Rootkit - O guia definitivo
Autor - insanity
e-mail -
mafiabrazil@gmail.comS.O - slackware
Rootkit e um programa, de diferentes tipos e estilos alguns mais avancados que os outros (Aplicativos rootkits ou Kernel rootkits).Basicamente programas que ajuda o
invasor ter poderes de root(adiminisdor).
Porque o nome rootkit?
"Root" adiministrador em *nix sitemas baseados
"Kit" coleção de tools.
Esses tools podem conter programas que ajudam o invasor esconder sua presença e ter controle total ao sevidor ou host, dornando o invasor "invisivel" e apagando os
rastros deixados.
Por isso que muitos perguntam "Rootkit, hackers ou scriptkid?". O "hacker jargon" define rootkit para scriptkit tool
Um tipico rootkit consiste nos seguintes ultilatarios
Backdoor Programas - login backdoors, telnetd, etc
Packet Sniffers - Sniff network traffic such as FTP, TELNET,POP3
Log-Wiping Utilities - Cobre os rastros do log do Bash
DDoS Programas - Turn the box into a DDoS cliente (Lembra do trin00?)
IRC\Bots - Bots used to take over IRC channels (Lame and annoying)
Miscellaneous programas - May contain exploit, log editor
Veja o que o hacker jargon fala sobre "rootkit",(Pra quem não conhece, muitos seguem o que ele diz)
Hacker Jargon Definition
Oh Hail the mighty hacker jargon!
This is what the "Hacker Jargon" says about the word "rootkit"...
"rootkit: /root´kit/, n.
[very common] A kit for maintaining root; an automated cracking tool. What script kiddies use. After a cracker has first broken in and gained root access, he or she will
install modified binaries such as a modified version login with a backdoor, or a version of ps that will not report the cracker's processes). This is a rootkit."
Wow! that's amazing! We worship you hacker jargon! Thank you ever so much for explaining to me what a rootkit is!
Remember kidz, all you have to do is read out some cool urban HaX@r words out the jargon to your friends and they will think your really c00l! and 1337
Em qual linguagem o rootkit é escrito
Geralmente um rootkit e codado em C ou assembly (shell code), Os mais frequente são encontrados C o proprio invasor pode editar o codigo e compilar de acordo com
seu alvo (Os arquivos de logs pode estar em diferentes locais, lembre-se disso)
Programas substituidos para esconder a presença do invasor
"ls","find","du" -> Os arquivos do invasor não será listado, encontrado , etc...
"ps","top","pidof" -> Todos os processos são listados, o do invasor será escondido
"netstat" -> Esconderá as portas abertas e conecçôes estabelisidas pelo invasor
"killall" -> Não poderá dar um "kill" nos processos do invasor
"ifconfig"
"crontab"
"tcpd" ,"syslogd" -> Não gravará os log's das conecções do invasor
"slocate", "updatedb"
Obs: Não esta nem na metade do assunto sobre rootkit, no proxima parte falarei sobre "Aplicativos rootkits e Kernel rootkits"
E rootkit para windows
sem mais
Darkers, invasao, plughacker etc... etc....
sem mais
O tópico é bom existe apenas 1 porém vc poderia te-lo editado conforme seu conhecimento, este tópico estpa identico ao do fórum antigo.
Não estou falando pelo motivo de ser pela cópia e sim do tópico mesmo estando bom, como vc não sei deve ter uma experiência nisso poderia dar alguma melhorada enfim mudar alguma coisa no tópico. Entenda isto como uma sugestão e não como uma crítica.