エンタープライズ:特集 | 2003/01/15 16:59:00 更新 |
rootkitによるハッキングとその防御
第1回 rootkitの概要と検知 (3/5)
rootkitの概要
次に、rootkitの中身を見ていこう。今回インストールしたtuxkitのhomeとなるディレクトリは/dev/tuxで、ここには改ざんされたファイルのバックアップや、スニッファなどのツールが隠されている。
# ls -la /dev/tux total 588 drwxr-xr-x 5 root root 1024 1月 31 04:58 . drwxr-xr-x 15 root root 81920 2月 4 17:19 .. drwxr-xr-x 2 root root 1024 1月 31 07:17 backup -rwsrwsrwx 1 root root 512668 1月 31 04:58 suidsh drwxr-xr-x 11 root root 1024 1月 31 04:58 tools |
# ls -la /dev/tux/backup total 621 drwxr-xr-x 2 root root 1024 1月 31 07:17 . drwxr-xr-x 5 root root 1024 1月 31 04:58 .. -rwsr-xr-x 1 root root 21312 3月 9 2001 crontab -rwxr-xr-x 1 root root 26876 3月 15 2001 df -rwxr-xr-x 1 root root 45724 3月 15 2001 dir -rwxr-xr-x 1 root root 4272 4月 8 2001 dmesg -rwxr-xr-x 1 root root 25884 3月 15 2001 du -rwxr-xr-x 1 root root 74012 2月 9 2001 find -rwxr-xr-x 1 root root 49148 4月 9 2001 ifconfig -rwxr-xr-x 1 root root 10888 7月 12 2000 killall lrwxrwxrwx 1 root slocate 7 1月 31 04:58 locate -> slocate -rwxr-xr-x 1 root root 18972 4月 8 2001 login -rwxr-xr-x 1 root root 45724 3月 15 2001 ls -rwxr-xr-x 1 root root 80540 4月 9 2001 netstat -r-xr-xr-x 1 root root 64092 4月 5 2001 ps -rwxr-xr-x 1 root root 12060 7月 12 2000 pstree -rwxr-xr-x 1 root root 26876 2月 8 2001 syslogd -rwx--x--x 1 root root 23692 2月 6 2001 tcpd -r-xr-xr-x 1 root root 35036 4月 5 2001 top lrwxrwxrwx 1 root slocate 7 1月 31 04:58 updatedb -> slocate -rwxr-xr-x 1 root root 45724 3月 15 2001 vdir |
# ls -la /dev/tux/tools total 10 drwxr-xr-x 11 root root 1024 1月 31 04:58 . drwxr-xr-x 5 root root 1024 1月 31 04:58 .. drwx------ 2 root root 1024 11月 12 21:50 bitchx drwx------ 2 root root 1024 12月 13 00:59 dos drwx------ 2 root root 1024 11月 12 21:57 mirkforce drwx------ 2 root root 1024 11月 12 21:57 nmapv drwx------ 8 root root 1024 1月 31 04:58 psybnc drwx------ 2 root root 1024 11月 13 02:00 sniffer drwx------ 2 root root 1024 11月 13 00:22 synscan drwx------ 2 root root 1024 11月 12 21:58 utils |
では実際に、改ざんされたコマンドでどういったことが隠蔽されるのか、主要なコマンドで見てみよう。
プロセスの隠蔽
プロセス状態を表示する「ps」コマンドを管理者が利用し、バックドアのプロセスなどが表示されてしまっては、バックドアを仕掛けたクラッカーが困るのはお分かり頂けるだろう。tuxkitがインストールされたシステムでは、「/dev/tux/.proc」で指定されたプログラムは、プロセスとして表示されずに隠蔽されるようなpsコマンドに改ざんされている。/dev/tux/.procには「0 0」や「2 sniffer」などの文字が記述されており、はじめの数字は「タイプ」を、その後ろは「指定する内容」を表している。それぞれの内容は下記のようになる。
Type 0: 指定したUIDのプロセスを隠蔽する Type 1: 指定したttyのプロセスを隠蔽する Type 2: 指定した文字のプロセスを隠蔽する Type 3: 指定した文字が含まれるプロセスを隠蔽する |
値 | 意味 |
0 0 | 0を指定しているため、rootのプロセスは表示されない |
1 p0 | p0を指定しているため、tty p0のプロセスは表示されない |
2 sniffer | snifferを指定しているため、snifferのプロセスは表示されない |
3 hack | hackを指定しているため、hackが含まれるプロセスはすべて隠蔽する。たとえばproghack1、hack.shなど |
■tuxkitインストール時、デフォルトで/dev/tux/.procに記述されているもの
#cat /dev/tux/.proc 3 BitchX 3 scr-bx 3 wserv 3 virii 3 dos 3 id 3 mf 3 mfclean 3 mirkforce 3 nmap 3 psybnc 3 psybncchk 3 synscan 3 xsf |
[TTS,ITmedia]