linux系统:Linux系统环境下入侵工具Knark分析及防范

on 2009-9-2 in Linux | 0 Comment
 


本文讨论了Linux环境下攻击者入侵成功以后常常使用些后门技术并且对最著名rootkit工具的?knark进行了详细分析并且指出了在发现系统被入侵以后如何发现是否是kark及如何恢复

什么是"rootkit"?

入侵者入侵后往往会进行清理脚印和留后门等工作最常使用后门创建工具就是rootkit不要被名字所迷惑这个所谓“rootkit”可不是给超级用户root用它是入侵者在入侵了太主机后用来做创建后门并加以伪装用这个包里通常包括了日志清理器后门等同时包里通常还带有些伪造ps、ls、who、w、netstat等原本属于系统本身这样员在试图通过这些命令查询系统状况时候就无法通过这些假系统发觉入侵者行踪

些黑客组织中,rootkit (或者backdoor) 是个非常感兴趣话题各种区别rootkit被开发并发布在ernet上在这些rootkit的中, LKM尤其被人关注, 它是利用现代操作系统模块技术作为内核部分运行,这种rootkit将会越来越比传统技术更加强大更加不易被发觉旦被安装运行到目标机器上, 系统就会完全被控制在hacker手中了甚至系统管理员根本找不到安全隐患痕迹, 他们不能再信任它们操作系统了后门就是甚至系统管理员企图弥补系统漏洞时候也可以给hacker系统访问权限

入侵者通过:设置uid, 系统木马, cron后门等思路方法来实现入侵者以后从非特权用户使用root权限

设置uid 黑客在些文件系统理放些设置uid脚本无论何时它们只要执行这个它们就会成为root

系统木马黑客替换些系统,如"login"因此, 只要满足条件那些就会给黑客最高权限

Cron后门黑客在cron增加或修改些任务,在某个特定时间运行他们就可以获得最高权限

具体可能通过以下思路方法给予远程用户以最高访问权限: ".rhost" 文件, ssh认证密钥, bind shell, 木马服务

".rhosts" 文件旦 "+ +"被加入某个用户.rhosts文件里, 任何人在任何地方都可以用这个账号来登陆进来而不需要密码

ssh认证密钥黑客把他自己公共密钥放到目标机器ssh配置文件"authorized_keys"里, 他可以用该账号来访问机器而不需要密码

Bind shell黑客绑定个shell到个特定tcp端口任何人telnet这个端口都可以获得交互shell更多精巧这种方式后门可以基于udp,或者未连接tcp, 甚至icmp协议

Trojaned服务任何打开服务都可以成为木马来为远程用户提供访问权限例如, 利用inetd服务在个特定端口来创建个bind shell或者通过ssh守护进程提供访问途径

在入侵者植入和运行后门的后, 他会设法隐藏自己存在证据这主要涉及到两个方面问题: 如何来隐藏他文件且如何来隐藏他进程

为了隐藏文件, 入侵者需要做如下事情: 替换些系统常用命令如"ls", "du", "fsck"在底层方面, 他们通过把硬盘里些区域标记为坏块并把它文件放在那里或者如果他足够疯狂他会把些文件放入引导块里

为了隐藏进程, 他可以替换 "ps", 或者通过修改argv来使看起来象个合法服务有趣是把改成中断驱动它就不会出现在进程表里了

RootKit-Knark历史

Knark是第 2代新型rootkit工具-其基于LJM(loadable kernel module)技术使用这种技术可以有效地隐藏系统信息作者在代码和README文件中都标注有不承担责任声明声明该代码不可以被用作非法活动然而该软件Software可以容易地被用于这种目

Knark是由[email protected]编写主要基于http://www.dataguard.no/bugtraq/1997_4/0059.html中Runar Jensen编写代码heroin.c设计思想主要来自于Phrack 52中plaguez发表文章Weakening the Linux Kernel"在重新编写了heroin.c大部分代码以后Creed决定重新命名为"Knark"在瑞典语中是指吸毒者Creed编写其他软件Software可以在www.sekure.net/~happy-h/得到但是由于该站点只有瑞典语版本因此应用并不广泛

Knark个公开版本是0.41发布于June, 1999可以在B4B0 #9中索引到它:http://packetstorm.secury.com/mag/b4b0/b4b0-09.txt随后0.50和0.59被发布当前版本是0.59可以从这里下载0.59版

Knark0.59具有以下特性:

隐藏或显示文件或目录

隐藏TCP或UDP连接

执行重定向

非授权地用户权限增加("rootme")

改变个运行进程UID/GID工具

非授权地、特权远程执行守护进程

Kill –31来隐藏运行进程

联合使用执行重新定向和文件隐藏入侵者能提供各种后门执行由于执行重定向是在内核级别进行因此文件检测工具不会发现文件被修改-原始执行并没有被修改因此配置检测工具在路径环境中也不会发现任何异常

如果Knark结合另外个用来隐藏系统当前加载模块LKM工具modhide就可能实现甚至通过lsmod命令也不能发现knark存在


Tags:  linux系统怎么样 linux文件系统 linux系统安装 linux系统

延伸阅读

最新评论

发表评论