鲁达 Rootkit是一组计算机软件的合集,通常是恶意的,它的目的是在非授权的情况下维持系统最高权限(在Unix、Linux下为root,在Windows下为Administrator)来访问计算机。与病毒或者木马不同的是,Rootkit试图通过隐藏自己来防止被发现,以到达长期利用受害主机的目的。Rootkit和病毒或者木马一样,都会对Linux系统安全产生极大的威胁。
本章将首先介绍Linux rootkit的分类和原理,然后介绍用于检测Rootkit的工具和方法。接下来,本章将介绍病毒木马扫描技术。Webshell作为恶意代码的一种例子,也可以看做是一种特殊形式的木马,它以Web服务器运行环境为依托,实现黑客对受害主机长期隐蔽性的控制。在本章的最后部分,也对这种恶意代码的检测方法做了讲解。
1.1 Rootkit分类和原理
Rootkit的主要功能包括:
- 隐藏进程
- 隐藏文件
- 隐藏网络端口
- 后门功能
- 键盘记录器
Rootkit主要分为以下2种:
- 用户态Rootkit(User-mode Rootkit):一般通过覆盖系统二进制和库文件来实现。它具有如下的特点:
- 它通常替换的二进制文件为ps、netstat、du、ping、lsof、ssh、sshd等,例如已知的Linux t0rn rootkit(,访问日期:2019年2月11日)替换的文件就包括ps(用于隐藏进程)、du(用于隐藏特定文件和目录)。
- 它也可能使用环境变量LD_PRELOAD和/etc、/etc等加载黑客自定义的恶意库文件来实现隐藏。例如,beurk()这个Rootkit正是使用了这种技术。
- 它还可能直接在现有进程中加载恶意模块来实现隐藏。例如,在GitHub上托管的这个项目就是在Apache进程中注入恶意动态加载库来实现远程控制和隐藏的Rootkit。
- 它不依赖于内核(Kernel-independent)。
- 需要为特定的平台而编译。
- 内核态Rootkit(Kernel-mode Rootkit):通常通过可加载内核模块(LoadableKernel Module,LKM)将恶意代码被直接加载进内核中。它具有如下的特点:
- 它直接访问/dev/{k,}mem。
- 更加隐蔽,更难以检测,通常包含后门。
在这里需要指出的是,用于获得root权限的漏洞利用工具不是Rootkit;用于获得root权限的漏洞利用工具被称为提权工具。通常情况下,黑客攻击的动作序列为:
(1)定位目标主机上的漏洞,这一般是通过网络扫描和Web应用扫描工具来实现的,使用的工具包括但不限于《Linux系统安全:纵深防御、安全扫描与入侵检测》中《第10章 Linux安全扫描工具》中提到的相关工具。
(2)利用漏洞提权。在步骤(1)中获得的权限可能不是root超级用户权限,此时黑客通过系统中的本地提权漏洞非法的获得root权限。
(3)提权成功后安装Rootkit。
(4)擦除痕迹,通过删除本地日志、操作历史等擦除痕迹。
(5)长期利用被植入了Rootkit的主机。黑客可能会把这些植入了Rootkit的主机作为挖矿机、发动DDoS分布式拒绝服务攻击的僵尸网络等等。
1.2 可加载内核模块
Linux是单内核(monolithic kernel),即操作系统的大部分功能都被称为内核,并在特权模式下运行。通过可加载内核模块可以在运行时动态地更改Linux。可动态更改是指可以将新的功能加载到内核或者从内核去除某个功能。
加载一个模块使用如下命令(只有root有此权限):
使用可加载内核模块的优点有:
- 可以让内核保持比较小的尺寸,不至于内核过大过臃肿。
- 动态加载,避免重启系统。
- 常常用于加载驱动程序。
- 模块加载之后,与原有的内核代码地位等同。
但是,在带来便利性的同时,可加载内核模块也带来了如下的风险:
- 可能会被恶意利用在内核中注入恶意代码,例如12.1节中提到的内核态Rootkit。
- 可能会导致一定的性能损失和内存开销。
- 代码不规范的模块可能会导致内核崩溃、系统宕机。
1.3 利用Chkrootkit检查Rootkit
Chkrootkit是本地化的检测rootkit迹象的安全工具,其官方网站是。Chkrootkit包含:
- chkrootkit:这是一个shell脚本,用于检查系统二进制文件是否被rootkit修改。
- i:检查网络端口是否处于混杂模式(promiscuousmode)。
- c:检查lastlog是否删除。
- c:检查wtmp是否删除。
- c:检查wtmpx是否删除(仅适用于Solaris)
- c:检查可加载内核模块木马的痕迹。
- c:检查可加载内核模块木马的痕迹。
- :快捷的字符串替换。
- c:检查utmp是否删除。
Chkrootkit可以识别的Rootkit如图1所示:
图1 Chkrootkit可识别的Rootkit
1.3.1 Chkrootkit安装
使用如下命令安装Chkrootkit:
1.3.2 执行Chkrootkit
经过1.3.1中的安装步骤后,在/opt/c/目录下存储了编译后的二进制文件和相关脚本。执行Rootkit检查的命令如下:
输出结果中可能包含的状态字段如下:
- “INFECTED”:检测出了一个可能被已知rootkit修改过的命令。
- “not infected”:未检测出任何已知的rootkit指纹。
- “not tested”:未执行测试--在以下情形中发生这种情况:
- 这种测试是特定于某种操作系统的。
- 这种测试依赖于外部的程序,但这个程序不存在。
给定了一些特定的命令行选项(例如,-r)。
- “not found”:要检测命令对象不存在。
- “Vulnerable but disabled”:命令虽然被感染,但没有在使用中(例如,非运行状态或者在ine被注释掉了)
1.4 利用Rkhunter检查Rootkit
Rkhunter是Rootkit Hunter(Rootkit狩猎者)的缩写,是另一款常用的开源Rootkit检测工具。
Rkhunter的官方网站是。
1.4.1 Rkhunter安装
使用如下命令安装Rkhunter:
1.4.2 执行Rkhunter
在完成1.4.1的安装步骤后,Rkhunter的二进制可执行文件被存储在/usr/local/bin/rkhunter路径。
执行以下命令进行系统扫描:
执行完成后,扫描日志会写入/var/log文件中。重点关注该文件最后部分的内容即可,如下所示:
[22:12:43]Info: End date is Mon Feb 11 22:12:43 CST 2019 #系统检测结束的时间
1.5总结
Linux Rootkit作为黑客隐藏其恶意行为的关键技术,具有很强的隐蔽性和迷惑性。本文讲的两种工具,可以在一定程度上识别出常见Rootkit。对于新型的Rootkit,可以使用独立编译的Busybox等二进制进行对比分析。
本文主要内容摘要自胥峰新书《Linux系统安全:纵深防御、安全扫描与入侵检测》。通过学习《Linux系统安全:纵深防御、安全扫描与入侵检测》,可以系统性、整体化的构建Linux安全体系。
作者胥峰简介:
新钛云服首席解决方案架构师,十二年运维经验,曾长期在盛大游戏担任运维架构师,参与盛大游戏多款大型端游和手游的上线运维。资深Linux专家,拥有工信部高级信息系统项目管理师资格,著有畅销书《Linux系统安全:纵深防御、安全扫描与入侵检测》、《Linux运维最佳实践》,译著《DevOps:软件架构师行动指南》是DevOps领域的经典著作。