Rootkits |
Ett rootkit är program / script för att dölja ett intrång på en maskin så att man kan behålla access till maskinen i fråga utan att upptäckas. De finns både till Win32 och *nix. Exempel på saker man kan göra med rootkits är dölja processer, dölja inloggade användare, tcp / udp connections, kataloger / filer osv. Möjligheterna är oändliga.
Exempel på rootkits är:
Knark
SucKIT (användes mycket nyligen på Debian projektets servrar (läs mera)
slapper
*ladda ner / läs om flera
Vi har valt att titta lite närmare på Knark:
|
| |
Knark |
hidef / unhidef |
| Notera katalogen "rootkittet" som ligger i roten (/) på våran maskin. |
 |
| |
| Här kör vi den binära filen hidef och ger den parametern att gömma katalogen "rootkittet". För att sedan lista katalogerna. |
 |
| |
| Här kör vi den binära filen unhidef för att åter igen visa katalogen "rootkittet". |
 |
| |
ered |
| Här testkör vi filerna test.sh och host för att visa deras output. |
 |
| |
Vi kör den binära filen ered med parameter som säger till den att "när en användare kallar på /usr/bin/host exekvera test.sh istället"
Sedan kör vi "host" vilket leder till att test.sh exekveras istället utan att vi märker någon skillnad. |
 |
| |
rootme |
| Här har vi loggat in som en vanlig användare (io) på systemet och använder oss utav "rootme" för att erhålla administratörsrättigheter (root) på maskinen. |
 |
| |
| |
| Hur kan man då skydda sig från rootkits? Exempel på program som är gjort för att upptäcka just rootkits är "chkrootkit".
Vi testade detta på vår maskin som vi hade infekterad med knark, till vår stora förvåning hittade den ingenting. Ganska skrämmande då knark är ett
välkänt rootkit. Man kan ju bara hoppas att den lyckas bättre med andra.
|
Det finns ganska stor ovisshet om vad ett rootkit egentligen är,
här
ett exempel från idg.se:
rootkit
en uppsättning program för dataintrång. Ett rootkit installeras i
smyg på en dator i ett datornät av en person som har, eller har
skaffat sig, behörighet som vanlig användare. Ett rootkit samlar in
information som användarnamn och lösenord. Denna information använder
inträngaren för att logga in som administratör eller, allra helst,
som rot, den som har makten över hela nätet. |