rootkit 自我檢查法
Copyright 2001 OLS3, 本講義僅供教育人員參考, 任何引用, 請先取得作者的同意.
(以上聲明, 主要是防止商人拿本文沽取利益, 除此, 請自行取用, 勿受限制, 或對此感到有任何的不愉快)
一. 何謂 rootkit ?
在說明什麼是 rootkit 之前, 要先說明, 什麼是 trojaned system commands ?
trojaned system commands 中文或可譯為 "特洛伊木馬程式" (或, 特洛伊系統指令).
相信大家都應該知道 "特洛伊木馬屠城記" 這個典故吧?!
凡是, 在表面上, 偽裝成正常的程式, 而實際上, 卻偷偷地, 把正常的程式換掉, 並留下一些特殊的系統後門, 以方便往後, 可以在暗地裡控制主機運作, 或進行破壞行為的程式, 我們就說, 這是一種特洛伊木馬程式, 俗稱: 後門程式(backdoor) 或木馬程式(trojan).
當系統中, 隱藏著這種程式時, 我們稱之為: 中了木馬.
木馬程式的來源, 大概可分為以下幾種:
1. 系統被入侵(root-compromise), 遭 cracker 植入
2. 中了主機系統中, 某位一般權限使用者精心設計的陷井
3. 執行了來路不明的程式
4. 安裝了被竄改過的程式套件
5. 被 network worm (網路蠕蟲) 感染.
而其中, 又以: 系統被入侵, 感染蠕蟲, 執行來路不明的程式, 這三者, 最為常見.
以系統入侵而言, 大部份的 cracker, 在攻入某一部主機之後, 並不會做出, 立即而明顯的破壞, 只有下下品的駭客, 或急於炫耀自己, 假裝自己, 或滿足自己就是駭客一族的 script kids, 才會如此.
(實際上, 這些傢伙, 並不是真正的駭客, 僅是撿人現成的工具, 對有漏洞的主機, 進行攻擊行為)
通常, 他們會安裝數支木馬程式, 把正常的程式給換掉, 讓系統運作時, 儘量不出現任何異狀, 然後, 留下方便的後門, 供往後自由進出, 接著, 他們會在清除留下的痕跡(如記錄檔, 指令歷史檔) 之後, 悄然地離去. 等到哪天, 需要這部主機的資源時, 它會再進來.....
(上上品的駭客, 不會對系統做任何改變, 並且會通知站主, 該站那些有漏洞? 甚至會幫忙站主, 把漏洞補起來, 而且, 通常的名義是: 教育實驗性質, 他們比較在意: 是否能獲取駭客社群的敬重和地位)
所謂 rootkit, 就是有心人士, 整理這些常用的木馬程式, 做成一組程式套件, 以方便 cracker 攻入主機時, 在受害的主機上, 順利地編譯和安裝木馬程式.
有些 rootkit 純粹實驗性質, 也有 rootkit 本身, 就是一種 rootkit 木馬, 讓試玩 rootkit 者, 中了木馬. ( rootkit 中的 rootkit 乎?! ;-) )
rootkit 的種類很多. 通常 rootkit 中, 所包含的木馬程式, 大都以原始程式碼的形式散佈, 這些程式, 很多是由早期的 BSD UNIX 系統, 逐步移植(port)過來的, 因此, 幾乎在各種機器平台上, 都有 rootkit 的蹤影, 而且, 變種及花樣, 可以說是, 形形色色, 五花八門.
(我目前手上的 rootkit, 就不下數十隻, Linux, FreeBSD, Solaris, NT, W2K, Novell, DOS.... 都有)
一般, rootkit 中, 常見的木馬程式及工具有:
bindshell
chfn
chsh
crontab
du
find
fix
ifconfig
inetd
killall
linsniffer
login
ls
netstat
passwd
pidof
ps
rshd
sniffchk
syslogd
tcpd
top
wted
z2
二. 中了 rootkit 的症狀:
主機中了木馬程式之後, 通常不會有太大的異樣. (不過, 品質低劣的木馬程式, 則會有明顯的病狀.)
網管人員就算用 ps, netstat, lsof, top 等程式, 來觀察主機的運作, 也不會發現記憶體中, 有什麼奇怪的行程(process), 這是因為, 這幾支常用的指令, 已經被 cracker 換掉了, 換言之, 用這些木馬程式來觀看時, 您看到的畫面, 很可能, 都是假造的!
不過, 木馬程式, 畢竟不是真正的程式, 它和原有的程式之間, 總是存在著些許的差異, 或許在短期內, 感覺不出有什麼異樣, 不過, 長期下來, 總是無法完全發揮該程式原有的真正功能. 因此, 這些差異, 終將在有一天, 造成主機異常的運作.
因此, 一旦您發現系統有任何奇怪的現象, 第一個要做的事是:
試著去懷疑: 我的主機是否中了木馬啦?!
三. 簡易檢查法:
不過, 光是懷疑, 也無路用, 而且, 常常疑神疑鬼, 網管人員遲早會得到 --- "神經衰弱" ;-Q
善用工具吧!
在此, 介紹
http://www.chkr...t.org 推出的 chkrootkit.
顧名思義, chkrootkit 就是, 檢查 rootkit 是否存在的一種便利工具.
chkrootkit 可以在以下平台使用:
* Linux 2.0.x, 2.2.x
* FreeBSD 2.2.x, 3.x and 4.0
* OpenBSD 2.6, 2.7 and 2.8 (如果您對安全性非常在意的話, 強烈推薦您 OpenBSD 2.8, 我都是玩這個. ^_^)
* Solaris 2.5.1, 2.6 and 8.0.
截至目前(05/08/2001)為止, 最新版本是: chkrootkit v0.32
它可以偵測以下 rootkit 及 worm:
* lrk3
* lrk4
* lrk5
* lrk6 (and some variants)
* Solaris rootkit
* FreeBSD rootkit
* t0rn (including some variants and t0rn v8)
* Ambient's Rootkit for Linux (ARK)
* Ramen Worm; rh[67]-shaper
* RSHA
* Romanian rootkit
* RK17
* Lion Worm
* Adore Worm
* LPD Worm
* kenny-rk
* Adore LKM
它主要檢查系統中以下的程式:
* basename
* biff
* chfn
* chsh
* cron
* date
* dirname
* du
* echo
* env
* find
* fingerd
* gpm
* grep
* identd
* ifconfig
* inetd
* killall
* login
* ls
* mail
* mingetty
* netstat
* passwd
* pidof
* pop2
* pop3
* ps
* pstree
* rlogind
* rpcinfo
* rshd
* sendmail
* sshd
* su
* syslogd
* tar
* tcpd
* telnetd
* timed
* top
* traceroute
* write
安裝法:
chkrootkit 安裝及使用, 十分簡單! (也請您務必參考
http://www.chkr....org/ 的 FAQ)
1. 下載
可至
http://www.chkr...t.org 下載 chkrootkit.tar.gz
或至 ftp.tnc.edu.tw/Security/ 下載: chkrootkit-0.32.tar.gz (小心! 這是否也是木馬? ^_^ ....... 和您開開玩笑, 別當真!)
2. 解壓
tar xvzf chkrootkit-0.32.tar.gz
3. 編譯
cd chkrootkit-0.32
make sense
4. 執行
./chkrootkit > chk.lst
5. 檢查 chk.lst 這個文字檔, 看看是否有偵測到任何木馬或 worm ?
以下是 chk.lst 的部份內容, 這表示, 系統應該是乾淨的. (絕非百分之百! 但至少令人安心一點!)
ROOTDIR is `/'
Checking `basename'... Not vulnerable
Checking `biff'... NOT TESTED
Checking `chfn'... Not vulnerable
Checking `chsh'... Not vulnerable
Checking `cron'... Not vulnerable
Checking `date'... Not vulnerable
Checking `du'... Not vulnerable
Checking `dirname'... Not vulnerable
Checking `echo'... Not vulnerable
Checking `env'... Not vulnerable
Checking `find'... Not vulnerable
Checking `fingerd'... Not vulnerable
Checking `gpm'... Not vulnerable
Checking `grep'... Not vulnerable
Checking `su'... Not vulnerable
Checking `ifconfig'... Not vulnerable
Checking `inetd'... Not vulnerable
Checking `identd'... Not vulnerable
Checking `killall'... Not vulnerable
Checking `login'... Not vulnerable
Checking `ls'... Not vulnerable
Checking `mail'... Not vulnerable
Checking `mingetty'... Not vulnerable
Checking `netstat'... Not vulnerable
Checking `passwd'... Not vulnerable
Checking `pidof'... Not vulnerable
Checking `pop2'... NOT TESTED
Checking `pop3'... NOT TESTED
Checking `ps'... Not vulnerable
Checking `pstree'... Not vulnerable
Checking `rpcinfo'... Not vulnerable
Checking `rlogind'... Not vulnerable
Checking `rshd'... Not vulnerable
Checking `sendmail'... Not vulnerable
Checking `sshd'... Not vulnerable
Checking `syslogd'... Not vulnerable
Checking `tar'... Not vulnerable
Checking `tcpd'... Not vulnerable
Checking `top'... Not vulnerable
Checking `telnetd'... Not vulnerable
Checking `timed'... Not vulnerable
Checking `traceroute'... Not vulnerable
Checking `write'... Not vulnerable
Checking `asp'... Not vulnerable
Checking `bindshell'... Not vulnerable
Checking `z2'... Nothing deleted
Checking `wted'... Nothing deleted
Checking `rexedcs'... Not vulnerable
Checking `sniffer'...
eth0 is not promisc
Checking `aliens'... No suspect files
Searching for sniffer's logs, it may take a while... Nothing found
Searching for t0rn's default files and dirs... Nothing found
Searching for t0rn's v8 defaults... Nothing found
Searching for Lion Worm default files and dirs... Nothing found
Searching for RSHA's default files and dir... Nothing found
Searching for RH-Sharpe's default files... Nothing found
Searching for Ambient's rootkit (ark) default files and dirs... Nothing found
Searching for suspicious files and dirs, it may take a while...
Searching for LPD Worm files and dirs... Nothing found
Searching for Ramen Worm files and dirs... Nothing found
Searching for RK17 files and dirs... Nothing found
Searching for Adore Worm... Nothing found
Searching for anomalies in shell history files...
Checking `lkm'... Nothing detected
四. 萬一中了木馬, 怎麼辦?
我們可以說: 如果主機中, 存在著木馬程式的話, 那麼, 這台主機的主控權, 早已不在網管手上了!
換言之: 這台主機已經淪陷 (compromised)! 還好, 唯一慶幸的是: 它沒有被宵小搬走..... ;-)
若, 果真不幸如此, 建議您: 應該趕快
* 清查後門
* 追查入侵原因
* 追蹤入侵來源
* 做好重灌系統的心理準備
* 備份重要檔案
* 重灌系統
* 事後更要, 加強安全防駭知識
* 善用工具 (如: 安裝: 檢查檔案系統完整性的工具: Tripware; 安裝任何程式套件之前, 使用 MD5 checksum 比對)
* 注意相關安全訊息
* 勤補系統
* 養成良好的網管習慣 (如: 避免用 telnet / ftp, 改用 ssh2, sftp2, scp)
* 持續的關心監控
* 努力維護主機安全
God bless u and Me ..... ^_^
註:
有人說: "挑一個比較少人用的系統, 會比較安全?!", 因為它比較不會引起駭客的興趣和注意?!
我想這見人見智.
我的建議是: 最好不要挑比較少人用的系統. (萬一有漏洞, 沒有人推出修補套件, 或該公司倒了, 或不願再推出, 準哭死你喲! 除非你自己有能力修補.....)
而要挑選: 至少有一個專門的團體或公司在維護, 不斷地推出堅實的套件, 持續在進步的系統.
