エンタープライズ：第1回　rootkitの概要と検知 (3/5)

エンタープライズ：特集

2003/01/15 16:59:00 更新

rootkitによるハッキングとその防御
第1回　rootkitの概要と検知 (3/5)

rootkitの概要

　次に、rootkitの中身を見ていこう。今回インストールしたtuxkitのhomeとなるディレクトリは/dev/tuxで、ここには改ざんされたファイルのバックアップや、スニッファなどのツールが隠されている。

# ls -la /dev/tux
total 588
drwxr-xr-x    5 root     root         1024  1月 31 04:58 .
drwxr-xr-x   15 root     root        81920  2月  4 17:19 ..
drwxr-xr-x    2 root     root         1024  1月 31 07:17 backup
-rwsrwsrwx    1 root     root       512668  1月 31 04:58 suidsh
drwxr-xr-x   11 root     root         1024  1月 31 04:58 tools

■backupには改ざんされたファイルのバックアップがある

# ls -la /dev/tux/backup
total 621
drwxr-xr-x    2 root     root         1024  1月 31 07:17 .
drwxr-xr-x    5 root     root         1024  1月 31 04:58 ..
-rwsr-xr-x    1 root     root        21312  3月  9  2001 crontab
-rwxr-xr-x    1 root     root        26876  3月 15  2001 df
-rwxr-xr-x    1 root     root        45724  3月 15  2001 dir
-rwxr-xr-x    1 root     root         4272  4月  8  2001 dmesg
-rwxr-xr-x    1 root     root        25884  3月 15  2001 du
-rwxr-xr-x    1 root     root        74012  2月  9  2001 find
-rwxr-xr-x    1 root     root        49148  4月  9  2001 ifconfig
-rwxr-xr-x    1 root     root        10888  7月 12  2000 killall
lrwxrwxrwx    1 root     slocate         7  1月 31 04:58 locate -> slocate
-rwxr-xr-x    1 root     root        18972  4月  8  2001 login
-rwxr-xr-x    1 root     root        45724  3月 15  2001 ls
-rwxr-xr-x    1 root     root        80540  4月  9  2001 netstat
-r-xr-xr-x    1 root     root        64092  4月  5  2001 ps
-rwxr-xr-x    1 root     root        12060  7月 12  2000 pstree
-rwxr-xr-x    1 root     root        26876  2月  8  2001 syslogd
-rwx--x--x    1 root     root        23692  2月  6  2001 tcpd
-r-xr-xr-x    1 root     root        35036  4月  5  2001 top
lrwxrwxrwx    1 root     slocate         7  1月 31 04:58 updatedb -> slocate
-rwxr-xr-x    1 root     root        45724  3月 15  2001 vdir

■toolsにはスニッファやDoS攻撃ツールなどが置かれている

# ls -la /dev/tux/tools
total 10
drwxr-xr-x   11 root     root         1024  1月 31 04:58 .
drwxr-xr-x    5 root     root         1024  1月 31 04:58 ..
drwx------    2 root     root         1024 11月 12 21:50 bitchx
drwx------    2 root     root         1024 12月 13 00:59 dos
drwx------    2 root     root         1024 11月 12 21:57 mirkforce
drwx------    2 root     root         1024 11月 12 21:57 nmapv
drwx------    8 root     root         1024  1月 31 04:58 psybnc
drwx------    2 root     root         1024 11月 13 02:00 sniffer
drwx------    2 root     root         1024 11月 13 00:22 synscan
drwx------    2 root     root         1024 11月 12 21:58 utils

　では実際に、改ざんされたコマンドでどういったことが隠蔽されるのか、主要なコマンドで見てみよう。

プロセスの隠蔽

　プロセス状態を表示する「ps」コマンドを管理者が利用し、バックドアのプロセスなどが表示されてしまっては、バックドアを仕掛けたクラッカーが困るのはお分かり頂けるだろう。tuxkitがインストールされたシステムでは、「/dev/tux/.proc」で指定されたプログラムは、プロセスとして表示されずに隠蔽されるようなpsコマンドに改ざんされている。/dev/tux/.procには「0 0」や「2 sniffer」などの文字が記述されており、はじめの数字は「タイプ」を、その後ろは「指定する内容」を表している。それぞれの内容は下記のようになる。

Type 0: 指定したUIDのプロセスを隠蔽する Type 1: 指定したttyのプロセスを隠蔽する Type 2: 指定した文字のプロセスを隠蔽する Type 3: 指定した文字が含まれるプロセスを隠蔽する

■例）

値	意味
0 0	0を指定しているため、rootのプロセスは表示されない
1 p0	p0を指定しているため、tty p0のプロセスは表示されない
2 sniffer	snifferを指定しているため、snifferのプロセスは表示されない
3 hack	hackを指定しているため、hackが含まれるプロセスはすべて隠蔽する。たとえばproghack1、hack.shなど

※すべてフルパスで指定せず、名前のみで記述される
■tuxkitインストール時、デフォルトで/dev/tux/.procに記述されているもの

#cat /dev/tux/.proc
3 BitchX
3 scr-bx
3 wserv
3 virii
3 dos
3 id
3 mf
3 mfclean
3 mirkforce
3 nmap
3 psybnc
3 psybncchk
3 synscan
3 xsf

前のページ | 1 2 3 4 5 | 次のページ

[TTS，ITmedia]

ITmedia エンタープライズ

rootkitによるハッキングとその防御 第1回 rootkitの概要と検知 (3/5)

rootkitの概要

プロセスの隠蔽

rootkitによるハッキングとその防御
第1回　rootkitの概要と検知 (3/5)