РУТКИТЫ ПОД ПРАВИЛЬНУЮ ОСЬ

[ElviS] (elvis@sgroup.net)

Спецвыпуск Xakep, номер #032, стр. 032-078-2

TORNKIT

Этот руткит, так же как и множество других, основан на LRK (Linux Root Kit) by J0hnny7. Текущая версия тулзы 6.66. Руткит оптимизирован под linux/x86. Это первый руткит, использующий заранее откомпилированные трояны. Содержит подмены для большого количества системных утилит, таких как: ls, login, ps, du, top, find, а также netstat. Обнаружить этот руткит весьма просто. Он оставляет много следов: создает "скрытую" от глаз админа директорию /usr/src/.puta, но это вряд ли поможет, ведь достаточно выполнить ls -a ;). Еще есть одно палево: в системе поднимаются telnetd и fingerd, даже если они были отключены (смотри, что TornKit делает с inetd.conf). Также в минусы можно записать то, что торнкит поставляется в откомпилированном виде, а не в виде исходников, а это значит, что нельзя изменить такие параметры, как "home directory" /usr/src/.puta и т.д., что может свести на нет все усилия. По идее, это делалось для того, чтобы "облегчить" установку данного руткита в систему :).

TornKit работает через SSH и через login, в отличие от 70% руткитов, работающих только по протоколу Telnet. Способов залогиниться существует просто море! Во-первых, через ssh на заданный порт (по дефолту - 47017); во-вторых, используя finger (если заюзать команду finger password@tornkit.com, на порту 2555 откроется примитивный биндшелл, к которому можно прителнетиться и наслаждаться прелестями хакнутой машины); и в-третьих, можно просто заюзать login ;). В "боекомплект" входят логклинер и сниффер. Качеством этих тулз я не очень доволен, если честно :).

Теперь опишу подробнее некоторые установочные настройки и тулзы TornKit'а:

.1file содержит в себе список тех файлов, которые будут скопированы в /usr/src/.puta;

.1proc содержит список процессов, которые будут прятаться в ps;

.1addr содержит список адресов, которые не будут показываться в нетстат (к примеру, твой ip);

.1logz содержит список программ и хостов, по которым будут чиститься логи (не слишком тщательно, но будут);

t0rnsb - логклинер;

t0rns - хреновенький сниффер;

t0rnp - фильтр логов сниффера;

Внимательно почитай ридми в архиве - там описано множество других функций и опций ТорнКита.

Неплохой руткит, если ставить его на короткий срок ;).

SYNAPSYS

Данный руткит поставляется одним большим исходником synapsys.c, написанным под Линукс с ядром 2.2.x. Исходник надо переделывать под себя (вот это по-нашему!). Текущая версия 0.4. Coded by Berserker for Neural Collapse Crew (www.neural-collapse.org). Компилировать его надо с опцией -c чтобы получить модуль, который подключается к ядру командой insmod. Синапсис основан на LKM (опять каша... ;)). Его легко отловить в /proc/modules, а также через lsmod, как и другие руткиты, устанавливающиеся в систему в виде модуля к ядру. В сети валяется "патч", который заставляет лсмод не показывать синапсис в списке модулей. В самом рутките тоже есть такая фишшка - спрятать/показать LKM (Linux Kernel Module), но доверять ей я особо не стал бы. Настраивается синапсис во время работы с помощью команды cat ;). Например, получив команду "cat trabozunin", синапсис удалит себя из системы, то бишь анинсталлится.