РУТКИТЫ ПОД ПРАВИЛЬНУЮ ОСЬ

[ElviS] (elvis@sgroup.net)

Спецвыпуск Xakep, номер #032, стр. 032-078-3

Что же может данный руткит? А может он вот что: прячет процесс, аттачит сигнал -32 (по дефолту) к команде kill, то есть, если выполнить kill -32 pid, pid, который ты указал, спрячется :); также синапсис прячет себя в нетстате, ныкает пользователя в who/finger/w, а еще он умеет выкидывать такой интересный финт: если uid пользователя, к примеру, 1337, то он получает привилегии рута :). В общем, неплохая штуковина.

Приведу некоторые переменные программы для активации/деактивации функций: muid - права рута, hidf - скрытие процесса, unin - загрузка модуля, hidn - сокрытие ip, портов, флагов в нетстате, hidu - скрыть юзера, hidm - скрыть LKM (Linux Kernel Module).

LINUX ROOT KIT AKA LRK

Об этой магической тулзе я расскажу поподробнее. Ведь именно на ней основывается большая часть "самодельных" руткитов. LRK написан человеком, известным как Lord Somer. Этот зверский набор содержит в себе туеву хучу пробэкдоренных сервисов: сhfn, chsh, crontab, du, find, ifconfig, inetd, killall, linsniffer, login, ls, netstat, passwd, pidof, ps, rshd, syslogd, tcpd, top, sshd, su. В комплект также входят свои утилиты: bindshell, fix, linsniffer, thesniff, sniffchk, wted, z2. Текущая версия руткита 6.0.

Теперь о том, что эта тулза конкретно умеет. А умеет она давать рута через команды chfn, chsh, passwd, rshd, bindshell, login. Может прятать свои и другие файлы, процессы, порты, соединения. Утилита fix меняет время и системную дату файлов, с помощью if-конфига прячет флаг PROMISC, когда юзаешь сниффер. Killall позволяет сделать процессы неубиваемыми, содержит в себе неплохой сниффер. Если логинишься по ssh под пользователем, которого ты указал при конфигурации руткита (по дефолту rewt), то ничего не будет писаться в логи. Syslogd не ведет логи на определенного пользователя, делает доступ с твоего хоста нелогируемым. Z2 aka Zapper2 удаляет последние utmp/wtmp/lastlog. Также Linux Root Kit содержит много других полезных вещей, рекомендую тебе прочитать документацию (README из архива), там описано намного больше возможностей, которые могут сыграть важную роль в конкретном случае.

ROOTKIT-SUNOS

А теперь немного вкусностей. Мы поговорим о рутките, который относится к группе весьма дефицитных. Это руткит под SunOS и называется он rootkitSunOS.tgz, просто и понятно.

Стоит заметить, что этот руткит чем-то похож на LRK ;). Rootkit-SunOS троянит login, netstat, ps, ls, du. Содержит в себе сниффер - es, логклинер, тот же самый, что и в lrk - z2 (znipper2), а также fix, который меняет дату и время на "правильные". Может давать и не давать своим процессам suid права. Скрывает процессы, порты, файлы, соединения, пользователей. Правда, в скрытии процессов есть косяк: тулза top показывает все процессы полюбэ ;(, и это не есть гут, но автор работает над патчем.