Книга: Linux глазами хакера
14.3. Rootkit
14.3. Rootkit
Проникнув в систему, хакер стремится укрепиться в ней и получить максимальные возможности. Например, он уже может выполнять на сервере команды от имени простого пользователя. Этого ему будет мало, поэтому следующая цель — получение максимальных прав root со всеми вытекающими отсюда последствиями.
Для решения этой задачи взломщик должен получить возможность закачивать файлы и установить в системе одну из специализированных программ, повышающих права до администратора, — называются rootkit (набор администратора). После этого взломщик выполняет команды следующим образом:
? от имени простого пользователя, правами которого обладает хакер, директивы посылаются программе rootkit;
? программа rootkit выполняет полученные команды от имени администратора.
А как же rootkit получает возможность исполнять переданные ей команды с правами root? В этом помогает злополучный SGID-бит. Если он установлен, то программа будет выполняться в системе с максимальными правами администратора.
Но не все так просто. Для rootkit нужно установить SGlD-бит и владельцем определить пользователя root. Тут есть два пути:
? Если есть возможность выполнять команды chown и chmod, то хакер сможет без проблем реализовать все необходимые действия.
? Можно подменить программу, которая уже имеет установленный SUID- или SGID-бит.
Вот почему в разд. 12.2 мы так усердно вычищали все SUID- и SGID-программы, каждая из них — это дыра в безопасности, но иногда без этой прорехи жить невозможно. Вам необходимо регулярно следить за такими программами, и в случае появления удалять из системы. Вы также должны держать под контролем все изменения, которые происходят с уже установленными SUID- и SGID-программами. Если их размер изменился, то следует бить тревогу и восстанавливать исходное состояние программы.
Вы должны быть внимательны, когда проверяете SGID-программы. Хакеры знают, что администраторы стараются свести количество таких программ к минимуму, поэтому идут на разные уловки. Например, они могут создать файл /mnt/mount с SUID-битом. Программа mount действительно требует этого бита, но должна находиться в директории /bin. Если вы просматриваете список найденных SUID-программ бегло, то можете не заметить отличие в пути или вообще не обратить на это внимания.
Помимо этого, в названиях программ может идти игра букв. Например, /bin/login не требует такого бита. Хакер может создать файл /bin/1ogin (первая буква заменена на цифру 1), и визуально программа действительно должна быть в системе, хотя и без SUID- и SGID-бита, но вы не заподозрите ее в злодеянии.
Пакеты rootkit не ограничиваются только предоставлением доступа к выполнению команд от имени пользователя root. Они могут включать еще и различные вспомогательные утилиты, такие как анализаторы сетевого трафика (sniffer), программы управления файлами журналов, позволяющие чистить следы пребывания хакера в системе, и другие полезные взломщику средства.
Загрузив и установив набор rootkit, хакер закрепляется в системе и впоследствии сможет вернуться, даже если была закрыта уязвимость, через которую он изначально проник. Вы должны уметь находить и уничтожать пакеты rootkit, чтобы преградить путь хакеру, который может раньше вас узнать о следующей дыре в системе.
Для облегчения задач администраторов добрыми людьми была разработана программа chkrootkit. Ее можно найти на сайте http://www.chkrootkit.org. На данный момент она способна обнаружить более 50 известных пакетов rootkit. Таким образом, вы без особых усилий можете отыскать и уничтожить в системе потайную дверь для хакера.
Но, как говорится, на бога надейся, а сам не плошай. Готовыми наборами rootkit пользуются только начинающие хакеры или любители. Профессиональный взломщик хорошо знаком с программированием и создаст себе инструмент самостоятельно. Тем более что это не так уж сложно, достаточно знать особенности работы ОС Linux. Поэтому вы должны научиться находить и удалять rootkit.
Определить появление rootkit-пакета вручную поможет сканирование портов. Чтобы воспользоваться потайной дверью, нужно открыть в системе порт, на котором rootkit ожидает соединение со стороны хакера. Взломщик подключается к этому каналу и управляет системой.
Для быстрого сканирования лучше всего подходит пакет nmap (www.insecure.org). Это один из самых быстрых сканеров под Linux с большими возможностями. Необходимо запустить программу проверки всех 65 535 портов. Для этого нужно выполнить команду:
nmap -р 1-65535 localhost
Параметр -р позволяет задать диапазон портов. В данном случае установлен весь диапазон от 1 до 65 535.
Помимо этого, может пригодиться один из следующих параметров:
? -sT — стандартное сканирование с установкой TCP-соединения, является самым медленным. Любая программа антисканирования увидит его (см. разд. 12.4). Если вы запускаете утилиту nmap под обычным пользователем, то по умолчанию будет применяться этот метод;
? -ss — TCP SYN-сканирование. Если вы работаете с правами root, то по умолчанию установлен этот тип, как более быстрый и к тому же неопределяемый некоторыми программами антисканирования;
? -sF — TCP FIN-сканирование. В соответствии с RFC 793, если на порт направить пакет с установленным флагом FIN (используются для завершения соединения), и этот канал окажется закрытым, то сервер должен ответить пакетом, имеющим тип RST. ОС Linux действует то стандарту, и поэтому можно легко просканировать порты с помощью этого метода. Если пакет RST не получен, то порт закрыт. А вот работа Windows далека от стандарта, и здесь результат не предсказуем;
? -sx — TCP Xmas-сканирование. Метод похож на предыдущий, только помимо этого устанавливаются флаги URG и PUSH, указывающие на срочность данных;
? -sN — TCP NULL-сканирование. На сервер направляются пустые пакеты, на которые он должен ответить ошибками;
? -I — Ident-сканирование;
? -sU — UDP-сканирование.
Смысл сканирования в том, чтобы получить от сервера хоть какой-нибудь ответ. В зависимости от метода сканирования по положительному или отрицательному ответу определяется, закрыт порт или открыт.
Более быстрый способ получить открытые порты — это команды lsof (с параметром -i) или netstat, но их выполнение должно происходить локально, непосредственно с компьютера. Вторая директива будет эффективной только в том случае, если хакер в данный момент подключен к системе.
Помимо rootkit вы должны проверить систему на наличие посторонний загружаемых модулей ядра. Для этого очень хорошо подходит утилита chkproc (входит в состав пакета chkrootkit). Но и это еще не все, chkrootkit включает в себя еще и утилиту ifpromisk, которая позволяет найти программу прослушивания трафика.
И напоследок, проверяем список работающих процессов с помощью команды ps -aux на предмет наличия незнакомых процессов. При просмотре будьте также внимательны. Вспомните пример с программой login, когда первая буква "1" заменялась на цифру 1. Едва бросив взгляд, можно не заметить процесс login.
Если объединить работу всех этих утилит в одно целое, то можно будет получить новый пакет rootkit, о котором еще неизвестно фирме chkrootkit.
После того как вы определили наличие файлов rootkit, вы должны остановить их работу и удалить из системы. Самое простое, если программа хакера не модифицировала никаких системных файлов. Если это произошло, то нужно переустановить все программы, которые изменил злоумышленник. Легче всего это сделать в дистрибутивах на основе Red Hat, где поддерживается работа с RPM-пакетами. Тогда достаточно выполнить команду:
rpm -U -force пакет.rpm
В данном случае мы запрашиваем восстановление пакета с именем пакет.rpm.
Оглавление книги
- 14.1. Основы безопасности
- 14.2. Переполнение буфера
- 14.3. Rootkit
- 14.4. backdoor
- 14.5. Подслушивание трафика
- 14.6. DoS/DdoS-атаки
- 14.7. Проникновение через доверительные узлы
- 14.8. Небезопасная NFS
- 14.9. Определение взлома
- 14.10. Взлом паролей
- 14.11. Тюнинг ОС Linux
- 14.12. Короткие советы
- 14.13. Обнаружен взлом