日本免费全黄少妇一区二区三区-高清无码一区二区三区四区-欧美中文字幕日韩在线观看-国产福利诱惑在线网站-国产中文字幕一区在线-亚洲欧美精品日韩一区-久久国产精品国产精品国产-国产精久久久久久一区二区三区-欧美亚洲国产精品久久久久

  1. 首頁(yè) > 云知道 > >

縮水版 Linux后門(mén)系列--由淺入深sk13完全分析

云知道

一.簡(jiǎn)介.

我們經(jīng)??梢詮囊恍└鉲inux入侵的朋友那里聽(tīng)到他們討論sk這個(gè)rootkit,其實(shí)sk的全稱(chēng)是suckit,意為super user control kit 。suckit這個(gè)程序可以說(shuō)是目前運(yùn)行于Linux 2.4內(nèi)核下最好的rootkit了 。

關(guān)鍵字:Linux后門(mén) Rootkit Linux入侵 suckit adore-ng ELF感染

1、背景知識(shí):什么是LKM:LKM英文是:Loadable Kernel Modules,翻譯過(guò)來(lái)就是"可加載內(nèi)核模塊程序",這是一種區(qū)別于一般應(yīng)用程序的系統(tǒng)級(jí)程序,它主要用于擴(kuò)展linux的內(nèi)核功能 。LKM可以動(dòng)態(tài)地加載到內(nèi)存中,無(wú)須重新編譯內(nèi)核 。由于LKM具有這樣的特點(diǎn),所以它經(jīng)常被用于一些設(shè)備的驅(qū)動(dòng)程序,例如聲卡,網(wǎng)卡等等 。講到這里,大家是不是回憶起MSDOS中的TSR和Windows中的VxD呢?是的,這三者其實(shí)都是差不多的東西,它們都是常駐內(nèi)存程序,并且可以捕獲任何一個(gè)系統(tǒng)中斷,功能十分強(qiáng)大,所以linux下的rootkit多為L(zhǎng)KM 。;

2、sk攻擊原理概述

sk是用過(guò)攻擊/dev/kmem來(lái)攔截和修改系統(tǒng)調(diào)用來(lái)實(shí)現(xiàn)后門(mén)和隱藏功能的 。所謂系統(tǒng)調(diào)用,就是內(nèi)核提供的、功能十分強(qiáng)大的一系列的函數(shù) 。這些系統(tǒng)調(diào)用是在內(nèi)核中實(shí)現(xiàn)的,再通過(guò)一定的方式把系統(tǒng)調(diào)用給用戶(hù),一般都通過(guò)門(mén)(gate)陷入(trap)實(shí)現(xiàn) 。系統(tǒng)調(diào)用是用戶(hù)程序和內(nèi)核交互的接口 。系統(tǒng)調(diào)用在Linux系統(tǒng)中發(fā)揮著巨大的作用,如果沒(méi)有系統(tǒng)調(diào)用,那么應(yīng)用程序就失去了內(nèi)核的支持 。我們?cè)诰幊虝r(shí)用到的很多函數(shù),如fork、open等這些函數(shù)最終都是在系統(tǒng)調(diào)用里實(shí)現(xiàn)的,比如我們有這樣一個(gè)程序:

以下是引用片段:
#include

int main(void)
{
char *name[2];

name[0] = "/bin/sh";
name[1]= NULL;

if (!fork())
execve(name[0],name,NULL);
exit(0);
}
這里我們用到了兩個(gè)函數(shù),即fork和exit,這兩函數(shù)都是glibc中的函數(shù),但是如果我們跟蹤函數(shù)的執(zhí)行過(guò)程,看看glibc對(duì)fork和exit 函數(shù)的實(shí)現(xiàn)就可以發(fā)現(xiàn)在glibc的實(shí)現(xiàn)代碼里都是采用軟中斷的方式陷入到內(nèi)核中再通過(guò)系統(tǒng)調(diào)用實(shí)現(xiàn)函數(shù)的功能的 。由此可見(jiàn),系統(tǒng)調(diào)用是用戶(hù)接口在內(nèi)核中的實(shí)現(xiàn),如果沒(méi)有系統(tǒng)調(diào)用,用戶(hù)就不能利用內(nèi)核 。所以在我們隱藏文件,隱藏網(wǎng)絡(luò)通訊,隱藏進(jìn)程信息,都要通過(guò)修改系統(tǒng)調(diào)用來(lái)實(shí)現(xiàn) 。

二、sk的特色功能
wzt覺(jué)得作為一個(gè)優(yōu)秀的linux rootkit,sk有著下面的特色:
;1:sk后門(mén)服務(wù)端程序?yàn)殪o態(tài)ELF文件,壓縮之后就幾十K的大小 。我們使用LKM后門(mén)的時(shí)候,經(jīng)常會(huì)遇到一個(gè)很尷尬的情況,就是LKM后門(mén)代碼無(wú)法在安全上編譯通過(guò),要么缺少gcc,要么缺少內(nèi)核代碼,要么編譯環(huán)境有問(wèn)題,有了sk之后,我們就不需要再為這個(gè)問(wèn)題煩惱了,我們只需要執(zhí)行一下wget下載sk,并在安全上直接執(zhí)行就OK了,方便吧,真是居家旅行之必備rootkit啊 。
2:通過(guò)對(duì)安全的任何開(kāi)放的TCP端口發(fā)送特定數(shù)據(jù)就可以激活后門(mén)回連到我們的客戶(hù)端,并且客戶(hù)端有自動(dòng)掃描功能,它會(huì)自動(dòng)掃描安全開(kāi)放的端口并發(fā)送激活指令 。特別在一些有防火墻的環(huán)境里,限制了回連的目標(biāo)端口,我們還可以指定特殊的回連端口來(lái)繞過(guò)防火墻,比如回連到80、443這種一般都開(kāi)放的TCP端口 。
【縮水版 Linux后門(mén)系列--由淺入深sk13完全分析】 3:sk后門(mén)有一個(gè)tty sniffer,什么是tty sniffer呢,通俗的說(shuō)就是一個(gè)"鍵盤(pán)記錄",不過(guò)他不但可以記錄控制臺(tái)的操作,還可以記錄遠(yuǎn)程連接的操作,它根據(jù)程序指定的關(guān)鍵字抓取tty記錄,主要包括ssh,passwd,telnet,login等關(guān)鍵字,和thc.org的keylogger相比有過(guò)之而無(wú)不及啊,通過(guò)這個(gè)功能我們可以很容易的抓到相關(guān)密碼而擴(kuò)大戰(zhàn)果,特別是在root密碼設(shè)置十分BT的時(shí)候,我們無(wú)法用john來(lái)暴力破解,tty log就可以記錄到root的密碼,甚至是其他linux的root密碼 :)

推薦閱讀