A Day in the Life

SucKIT Root-Kit

http://slashdot.jp/journal.pl?op=display&id=174041&uid=1425

SucKIT は Phrack issue 58, article 0x07 ("Linux on-the-fly kernel patching without LKM", by sd & devik) で紹介された rootkit です。これは完全に動作する /dev/kmem を使ってロードするタイプの rootkit です。このため、カーネルにローダブルカーネルモジュールのサポートの必要はありません。これはスプーフパケットで起動される (大抵のファイアウォールをすり抜けます) パスワードで保護された逆接続をおこなうリモートアクセスシェル機能をもち、プロセス、ファイル、コネクションを隠蔽できます。
通常は、SucKIT はシステムのブート時に /sbin/init から起動され、fork してカーネルに自分自身を組み込み、バックドアをスタートし、元の init のバイナリのコピーを親 (プロセス id 1) から起動します。それ以降の /sbin/init の実行は元の init に渡されて実行されます。

一年前ちょい前のDebian本家鯖クラックに使われたrootkit。なんかすごいのな。

記事の一覧 >