LINUX ROOT KIT - HOWTO

[ElviS] (elvis@sgroup.ru)

Спецвыпуск Xakep, номер #032, стр. 032-036-4

ПОДТИРАЕМ ЛОГИ

sshd - теперь он стал круче! Если ты заходишь под логином rewt и используешь пароль на руткит, то логи не ведутся, а если ты заходишь через обыкновенного юзера, то логи ведутся как и прежде.

syslogd - стирает логи, в которых присутствуют слова/ip/sockets/фразы, указанные в ROOTKIT_LOG_FILE, который задается в rootkit.h. Вот примерный вид файла ROOTKIT_LOG_FILE. Заметь, что это единственный файл, где НЕ надо проставлять цифры (типы) перед тем, что надо скрыть. Тут все однотипное:

elvis-host.org

194.84.8.1

rshd

При таком содержании файла будут стираться/не писаться логи записи, в которых встречаются сочетания символов elvis-host.org, 194.84.8.1 и rshd.

tcpd - разрешает доступ с определенного хоста, заданного в фале, который указывается в параметре ROOTKIT_ADDRESS_FILE файла rootkit.h (во как мудрено высказался :)), без всякого ведения логов. Примерное содержание фала ROOTKIT_ADDRESS_FILE:

1 194.84.8.1

2 10.4.0.1

Это позволит юзерам, подконнектившимся с ip 194.84.8.1 и 10.4.0.1, залогиниться в систему без соответствующих записей в логах.

top - идентично ps.

z2 - zapper, эта программа позволяет стирать utmp/wtmp/lastlog пункты с определенным username'ом.

Ну как, научился? Не стоит благодарностей! Лучше валютой :)! На этом HOWTO подходит к концу. Спасибо за внимание, следи за обновлениями руткитов. Желаю удачи!

Полезная ссылка:

http://www.east-ua.kharkov.ru/modules.php?op=modload&name=News&file=article&sid=176

Руткит LRK5 писался под ядро 2.X, так что не выпучивай глаза и не обвиняй меня и создателя руткита в том, что он у тебя не работает под старой осью.