым юзером, используя пароль к руткиту и обыкновенный login.

ls Trojaned! Прячет файлы.

netstat Trojaned! Прячет подключения.

passwd Trojaned! Дает юзеру права рута.

pidof Trojaned! Прячет процессы.

ps Trojaned! Прячет процессы.

rshd Trojaned! Дает хакеру доступ рута через rsh.

sniffchk Тулза, проверяющая работоспособность сниффера и его логи.

syslogd Trojaned! Стирает следы в логах.

tcpd Trojaned! Прячет соединения.

top Trojaned! Прячет процессы.

wted wtmp/utmp редактор.

z2 Zap2 utmp/wtmp/lastlog клинер.

УСТАНОВКА

Поговорим об установке этой замечательной программы на хакнутый комп. Первое, что тебе придется сделать, - это залить архив с руткитом и распаковать его. Предположим, что ты уже это сделал, так как это типичные действия, которые ты уже должен знать. Установка руткита предельно проста. Если ты хочешь установить LRK в стандартном режиме, то достаточно выполнить 'make all install'. Если же в теневом, то 'make shadow install'.

Пароли и прочая бодяга устанавливается в rootkit.h. Вот что там находится и зачем это нужно:

ROOTKIT_PASSWORD - пароль на руткита, соединения и прочую бодягу, где нужен пароль-икс.

ROOTKIT_******_FILE можешь заменить на произвольные имена, но так, чтобы они не очень бросались в глаза. Желательно, чтобы эти файлы были в dev, так как там туева хуча файлов, и черт ногу сломит в поисках, где там что :). Особенно много файлов типа /dev/pt***, поэтому по дефолту и стоят именно такие имена. Можешь их даже не изменять, но если тебе попадется умный админ, который любит все делать своими руками, а не с помощью спецпрограмм aka руткит-финдеров, то лучше все-таки запариться с именами. Зная стандартные файлы руткита, админ легко сделает, к примеру, cat /dev/ptys (по дефолту это лог руткита).

Если ты планируешь троянить крон, то можешь изменить и TAB_NAME, но крон по умолчанию не патчится, и протроянивать его надо своими хэндами, проапгрейженными до состояния "очумелые ручки". Между прочим, троян для крона работает только в Linux RedHat и Linux Slackware.

БАГИ

Должен предупредить тебя, что во время установки и конфигурации (configure) могут возникнуть определенные баги, как, например, у меня с дистрибутивом, взятым с ftp.uinc.ru. Пришлось немного покопаться в исходниках. Но что там надо менять, добавлять, удалять - это отдельный разговор, и посвятить тебя в тонкости языка C++ и shell'а мне не удастся в одной статье. Если трудности возникнут, попробуй обратиться ко мне на e-mail; если не буду сильно занят, то обязательно отвечу тебе на все вопросы, касающиеся этой статьи. У меня баг возник при компиляции sniffchk и самого линсниффера, так что первым делом попробуй просто убрать их из Makefile. Все? Установка прошла успешно? Молодец, приглашаю тебя в Кремль! Ну, установил ты эту штукенцию, а дальше что? А дальше лес... река... поле... :) Юзать его дальше надо! Как? Ну, так и быть, расскажу.