Rootkit入侵工具Knark分析及防范

　　什么是"rootkit"?

　　入侵者入侵后往往会进行清理脚印和留后门等工作，最常使用的后门创建工具就是rootkit。不要被名字所迷惑，这个所谓的“rootkit”可不是给超级用户root用的，它是入侵者在入侵了一太主机后，用来做创建后门并加以伪装用的程序包。这个程序包里通常包括了日志清理器，后门等程序。同时，程序包里通常还带有一些伪造的ps、ls、who、w、netstat等原本属于系统本身的程序，这样的话，程序员在试图通过这些命令查询系统状况的时候，就无法通过这些假的系统程序发觉入侵者的行踪。

　　在一些黑客组织中,rootkit (或者backdoor) 是一个非常感兴趣的话题。各种不同的rootkit被开发并发布在internet上。在这些rootkit之中, LKM尤其被人关注, 因为它是利用现代操作系统的模块技术。作为内核的一部分运行,这种rootkit将会越来越比传统技术更加强大更加不易被发觉。一旦被安装运行到目标机器上, 系统就会完全被控制在hacker手中了。甚至系统管理员根本找不到安全隐患的痕迹, 因为他们不能再信任它们的操作系统了。后门程序的目的就是甚至系统管理员企图弥补系统漏洞的时候也可以给hacker系统的访问权限。

　　入侵者通过：设置uid程序, 系统木马程序, cron后门等方法来实现入侵者以后从非特权用户使用root权限。

　　*设置uid程序。 黑客在一些文件系统理放一些设置uid脚本程序。无论何时它们只要执行这个程序它们就会成为root。

　　*系统木马程序。黑客替换一些系统程序,如"login"程序。因此, 只要满足一定的条件，那些程序就会给黑客最高权限。

　　*Cron后门。黑客在cron增加或修改一些任务,在某个特定的时间程序运行，他们就可以获得最高权限。