特別申明本文是高俊峯著作的《高性能Linux架構實戰》中的一小段拿來與各位同僚分享。
rootkit是Linux平臺下最常見的一種後門工具,他主要通過替換系統文件來達到和隱蔽的目的,這種比普通後門更加危險和隱蔽,普通的檢測工具和檢查手段很難發現這種。rootkit能力極強,對系統的危害很大,它通過一套工具來建立後門和隱藏,從而人讓***者保住權限 ,以使它在任何時候都可以是用root權限登陸系統。
rookkit主要有兩種類型:文件級別和內核級別
1、文件級別rootkit
文件級別的rootkit一般通過程序漏洞或者系統漏洞進入系統後,通過修改系統重要文件來達到隱藏自己的目的。在系統遭受rootkit***後,合法的文件被***程序代替,變成了外殼程序,而其內部是隱藏者的後門程序。通常容易被rootkit替換的系統程序有login、ls、ps、ifconfig、du、find、netstat等,其中login程序是最經常被替換的,因爲當訪問Linux是,無論是通過本地登錄還是遠程登錄,/bin/login/程序都會運行,系統將通過/bin/login來收集並覈對 用戶的賬號和密碼,而rootkit就是利用這個程序的特點,使用一個帶有權限後門密碼的/bin/login/來替換系統的/bin/login/,這樣的***通過輸入設定好的密碼就能輕鬆進入系統。即使系統管理員修改root密碼或者清除root密碼,***者還是一樣能輕鬆進入系統。此時即使系統管理員修改root密碼或者清除root密碼,***者通過輸入設定好的密碼一樣能通過root用戶登錄系統。通常***者在進入Linux系統後,會進行一系列的***動作,最常見的是安裝嗅探器收集本機或者網絡中的重要數據。在默認的情況下,Linux中也有一些系統文件會監控這些工具動作,例如ifconfig命令,所以***者爲了避免被發現,會想法設法替換其他系統文件,常見的就是ls、ps、ifconfig、du、find、netstat等。如果這些文件都被替換,那麼在系統層面就很難發現rootkit已經在系統中運行了。
這就是文件級別的rootkit,對系統維護威脅很大,目前最有效的防禦方法是定期對系統重要文件的完整性進行檢查,如果發現文件被修改或者替換,那麼很可能系統已經遭受了rootkit***。檢查文件完整性的工具很多,常見的有Tripwire、aide等,可以通過這些工具定期檢查文件系統的完整性,以檢測系統是否被rootkit***。2、內核級別的rootkit
內核級別rootkit是比文件級別rootkit更高級的一種***方式,它可以是***者獲得對系統底層的完全控制權,此時***者可以修改系統內核,進而截獲運行程序向內核提交的明亮,並將其重定向到***者所選擇的程序並運行次程序,也就是說,當用戶要運行程序A時,被***者修改過的內核會假裝執行A程序,而實際上執行了程序B。
內核級別的rootkit主要依附在內核上,它並不對系統文件做任何修改,因此一般的檢測工具很難檢測到它的存在,這樣一旦系統內核被植入rootkit,***者就可以對系統爲所欲爲而不被發現。目前針對內核級別的rootkit還沒有很好的防禦工具,因此,做好系統安全防範就非常重要,將系統維持在最小權限內工作,只要***者不能獲取root權限,就無法在內核中植入rookit.下一篇中將分享到rootkit後門檢測工具chkrootkit安裝方法,及使用和缺點