在網(wǎng)絡(luò)安全中經(jīng)常會遇到rootkit，NSA安全和入侵檢測術(shù)語字典( NSA Glossary of Terms Used in Security and Intrusion Detection)對rootkit的定義如下：A hacker security tool that captures passwords and message traffic to and from a computer. A collection of tools that allows a hacker to provide a backdoor into a system, collect information on other systems on the network,mask the fact that the system is compromised, and much more. Rootkit is a classic example of Trojan Horse software. Rootkit is available for a wide range of operating systems.

好多人有一個(gè)誤解，他們認(rèn)為rootkit是用作獲得系統(tǒng)root訪問權(quán)限的工具。實(shí)際上，rootkit是攻擊者用來隱藏自己的蹤跡和保留root訪問權(quán)限的工具。通常，攻擊者通過遠(yuǎn)程攻擊獲得root訪問權(quán)限，或者首先密碼猜測或者密碼強(qiáng)制破譯的方式獲得系統(tǒng)的訪問權(quán)限。進(jìn)入系統(tǒng)后，如果他還沒有獲得root權(quán)限，再通過某些安全漏洞獲得系統(tǒng)的root權(quán)限。接著，攻擊者會在侵入的主機(jī)中安裝rootkit，然后他將經(jīng)常通過rootkit的后門檢查系統(tǒng)是否有其他的用戶登錄，如果只有自己，攻擊者就開始著手清理日志中的有關(guān)信息。通過rootkit的嗅探器獲得其它系統(tǒng)的用戶和密碼之后，攻擊者就會利用這些信息侵入其它的系統(tǒng)。




什么是rootkit


Rootkit出現(xiàn)于二十世紀(jì)90年代初，在1994年2月的一篇安全咨詢報(bào)告中首先使用了rootkit這個(gè)名詞。這篇安全咨詢就是CERT-CC的CA-1994-01，題目是Ongoing Network Monitoring Attacks，最新的修訂時(shí)間是1997年9月19日。從出現(xiàn)至今，rootkit的技術(shù)發(fā)展非常迅速，應(yīng)用越來越廣泛，檢測難度也越來越大。其中針對SunOS和Linux兩種操作系統(tǒng)的rootkit最多(樹大招風(fēng):P)。所有的rootkit基本上都是由幾個(gè)獨(dú)立的程序組成的，一個(gè)典型rootkit包括：



以太網(wǎng)嗅探器程程序，用于獲得網(wǎng)絡(luò)上傳輸?shù)挠脩裘兔艽a等信息。


特洛伊木馬程序，例如：inetd或者login，為攻擊者提供后門。


隱藏攻擊者的目錄和進(jìn)程的程序，例如：ps、netstat、rshd和ls等。


可能還包括一些日志清理工具，例如：zap、zap2或者z2，攻擊者使用這些清理工具刪除wtmp、utmp和lastlog等日志文件中有關(guān)自己行蹤的條目。


一些復(fù)雜的rootkit還可以向攻擊者提供telnet、shell和finger等服務(wù)。


還包括一些用來清理/var/log和/var/adm目錄中其它文件的一些腳本。


攻擊者使用rootkit中的相關(guān)程序替代系統(tǒng)原來的ps、ls、netstat和df等程序，使系統(tǒng)管理員無法通過這些工具發(fā)現(xiàn)自己的蹤跡。接著使用日志清理工具清理系統(tǒng)日志，消除自己的蹤跡。然后，攻擊者會經(jīng)常地通過安裝的后門進(jìn)入系統(tǒng)查看嗅探器的日志，以發(fā)起其它的攻擊。如果攻擊者能夠正確地安裝rootkit并合理地清理了日志文件，系統(tǒng)管理員就會很難察覺系統(tǒng)已經(jīng)被侵入，直到某一天其它系統(tǒng)的管理員和他聯(lián)系或者嗅探器的日志把磁盤全部填滿，他才會察覺已經(jīng)大禍臨頭了。但是，大多數(shù)攻擊者在清理系統(tǒng)日志時(shí)不是非常小心或者干脆把系統(tǒng)日志全部刪除了事，警覺的系統(tǒng)管理員可以根據(jù)這些異常情況判斷出系統(tǒng)被侵入。不過，在系統(tǒng)恢復(fù)和清理過程中，大多數(shù)常用的命令例如ps、df和ls已經(jīng)不可信了。許多rootkit中有一個(gè)叫做FIX的程序，在安裝rootkit之前，攻擊者可以首先使用這個(gè)程序做一個(gè)系統(tǒng)二進(jìn)制代碼的快照，然后再安裝替代程序。FIX能夠根據(jù)原來的程序偽造替代程序的三個(gè)時(shí)間戳(atime、ctime、mtime)、date、permission、所屬用戶和所屬用戶組。如果攻擊者能夠準(zhǔn)確地使用這些優(yōu)秀的應(yīng)用程序，并且在安裝rootkit時(shí)行為謹(jǐn)慎，就會讓系統(tǒng)管理員很難發(fā)現(xiàn)。



LINUX ROOTKIT IV


前面說過，大部分rootkit是針對Linux和SunOS的，下面我們介紹一個(gè)非常典型的針對Linux系統(tǒng)的rootkit--Linux Rootkit IV。Linux Rootkit IV是一個(gè)開放源碼的rootkit，是Lord Somer編寫的，于1998年11月發(fā)布。不過，它不是第一個(gè)Linux Rootkit，在它之前有l(wèi)rk、lnrk、lrk2和lrk3等Linux Rootkit。這些rootkit包括常用的rootkit組件，例如嗅探器、日志編輯/刪除工具、和后門程序的。

經(jīng)過這么多年的發(fā)展，Linux Rootkit IV功能變的越來越完善，具有的特征也越來越多。不過，雖然它的代碼非常龐大，卻非常易于安裝和使用，只要執(zhí)行make install就可以成功安裝。如果你還要安裝一個(gè)shadow工具，只要執(zhí)行make shadow install就可以了。注意：Linux Rootkit IV只能用于Linux 2.x的內(nèi)核。下面我們簡單地介紹一下Linux Rootkit IV包含的各種工具，詳細(xì)的介紹請參考其發(fā)布包的README文件。

隱藏入侵者行蹤的程序

為了隱藏入侵者的行蹤，Linux Rootkit IV的作者可謂煞費(fèi)心機(jī)，編寫了許多系統(tǒng)命令的替代程序，使用這些程序代替原由的系統(tǒng)命令，來隱藏入侵者的行蹤。這些程序包括：



ls、find、du

這些程序會阻止顯示入侵者的文件以及計(jì)算入侵者文件占用的空間。在編譯之前，入侵者可以通過ROOTKIT_FILES_FILE設(shè)置自己的文件所處的位置，默認(rèn)是/dev/ptyr。注意如果在編譯時(shí)使用了SHOWFLAG選項(xiàng)，就可以使用ls -/命令列出所有的文件。這幾個(gè)程序還能夠自動(dòng)隱藏所有名字為：ptyr、hack.dir和W4r3z的文件。


ps、top、pidof

這幾個(gè)程序用來隱藏所有和入侵者相關(guān)的進(jìn)程。


netstat

隱藏出/入指定IP地址或者端口的網(wǎng)絡(luò)數(shù)據(jù)流量。


killall

不會殺死被入侵者隱藏的進(jìn)程。


ifconfig

如果入侵者啟動(dòng)了嗅探器，這個(gè)程序就阻止PROMISC標(biāo)記的顯示，使系統(tǒng)管理員難以發(fā)現(xiàn)網(wǎng)絡(luò)接口已經(jīng)處于混雜模式下。


crontab

隱藏有關(guān)攻擊者的crontab條目。


tcpd

阻止向日志中記錄某些連接


syslogd

過濾掉日志中的某些連接信息



木馬程序

為本地用戶提供后門，包括：



chfn

提升本地普通用戶權(quán)限的程序。運(yùn)行chfn，在它提示輸入新的用戶名時(shí)，如果用戶輸入rookit密碼，他的權(quán)限就被提升為root。默認(rèn)的rootkit密碼是satori。


chsh

也是一個(gè)提升本地用戶權(quán)限的程序。運(yùn)行chsh，在它提示輸入新的shell時(shí)，如果用戶輸入rootkit密碼，他的權(quán)限就被提升為root。


passwd

和上面兩個(gè)程序的作用相同。在提示你輸入新密碼時(shí)，如果輸入rookit密碼，權(quán)限就可以變成root。


login

允許使用任何帳戶通過rootkit密碼登錄。如果使用root帳戶登錄被拒絕，可以嘗試一下rewt。當(dāng)使用后門時(shí)，這個(gè)程序還能夠禁止記錄命令的歷史記錄。


木馬網(wǎng)絡(luò)監(jiān)控程序

這些程序?yàn)檫h(yuǎn)程用戶提供后門，可以向遠(yuǎn)程用戶提供inetd、rsh、ssh等服務(wù)，具體因版本而異。隨著版本的升級，Linux Rootkit IV的功能也越來越強(qiáng)大，特征也越來越豐富。一般包括如下網(wǎng)絡(luò)服務(wù)程序：



inetd

特洛伊inetd程序，為攻擊者提供遠(yuǎn)程訪問服務(wù)。


rshd

為攻擊者提供遠(yuǎn)程shell服務(wù)。攻擊者使用rsh -l rootkitpassword host command命令就可以啟動(dòng)一個(gè)遠(yuǎn)程root shell。


sshd

為攻擊者提供ssh服務(wù)的后門程序。


工具程序

所有不屬于以上類型的程序都可以歸如這個(gè)類型，它們實(shí)現(xiàn)一些諸如：日志清理、報(bào)文嗅探以及遠(yuǎn)程shell的端口綁定等功能，包括：



fix

文件屬性偽造程序


linsniffer

報(bào)文嗅探器程序。


sniffchk

一個(gè)簡單的bash shell腳本，檢查系統(tǒng)中是否正有一個(gè)嗅探器在運(yùn)行。


wted

wtmp/utmp日志編輯程序。你可以使用這個(gè)工具編輯所有wtmp或者utmp類型的文件。


z2

utmp/wtmp/lastlog日志清理工具?？梢詣h除utmp/wtmp/lastlog日志文件中有關(guān)某個(gè)用戶名的所有條目。不過，如果用于Linux系統(tǒng)需要手工修改其源代碼，設(shè)置日志文件的位置。


bindshell

在某個(gè)端口上綁定shell服務(wù)，默認(rèn)端口是12497。為遠(yuǎn)程攻擊者提供shell服務(wù)。




如何發(fā)現(xiàn)rootkit


很顯然，只有使你的網(wǎng)絡(luò)非常安裝讓攻擊者無隙可乘，才能是自己的網(wǎng)絡(luò)免受rootkit的影響。不過，恐怕沒有人能夠提供這個(gè)保證，但是在日常的網(wǎng)絡(luò)管理維護(hù)中保持一些良好的習(xí)慣，能夠在一定程度上減小由rootkit造成的損失，并及時(shí)發(fā)現(xiàn)rootkit的存在。

首先，不要在網(wǎng)絡(luò)上使用明文傳輸密碼，或者使用一次性密碼。這樣，即使你的系統(tǒng)已經(jīng)被安裝了rootkit，攻擊者也無法通過網(wǎng)絡(luò)監(jiān)聽，獲得更多用戶名和密碼，從而避免入侵的蔓延。

使用Tripwire和aide等檢測工具能夠及時(shí)地幫助你發(fā)現(xiàn)攻擊者的入侵，它們能夠很好地提供系統(tǒng)完整性的檢查。這類工具不同于其它的入侵檢測工具，它們不是通過所謂的攻擊特征碼來檢測入侵行為，而是監(jiān)視和檢查系統(tǒng)發(fā)生的變化。Tripwire首先使用特定的特征碼函數(shù)為需要監(jiān)視的系統(tǒng)文件和目錄建立一個(gè)特征數(shù)據(jù)庫，所謂特征碼函數(shù)就是使用任意的文件作為輸入，產(chǎn)生一個(gè)固定大小的數(shù)據(jù)(特征碼)的函數(shù)。入侵者如果對文件進(jìn)行了修改，即使文件大小不變，也會破壞文件的特征碼。利用這個(gè)數(shù)據(jù)庫，Tripwire可以很容易地發(fā)現(xiàn)系統(tǒng)的變化。而且文件的特征碼幾乎是不可能偽造的，系統(tǒng)的任何變化都逃不過Tripwire的監(jiān)視(當(dāng)然，前提是你已經(jīng)針對自己的系統(tǒng)做了準(zhǔn)確的配置:P，關(guān)于Tripwire和aide的使用請參考本站的相關(guān)文章)。最后，需要能夠把這個(gè)特征碼數(shù)據(jù)庫放到安全的地方。




前一段時(shí)間，寫了幾篇rootkit分析文章，這篇權(quán)且作為這一系列文章的總結(jié)，到此為止。但是在最近發(fā)布的Phrack58-0x07(Linux on-the-fly kernel patching without LKM)中實(shí)現(xiàn)一個(gè)直接修改內(nèi)核數(shù)據(jù)結(jié)構(gòu)的rootkit，因此決定寫一個(gè)續(xù)篇。:P<br>