/
KNARK-Rootkit
KNARK-Rootkit
- Carsten Rehberg
Owned by Carsten Rehberg
May 01, 2019
Loading data...
Zusammensetzung
Besteht im Wesentlichen aus einem Kernel-Modul, einem Modul zum Verstecken sowie aus einigen zu diversen Konfigurationsänderungen
| Modul | Beschreibung |
|---|---|
| knark.o | das eigentliche Rootkit (wird mit insmod knark.o in den Kernel geladen) |
| modhide.o | Modul zum Verstecken von knark.o (wird mit insmod knark.o in den Kernel geladen) |
| hidef | Versteckt Dateien auf dem System (Aufruf mit ./hidef /dir/file/to/hide) |
| nethide | versteckt Einträge in /proc/net/tcp und /proc/net/udp ( ./nethide -c zeigt alle Einträge wieder an) |
| ered | leitet Zugriffe auf ausführbare Kommandos um ( ./ered /usr/local/sbin/sshd /usr/lib/.hax0r/sshd-trojan führt dazu, dass bei Zugriff auf /usr/local/sbin/sshd in Wirklichkeit /usr/lib/.hax0r/sshd-trojan ausgeführt wird |
| rootme | verschafft root-Zugriff ( ./rootme /bin/sh startet das Skript) |
| rexec | veranlasts die Ausführung von Kommandos auf einem entfernten geKNARKten Rechner ( ./rexec www.microsoft.com hored.server.nu/bin/touch /hackfile sendet ein UDP/Port 53-Paket mit gefälschter Absenderadresse (microsoft.com) zu haxored.server.nu Dieser führt daraufhin das Kommando /bin/touch /hackfile aus) |
| taskhack | verändert UIDs von Prozessen ( ./taskhack -alluid=0 pid ändert alle UIDs des Prozesses mit pid auf 0 (root)) |
Quelle
- ¹ Gerloni, Helmar; Oberhaitzinger, Barbara; Reiser, Helmut; Plate, Jürgen; Praxisbuch Sicherheit für Linux-Server und -Netze;Hanser Verlag, 2004; Seite 62-64