LINUX ROOT KIT - HOWTO

[ElviS] (elvis@sgroup.ru)

Спецвыпуск Xakep, номер #032, стр. 032-036-3

тип 3: прячет локальный порт

тип 4: прячет удаленный порт

тип 5: прячет порты

Примерное содержание файла ROOTKIT_ADDRESS_FILE вот такое (пояснений, естественно, в самом файле нет):

0 1337 - прячет все соединения пользователя с юидом 1337.

1 194.84 - прячет все локальные соединения с ip 194.84.XXX.XXX.

2 194.84.8.1 - прячет все удаленные соединения на ip 194.84.8.1.

3 3355 - прячет локальные соединения с портом 3355.

4. 6667 - прячет все удаленные соединения на порт 6667 (ircd).

5 .ircd - прячет все ircd сокеты на хакнутой тачке.

passwd - эта программа (сервис) в протрояненном виде даст тебе права рута. Для этого нужно всего лишь знать пароль на руткит, который у тебя задан в rootkit.h. Когда программа попросит тебя ввести свой старый пользовательский пароль, забей вместо него пароль на lrk -> Wellcome root ;).

ХРЕН ТЫ НАС ЗАМОЧИШЬ!

Пропатченный killall не позволит убить процессы, перечисленные в текстовике, который указывается в параметре ROOTKIT_PROCESS_FILE в rootkit.h с помощью команды killall. Стоит заметить, что эти файлы не в силах убить даже суперюзер aka root. Есть два типа параметров, которые можно заносить в ROOTKIT_PROCESS_FILE (по умолчанию это /dev/ptyp). Первый тип - это точное название процесса, которое должно полностью соответствовать процессу, kill которого нельзя допустить. Например, в ROOTKIT_PROCESS_FILE ты можешь указать процесс lamprocess. Если рут сделает killall lamprocess, то процесс не кильнется, если же в процессах есть lamprocess2, то по команде killall lamprocess2 он успешно свернется.

Второй тип - это шаблон. Если такое сочетание символов встречается в названии одного или нескольких процессов, то с помощью killall его (их) тоже убить нельзя. К примеру, если ты указал шаблон hack, то процессы hack. Superhack, yhackx и т.д. убить killall'ом не получится. Но не забывай, что регистр символов имеет значение.

ps - аналогично killall и pidoff использует ROOTKIT_PROCESS_FILE. Скрывает процессы, терминалы, процессы с определенным именем, процессы определенного пользователя и т.д. Вот примерное содержание файла ROOTKIT_PROCESS_FILE:

0 0 - прячет все процессы пользователя с uid'ом 0, то есть рута (uid можешь поставить любой).

1 tty2 - скрывает терминал tty2.

2 hackprog - скрывает все процессы с названием hackprog.

3 hack - скрывает все процессы, в которых содержится слово hack, например, hacksoft, thehackd, hackdaemon (регистр имеет значение).

Еще раз повторюсь, не оставляй комментариев в файлах ROOTKIT_XXX_FILE, я пишу их тебе просто для разъяснения. И не оставляй пробелов после названий файлов и процессов. Текстовики, прописанные ROOTKIT_XXX_FILE, должны выглядеть так:

0 vata1

1 vata2

2 vata3

Где vataX, нужный файл, процесс, папка, порт, терминал и т.д.

РУЛИМ!

rshd - позволяет выполнять удаленные команды через rshd. Для этого надо знать пароль на руткит. Использование:

rsh -l rootkitpassword host command.

Пример:

rsh -l cerber wehackedthis.com /home/xakep/ircd/ircd -p 6667

Это запустит ircd на 6667 порту, если он существует в указанной директории.