Ana sayfa

Rootkit Nedir?

Posted October 28th, 2007 by Murat

Rootkit Nedir ?

Rootkit 'ler sistem dosyalarını değiştirerek dışardan erişim yapılmasına olanak sağlayan ve kendini gizleyen programcıklardır. Bulunması güç, bulundugu taktirde olumlu bir şekilde temizlenmesi zordur. Kurtulmanın en güzel yolu sistemi en baştan kurmaktır. Tabiki bu baştan kurma derken hiçbir binary dosyasını almamanız gerekiyor, yoksa yeni kurmuş olduğunuz sistemde de rootkit riski oluşabilir.

Rootkitler her yerden bulaşabilir. Kaynak koddan derlediğiniz ve nereden geldiğini bilmediğiniz programlardan bulaşma imkani yüksektir. En temiz yol dağıtımınızın web adreslerini kullanarak kurduğunuz paketlerdir.

Şimdi rootkitler nasıl bulunur inceleyelim.

Nasil Bulunur ?
Rootkitleri bulmak için 2 adet paket mevcuttur(benim bildiğim).Ama sadece rkhunter 'i anlatacagim

Rkhunter

GPL lisansı altında dağıtılıp ücretsiz olarak herkes yararlanabilir.http://sourceforge.net/projects/rkhunter/ adresinden kaynak kodlu halini indirebilirsiniz. Kaynak koddan derleyip boşa zaman harcamamak için tar.gz uzantılı halini rpm paketi haline
getirelim.

rpmbuild -ta rkhunter-1.3.0.tar.gz

Şimdi rpm paketini kuralim.

rpm -ihv /usr/src/redhat/RPMS/noarch/rkhunter-1.3.0.rpm

Kurulum bittikten sonra hemen güncel database varmı yokmu diye kontrol edelim?

rkhunter --update

Sistemi tarayalim 

rkhunter -c

rkhunter 'i belli bir zaman aralığında çalıştırmak ve versiyon güncellemesi yapmak için aşağıdaki betiği crontab -e dosyasına kaydetmeniz lazim. 

00 23 * * * /usr/local/bin/rkhunter --update > /dev/null ; /usr/local/bin/rkhunter -c -sk | mail -s "Rkhunter Rootkit Report" murat@fedoraturkiye.com

Rkhunter aşağıdaki rootkitleri ve backdoorları bulur. 

55808 Trojan - Variant A

 ADM W0rm

 AjaKit

 aPa Kit

 Apache Worm

 Ambient (ark) Rootkit

 Balaur Rootkit

 BeastKit

 beX2

 BOBKit

 CiNIK Worm (Slapper.B variant)

 Danny-Boy's Abuse Kit

 Devil RootKit

 Dica

 Dreams Rootkit

 Duarawkz Rootkit

 Flea Linux Rootkit

 FreeBSD Rootkit

 Fuck`it Rootkit

 GasKit

 Heroin LKM

 HjC Rootkit

 ignoKit

 ImperalsS-FBRK

 Irix Rootkit

 Kitko

 Knark

 Li0n Worm

 Lockit / LJK2

 mod_rootme (Apache backdoor)

 MRK

 Ni0 Rootkit

 NSDAP (RootKit for SunOS)

 Optic Kit (Tux)

 Oz Rootkit

 Portacelo

 R3dstorm Toolkit

 RH-Sharpe's rootkit

 RSHA's rootkit

 Scalper Worm

 Shutdown

 SHV4 Rootkit

 SHV5 Rootkit

 Sin Rootkit

 Slapper

 Sneakin Rootkit

 Suckit

 SunOS Rootkit

 Superkit

 TBD (Telnet BackDoor)

 TeLeKiT

 T0rn Rootkit

 Trojanit Kit

 URK (Universal RootKit)

 VcKit

 Volc Rootkit

 X-Org SunOS Rootkit

 zaRwT.KiT Rootkit

Backdoor, sniffer 

Anti Anti-sniffer 

LuCe LKM

THC Backdoor

Kaynaklar : http://www.rootkit.nl/projects/rootkit_hunter.html