Como os rootkits são instalados em um servidor Ubuntu?

10

Eu vi alguns posts sobre a verificação de rootkits, mas não consegui encontrar nenhuma informação sobre como eles entram em um sistema Linux. Em particular, se você explorar um bug em um site php (sim, eu estou falando sobre drupageddon aqui) É possível instalar um rootkit mesmo que você só possa executar como o servidor web (www-data) e não como root. As poucas informações que encontrei sobre como elas são instaladas sugerem que você precisa ser root para instalá-las (veja aqui ).

    
por Lance Holland 11.11.2014 / 10:11

2 respostas

8

Se fosse eu, eu continuaria com o seguinte método:

  • Solicite que um usuário faça o download e instale um software (# 1). Faça com que o software instale o software pretendido. Esconder um blob binairy dentro desse aplicativo permite baixar o software (ou seja, uma ferramenta que você pode usar para ftp, wget etc).
  • Solicite a conta de administrador (# 2) e use-a para usar uma instância ftp, wget para baixar e instalar o rootkit.

Em relação ao nº 1: um usuário nunca deve baixar software aleatório ao usar o Linux; use os canais apropriados (Ubuntu Software Center) para instalar o software. Se for um software que precisa ser baixado fora dos canais apropriados, certifique-se de que a origem do download seja confiável. Pense nas versões mais recentes do software Apache ou do MySQL. Não faça download de software aleatório sem verificar diferentes mídias sociais sobre a integridade desse aplicativo. A Microsoft nunca centralizou software; Isso resultou em muitas pessoas se interessando por software, então sua base de usuários é hugh, mas isso também tornou fácil entrar em computadores e começar a coletar dados que eles podem vender.

Em relação a # 2: falha fatal do usuário. Nunca, jamais, jamais digite sua senha de administrador, a menos que você saiba por que ela é solicitada.

    
por Rinzwind 11.11.2014 / 11:27
8

Sim, na permissão geral da raiz são necessários para instalar um rootkit. Muitos dos rootkits contêm um módulo que é carregado no kernel, outra ferramenta sobrescreve normalmente usada pelo root. Em um sistema corretamente configurado e perfeito, não haveria como instalar o kit raiz sem privilégios de root, mas ...

... pode haver problemas com a configuração do sistema, tornando o sistema inseguro. ... pode haver bugs de segurança que permitem uma elevação de privilégio ... pode haver maneiras de enganar um usuário com permissões de root para executar algo maligno.

Os caminhos são tão ilimitados quanto a imaginação do intruso.

    
por Klaus D. 11.11.2014 / 10:24