特别申明本文是高俊峰著作的《高性能Linux架构实战》中的一小段拿来与各位同僚分享。
rootkit是Linux平台下最常见的一种后门工具,他主要通过替换系统文件来达到和隐蔽的目的,这种比普通后门更加危险和隐蔽,普通的检测工具和检查手段很难发现这种。rootkit能力极强,对系统的危害很大,它通过一套工具来建立后门和隐藏,从而人让***者保住权限 ,以使它在任何时候都可以是用root权限登陆系统。
rookkit主要有两种类型:文件级别和内核级别
1、文件级别rootkit
文件级别的rootkit一般通过程序漏洞或者系统漏洞进入系统后,通过修改系统重要文件来达到隐藏自己的目的。在系统遭受rootkit***后,合法的文件被***程序代替,变成了外壳程序,而其内部是隐藏者的后门程序。通常容易被rootkit替换的系统程序有login、ls、ps、ifconfig、du、find、netstat等,其中login程序是最经常被替换的,因为当访问Linux是,无论是通过本地登录还是远程登录,/bin/login/程序都会运行,系统将通过/bin/login来收集并核对 用户的账号和密码,而rootkit就是利用这个程序的特点,使用一个带有权限后门密码的/bin/login/来替换系统的/bin/login/,这样的***通过输入设定好的密码就能轻松进入系统。即使系统管理员修改root密码或者清除root密码,***者还是一样能轻松进入系统。此时即使系统管理员修改root密码或者清除root密码,***者通过输入设定好的密码一样能通过root用户登录系统。通常***者在进入Linux系统后,会进行一系列的***动作,最常见的是安装嗅探器收集本机或者网络中的重要数据。在默认的情况下,Linux中也有一些系统文件会监控这些工具动作,例如ifconfig命令,所以***者为了避免被发现,会想法设法替换其他系统文件,常见的就是ls、ps、ifconfig、du、find、netstat等。如果这些文件都被替换,那么在系统层面就很难发现rootkit已经在系统中运行了。
这就是文件级别的rootkit,对系统维护威胁很大,目前最有效的防御方法是定期对系统重要文件的完整性进行检查,如果发现文件被修改或者替换,那么很可能系统已经遭受了rootkit***。检查文件完整性的工具很多,常见的有Tripwire、aide等,可以通过这些工具定期检查文件系统的完整性,以检测系统是否被rootkit***。2、内核级别的rootkit
内核级别rootkit是比文件级别rootkit更高级的一种***方式,它可以是***者获得对系统底层的完全控制权,此时***者可以修改系统内核,进而截获运行程序向内核提交的明亮,并将其重定向到***者所选择的程序并运行次程序,也就是说,当用户要运行程序A时,被***者修改过的内核会假装执行A程序,而实际上执行了程序B。
内核级别的rootkit主要依附在内核上,它并不对系统文件做任何修改,因此一般的检测工具很难检测到它的存在,这样一旦系统内核被植入rootkit,***者就可以对系统为所欲为而不被发现。目前针对内核级别的rootkit还没有很好的防御工具,因此,做好系统安全防范就非常重要,将系统维持在最小权限内工作,只要***者不能获取root权限,就无法在内核中植入rookit.下一篇中将分享到rootkit后门检测工具chkrootkit安装方法,及使用和缺点
来源:51CTO
作者:三键客
链接:https://blog.51cto.com/13131277/2364895