Rootkit Nedir ?

Rootkit Nedir ?

Rootkit ‘ler sistem dosyalarını değiştirerek dışardan erişim yapılmasına olanak sağlayan ve kendini gizleyen programcıklardır. Bulunması güç, bulundugu taktirde olumlu bir şekilde temizlenmesi zordur. Kurtulmanın en güzel yolu sistemi en baştan kurmaktır. Tabiki bu baştan kurma derken hiçbir binary dosyasını almamanız gerekiyor, yoksa yeni kurmuş olduğunuz sistemde de rootkit riski oluşabilir.

Rootkitler her yerden bulaşabilir. Kaynak koddan derlediğiniz ve nereden geldiğini bilmediğiniz programlardan bulaşma imkani yüksektir. En temiz yol dağıtımınızın web adreslerini kullanarak kurduğunuz paketlerdir.

Şimdi rootkitler nasıl bulunur inceleyelim.

Nasil Bulunur ?
Rootkitleri bulmak için 2 adet paket mevcuttur(benim bildiğim).Ama sadece rkhunter ‘i anlatacagim

Rkhunter

GPL lisansı altında dağıtılıp ücretsiz olarak herkes yararlanabilir.http://sourceforge.net/projects/rkhunter/ adresinden kaynak kodlu halini indirebilirsiniz. Kaynak koddan derleyip boşa zaman harcamamak için tar.gz uzantılı halini rpm paketi haline getirelim.

`rpmbuild -ta rkhunter-1.3.0.tar.gz`

Şimdi rpm paketini kuralim.

`rpm -ihv /usr/src/redhat/RPMS/noarch/rkhunter-1.3.0.rpm`

Kurulum bittikten sonra hemen güncel database varmı yokmu diye kontrol edelim?

`rkhunter --update`

Sistemi tarayalim

`rkhunter -c`

rkhunter ‘i belli bir zaman aralığında çalıştırmak ve versiyon güncellemesi yapmak için aşağıdaki betiği crontab -e dosyasına kaydetmeniz lazim.

`00 23 * * * /usr/local/bin/rkhunter --update > /dev/null ; /usr/local/bin/rkhunter -c -sk | mail -s "Rkhunter Rootkit Report" murat@fedoraturkiye.com`

Rkhunter aşağıdaki rootkitleri ve backdoorları bulur.

`55808 Trojan - Variant A`

`ADM W0rm`

`AjaKit`

`aPa Kit`

`Apache Worm`

`Ambient (ark) Rootkit`

`Balaur Rootkit`

`BeastKit`

`beX2`

`BOBKit`

`CiNIK Worm (Slapper.B variant)`

`Danny-Boy's Abuse Kit`

`Devil RootKit`

`Dica`

`Dreams Rootkit`

`Duarawkz Rootkit`

`Flea Linux Rootkit`

`FreeBSD Rootkit`

Fuck`it Rootkit

`GasKit`

`Heroin LKM`

`HjC Rootkit`

`ignoKit`

`ImperalsS-FBRK`

`Irix Rootkit`

`Kitko`

`Knark`

`Li0n Worm`

`Lockit / LJK2`

`mod_rootme (Apache backdoor)`

`MRK`

`Ni0 Rootkit`

`NSDAP (RootKit for SunOS)`

`Optic Kit (Tux)`

`Oz Rootkit`

`Portacelo`

`R3dstorm Toolkit`

`RH-Sharpe's rootkit`

`RSHA's rootkit`

`Scalper Worm`

`Shutdown`

`SHV4 Rootkit`

`SHV5 Rootkit`

`Sin Rootkit`

`Slapper`

`Sneakin Rootkit`

`Suckit`

`SunOS Rootkit`

`Superkit`

`TBD (Telnet BackDoor)`

`TeLeKiT`

`T0rn Rootkit`

`Trojanit Kit`

`URK (Universal RootKit)`

`VcKit`

`Volc Rootkit`

`X-Org SunOS Rootkit`

`zaRwT.KiT Rootkit`

Backdoor, sniffer

`Anti Anti-sniffer LuCe LKM THC Backdoor`

Kaynaklar : http://www.rootkit.nl/projects/rootkit_hunter.html

Rootkit Nedir ?

rpmbuild -ta rkhunter-1.3.0.tar.gz

rpm -ihv /usr/src/redhat/RPMS/noarch/rkhunter-1.3.0.rpm

rkhunter --update

rkhunter -c

00 23 * * * /usr/local/bin/rkhunter --update > /dev/null ; /usr/local/bin/rkhunter -c -sk | mail -s "Rkhunter Rootkit Report" murat@fedoraturkiye.com

55808 Trojan - Variant A

ADM W0rm

AjaKit

aPa Kit

Apache Worm

Ambient (ark) Rootkit

Balaur Rootkit

BeastKit

beX2

BOBKit

CiNIK Worm (Slapper.B variant)

Danny-Boy's Abuse Kit

Devil RootKit

Dica

Dreams Rootkit

Duarawkz Rootkit

Flea Linux Rootkit

FreeBSD Rootkit

Fuck`it Rootkit

GasKit

Heroin LKM

HjC Rootkit

ignoKit

ImperalsS-FBRK

Irix Rootkit

Kitko

Knark

Li0n Worm

Lockit / LJK2

mod_rootme (Apache backdoor)

MRK

Ni0 Rootkit

NSDAP (RootKit for SunOS)

Optic Kit (Tux)

Oz Rootkit

Portacelo

R3dstorm Toolkit

RH-Sharpe's rootkit

RSHA's rootkit

Scalper Worm

Shutdown

SHV4 Rootkit

SHV5 Rootkit

Sin Rootkit

Slapper

Sneakin Rootkit

Suckit

SunOS Rootkit

Superkit

TBD (Telnet BackDoor)

TeLeKiT

T0rn Rootkit

Trojanit Kit

URK (Universal RootKit)

VcKit

Volc Rootkit

X-Org SunOS Rootkit

zaRwT.KiT Rootkit

Anti Anti-sniffer LuCe LKM THC Backdoor

Written By

Murat Uğur Eminoğlu

Comments

Leave a Comment

Categories

Tags