问答文章1 问答文章501 问答文章1001 问答文章1501 问答文章2001 问答文章2501 问答文章3001 问答文章3501 问答文章4001 问答文章4501 问答文章5001 问答文章5501 问答文章6001 问答文章6501 问答文章7001 问答文章7501 问答文章8001 问答文章8501 问答文章9001 问答文章9501

Rootkit.Agent.IK是什么病毒?

发布网友 发布时间:2022-04-29 06:07

我来回答

3个回答

热心网友 时间:2022-06-20 10:38

rootkit是攻击者用来隐藏自己的踪迹和保留root访问权限的工具。通常,攻击者通过远程攻击获得root访问权限,或者首先密码猜测或者密码强制破译的方式获得系统的访问权限。进入系统后,如果他还没有获得root权限,再通过某些安全漏洞获得系统的root权限。接着,攻击者会在侵入的主机中安装rootkit,然后他将经常通过rootkit的后门检查系统是否有其他的用户登录,如果只有自己,攻击者就开始着手清理日志中的有关信息。通过rootkit的嗅探器获得其它系统的用户和密码之后,攻击者就会利用这些信息侵入其它的系统。

什么是rootkit

Rootkit出现于二十世纪90年代初,在1994年2月的一篇安全咨询报告中首先使用了rootkit这个名词。这篇安全咨询就是CERT-CC的CA-1994-01,题目是Ongoing Network Monitoring Attacks,最新的修订时间是1997年9月19日。从出现至今,rootkit的技术发展非常迅速,应用越来越广泛,检测难度也越来越大。其中针对SunOS和Linux两种操作系统的rootkit最多(树大招风:P)。所有的rootkit基本上都是由几个独立的程序组成的,一个典型rootkit包括:

以太网嗅探器程程序,用于获得网络上传输的用户名和密码等信息。

特洛伊木马程序,例如:inetd或者login,为攻击者提供后门。

隐藏攻击者的目录和进程的程序,例如:ps、netstat、rshd和ls等。

可能还包括一些日志清理工具,例如:zap、zap2或者z2,攻击者使用这些清理工具删除wtmp、utmp和lastlog等日志文件中有关自己行踪的条目。

一些复杂的rootkit还可以向攻击者提供telnet、shell和finger等服务。

还包括一些用来清理/var/log和/var/adm目录中其它文件的一些脚本。

攻击者使用rootkit中的相关程序替代系统原来的ps、ls、netstat和df等程序,使系统管理员无法通过这些工具发现自己的踪迹。接着使用日志清理工具清理系统日志,消除自己的踪迹。然后,攻击者会经常地通过安装的后门进入系统查看嗅探器的日志,以发起其它的攻击。如果攻击者能够正确地安装rootkit并合理地清理了日志文件,系统管理员就会很难察觉系统已经被侵入,直到某一天其它系统的管理员和他联系或者嗅探器的日志把磁盘全部填满,他才会察觉已经大祸临头了。但是,大多数攻击者在清理系统日志时不是非常小心或者干脆把系统日志全部删除了事,警觉的系统管理员可以根据这些异常情况判断出系统被侵入。不过,在系统恢复和清理过程中,大多数常用的命令例如ps、df和ls已经不可信了。许多rootkit中有一个叫做FIX的程序,在安装rootkit之前,攻击者可以首先使用这个程序做一个系统二进制代码的快照,然后再安装替代程序。FIX能够根据原来的程序伪造替代程序的三个时间戳(atime、ctime、mtime)、date、permission、所属用户和所属用户组。如果攻击者能够准确地使用这些优秀的应用程序,并且在安装rootkit时行为谨慎,就会让系统管理员很难发现。

LINUX ROOTKIT IV

前面说过,大部分rootkit是针对Linux和SunOS的,下面我们介绍一个非常典型的针对Linux系统的rootkit--Linux Rootkit IV。Linux Rootkit IV是一个开放源码的rootkit,是Lord Somer编写的,于1998年11月发布。不过,它不是第一个Linux Rootkit,在它之前有lrk、lnrk、lrk2和lrk3等Linux Rootkit。这些rootkit包括常用的rootkit组件,例如嗅探器、日志编辑/删除工具、和后门程序的。

经过这么多年的发展,Linux Rootkit IV功能变的越来越完善,具有的特征也越来越多。不过,虽然它的代码非常庞大,却非常易于安装和使用,只要执行make install就可以成功安装。如果你还要安装一个shadow工具,只要执行make shadow install就可以了。注意:Linux Rootkit IV只能用于Linux 2.x的内核。下面我们简单地介绍一下Linux Rootkit IV包含的各种工具,详细的介绍请参考其发布包的README文件。

隐藏入侵者行踪的程序

为了隐藏入侵者的行踪,Linux Rootkit IV的作者可谓煞费心机,编写了许多系统命令的替代程序,使用这些程序代替原由的系统命令,来隐藏入侵者的行踪。这些程序包括:

ls、find、

这些程序会阻止显示入侵者的文件以及计算入侵者文件占用的空间。在编译之前,入侵者可以通过ROOTKIT_FILES_FILE设置自己的文件所处的位置,默认是/dev/ptyr。注意如果在编译时使用了SHOWFLAG选项,就可以使用ls -/命令列出所有的文件。这几个程序还能够自动隐藏所有名字为:ptyr、hack.dir和W4r3z的文件。

ps、top、pidof

这几个程序用来隐藏所有和入侵者相关的进程。

netstat

隐藏出/入指定IP地址或者端口的网络数据流量。

killall

不会杀死被入侵者隐藏的进程。

ifconfig

如果入侵者启动了嗅探器,这个程序就阻止PROMISC标记的显示,使系统管理员难以发现网络接口已经处于混杂模式下。

crontab

隐藏有关攻击者的crontab条目。

tcpd

阻止向日志中记录某些连接

syslogd

过滤掉日志中的某些连接信息

木马程序

为本地用户提供后门,包括:

chfn

提升本地普通用户权限的程序。运行chfn,在它提示输入新的用户名时,如果用户输入rookit密码,他的权限就被提升为root。默认的rootkit密码是satori。

chsh

也是一个提升本地用户权限的程序。运行chsh,在它提示输入新的shell时,如果用户输入rootkit密码,他的权限就被提升为root。

passwd

和上面两个程序的作用相同。在提示你输入新密码时,如果输入rookit密码,权限就可以变成root。

login

允许使用任何帐户通过rootkit密码登录。如果使用root帐户登录被拒绝,可以尝试一下rewt。当使用后门时,这个程序还能够禁止记录命令的历史记录。

木马网络监控程序

这些程序为远程用户提供后门,可以向远程用户提供inetd、rsh、ssh等服务,具体因版本而异。随着版本的升级,Linux Rootkit IV的功能也越来越强大,特征也越来越丰富。一般包括如下网络服务程序:

inetd

特洛伊inetd程序,为攻击者提供远程访问服务。

rshd

为攻击者提供远程shell服务。攻击者使用rsh -l rootkitpassword host command命令就可以启动一个远程root shell。

sshd

为攻击者提供ssh服务的后门程序。

工具程序

所有不属于以上类型的程序都可以归如这个类型,它们实现一些诸如:日志清理、报文嗅探以及远程shell的端口绑定等功能,包括:

fix

文件属性伪造程序

linsniffer

报文嗅探器程序。

sniffchk

一个简单的bash shell脚本,检查系统中是否正有一个嗅探器在运行。

wted

wtmp/utmp日志编辑程序。你可以使用这个工具编辑所有wtmp或者utmp类型的文件。

z2

utmp/wtmp/lastlog日志清理工具。可以删除utmp/wtmp/lastlog日志文件中有关某个用户名的所有条目。不过,如果用于Linux系统需要手工修改其源代码,设置日志文件的位置。

bindshell

在某个端口上绑定shell服务,默认端口是12497。为远程攻击者提供shell服务。

如何发现rootkit

很显然,只有使你的网络非常安装让攻击者无隙可乘,才能是自己的网络免受rootkit的影响。不过,恐怕没有人能够提供这个保证,但是在日常的网络管理维护中保持一些良好的习惯,能够在一定程度上减小由rootkit造成的损失,并及时发现rootkit的存在。

首先,不要在网络上使用明文传输密码,或者使用一次性密码。这样,即使你的系统已经被安装了rootkit,攻击者也无法通过网络监听,获得更多用户名和密码,从而避免入侵的蔓延。

使用Tripwire和aide等检测工具能够及时地帮助你发现攻击者的入侵,它们能够很好地提供系统完整性的检查。这类工具不同于其它的入侵检测工具,它们不是通过所谓的攻击特征码来检测入侵行为,而是监视和检查系统发生的变化。Tripwire首先使用特定的特征码函数为需要监视的系统文件和目录建立一个特征数据库,所谓特征码函数就是使用任意的文件作为输入,产生一个固定大小的数据(特征码)的函数。入侵者如果对文件进行了修改,即使文件大小不变,也会破坏文件的特征码。利用这个数据库,Tripwire可以很容易地发现系统的变化。而且文件的特征码几乎是不可能伪造的,系统的任何变化都逃不过Tripwire的监视(当然,前提是你已经针对自己的系统做了准确的配置:P,关于Tripwire和aide的使用请参考本站的相关文章)。最后,需要能够把这个特征码数据库放到安全的地方。

前一段时间,写了几篇rootkit分析文章,这篇权且作为这一系列文章的总结,到此为止。但是在最近发布的Phrack58-0x07(Linux on-the-fly kernel patching without LKM)中实现一个直接修改内核数据结构的rootkit,因此决定写一个续篇。:
参考资料:http://www.cnpaf.net/Class/Securitytools/058122017539925017.htm
回答者:linkny

热心网友 时间:2022-06-20 10:39

如果安全模式杀不掉,就按杀软给出染毒文件的名字(不是病毒名),在注册表搜索并删除找到的相关项目,不让删的用IceSword删除;最后再用IceSword删除此病毒文件

热心网友 时间:2022-06-20 10:39

查杀174款恶意软件,卸载267款插件程序,保护电脑安全!
下载地址:http://www.wangmeng.cn/Soft/SECURITY/SYSTEMSECURITY/200610/6670.html
声明声明:本网页内容为用户发布,旨在传播知识,不代表本网认同其观点,若有侵权等问题请及时与本网联系,我们将在第一时间删除处理。E-MAIL:11247931@qq.com
少儿学什么舞蹈 青年学什么舞蹈好 成年人学什么舞蹈 福州企业最低工资标准 2013年厦门的底薪是多少 生产要素的需求有哪些性质 生产要素的需求有何特点? 什么是生产要素需求 微观经济学要素需求什么是条件要素需求?它和要素需求有什么不同?_百度... 养宠物的人遵守规则,是不是就能和别人平安相处呢? win32.rootkit是病毒吗?要怎么删除? 大家用手机搜索都是什么的什么浏览器呢,,百度,uc 360 搜狗,哪个用的多一些 是不是所有浏览器搜索到的东西都是一样的?如果不一样,那什么浏览器最好? 如何把现场IM153-1的从站PROFIBUS DP连接改为以太网连接 手机忘记密码怎样解锁,指纹被禁用 列出5种常用的网络工具命令,并详细写出其3种以上使用方法? TCP协议中如首部不含选项字段,则首部长度字段为 什么浏览器 可以搜到任何学校的官网? 我手机屏蔽密码忘记了.怎么刷机呀.联想a765e 哪个看小说软件免费,可以离线,小说都搜得到而且又好用?QQ浏览器,UC浏览器,手机百度不用推荐了, 华为g610--t11手机屏蔽密码忘了怎样解急急急 大家都用什么浏览器或者什么搜索引擎 linux tcp时间戳选项中是怎样区分发送方 手机搜索东西一般用什么浏览器的多,请把你们用的手机浏览器告诉我,谢谢 如何添加手机邮箱 联想手机设了屏蔽密码忘记了怎么办338t 什么手机浏览器搜索到的信息全面 手机设置微信屏蔽密码不知道了 什么文件浏览器可以搜索 而且搜索的很准 自己设置的荣耀手机禁用指纹密码搞忘了怎么办? 哪个浏览器,搜索引擎好用? 我国地震多发地段是什么? 关于家人,朋友,陌生人的诗各一篇 windows7,64位autoCAD2010,PKPM节能2012版网络锁,材料编辑无任何操作一段时间就会停止响应 现在什么浏览器最好用啊!在网页上搜索那些人说的五花八门!他说这个好他说那个好!现在我想了解一下什么 我要找一些有关于“感恩陌生人”的诗歌啊,做手抄报啊,请各位帮帮我找... 感恩陌生人的诗 陌生化语言的现代诗歌 从一个熟悉的地方到一个陌生的地方,心情不好。希望用四句,7字的诗表达出来 什么浏览器搜索到的答案最好?或者是说什么搜索引擎搜索到的答案最好? 语默的语默组诗推荐:《残缺的遗书》 什么小说阅读器最好用 又免费 而且什么书都能搜到的 那些书旗浏览器就别说了 不是要钱就是搜不到啊 诗歌的陌生化处理? 震后首夜玛多的灯又亮了,我国有哪些地区属于地震高发区呢? 唯美的诗歌 雅安再发地震,我国哪些地区地震高发? 我国的地震多发于哪个地区 十首最好听的赞美诗歌 世界上地震多发国家有哪些 需要寻找文学作品中的“陌生化的语言”,举些例子,越多越好