Иллюстрированный самоучитель по Secure Web


Программы типа "троянский конь" - часть 13


lockd 30344 1 (autociean)

sunrpc 52132 1 (autociean) [lockd]

rt!8139 11748 1 (autociean)

Как видно из приведенного фрагмента, модуль ядра knark был успешно загружен. Кроме того, очевидно, что системному администратору не составит труда обнаружить этот модуль. Поэтому абсолютно закономерно, что взломщик захочет оставить свою деятельность незамеченной. Для того чтобы удалить данные о модуле knark из результатов, предоставляемых утилитой Ismod, злоумышленники могут воспользоваться модулем modhide.o (еще одним компонентом пакета knark)

[shadow]#/sbin/insmod modhide.o

modhide.o: init_module: Device or resource busy

[shadow]# /sbin/lsmod

Module Size Used by

nls_iso8859-I 2240 1 (autociean)

lockd 30344 1 (autociean)

sunrpc 52132 1 (autociean) [lockd]

rt!8139 11748 1 (autociean)

Теперь, после повторного запуска утилиты Ismod, модуль knark таинственным образом "исчезнет" из поля зрения администратора.

К другим интересным утилитам, входящим в состав пакета knark, относятся следующие.

  •  hidef. Используется для сокрытия файлов.
  •  unhidef. Служит для отображения скрытых файлов.
  •  ered. Применяется для настройки команды ехес, используемой для перенаправления ввода-вывода. Благодаря этому вместо исходных версий утилит могут выполняться программы типа "троянский конь".
  •  nethide. С помощью этой утилиты можно скрыть записи в файлах /proc/net./tcp и /proc/net/udp. Именно из этих файлов получает информацию утилита netstat. Указанные данные злоумышленник может использовать для сокрытия входящих/исходящих соединений взломанной системы.
  •  taskhack. Эта утилита позволяет изменить идентификаторы UID и GID запущенных процессов. Таким образом, взломщик в любой момент может изменить владельца процесса /bin/sh (выполняющегося с привилегиями обычного пользователя) и сделать его владельцем пользователя root (с UID 0).
  •  rехес. Эта утилита применяется для удаленного выполнения команд на сервере, на котором установлен пакет knark. Она обеспечивает возможность использования ложного исходного адреса, что позволяет выполнять команды без выявления их источника.



  • Начало  Назад  Вперед