エンタープライズ:特集 | 2003/01/15 16:59:00 更新 |
rootkitによるハッキングとその防御
第1回 rootkitの概要と検知 (2/5)
tuxkit-1.0による侵入の実際
今回の例では、root権限での侵入に成功しているため、侵入後に、ターゲットサーバー上でrootkitをダウンロードし、インストールを行っている。tuxkit-1.0は、インストール時にパスワードとsshdのバックドア、およびpsyBNC(IRCサーバへのリレー接続用サーバ)のポートを指定する。インストール後にはメールでサーバのアドレス、各ポート、パスワードがインストールスクリプトで指定したメールアドレスへ送信される。
tuxkitのインストールが完了すると下記のようなメールが指定したメールアドレスへ配信されてくる。
Delivered-To: hoge@example.com Date: Sun, 27 Jan 2002 14:27:26 +0900 From: root |
バックドアからの接続
この時点で、指定したポート番号でSSHDのバックドア( /usr/bin/xsf)が開いている。これにより、たとえFTPサーバのセキュリティホールが塞がれた場合でも、
ssh 192.168.1.19 -l root -p 2600 |
とすれば、下記のようにバックドアからの再侵入が可能になるわけだ。
[haxor@localhost /]$ ssh 192.168.1.19 -l root -p 2600 ←バックドアに接続 The authenticity of host '192.168.1.19 (192.168.1.19)' can't be established. DSA key fingerprint is 6f:41:d8:33:ff:94:fa:68:ee:49:e3:df:e0:05:c6:2a. Are you sure you want to continue connecting (yes/no)? yes Warning: Permanently added '192.168.1.19' (DSA) to the list of known hosts. Tuxtendo Linux Rootkit v1.0 - We hope to please you kiddies! __ ____ _____ ._____________ _/ |_ __ _\ \/ / | _|__\__ ___/ \ __\ | \ /| |/ / | | | | | | | / \| <| | | | |__| |____/___/\ \__|_ \__| |____| \_/ \/ Presented by Argv[] www.tuxtendo.nl (C) 15-12-2001 ------------------------------------------------------------- root@192.168.1.19's password: ←rootkitインストール時に設定したパスワードを入力 Last login: Thu Jan 01 1970 09:00:00 +0900 from You have new mail. [root@localhost /root]# |
これでログインが完了し、あとはrootとして操作することができてしまう。
なお、tuxkit-1.0はsshdのポート以外に、インストール時に指定したpsyBNCのポートも開いている。psyBNCはIRCのリレー接続用サーバで、侵入したシステムを介したIRCサーバへの接続を可能にする。つまり、IRCサーバへの「なりすまし」での接続が可能になる。下記はIRCクライアントであるmIRCで、侵入したシステムを介した接続を行った際の画面だ。
インストール時に指定したpsyBNCのポートも開いているため、侵入したシステムを介したIRCサーバへの接続を可能にする。つまり「なりすまし」での接続が可能になる
[TTS,ITmedia]