本文讨论了Linux环境下攻击者入侵成功以后常常使用的一些后门技术，并且对最著名的rootkit工具之一?knark进行了详细的分析，并且指出了在发现系统被入侵以后如何发现是否是kark及如何恢复。

什么是"rootkit"?

入侵者入侵后往往会进行清理脚印和留后门等工作，最常使用的后门创建工具就是rootkit。不要被名字所迷惑，这个所谓的“rootkit”可不是给超级用户root用的，它是入侵者在入侵了一太主机后，用来做创建后门并加以伪装用的程序包。这个程序包里通常包括了日志清理器，后门等程序。同时，程序包里通常还带有一些伪造的ps、ls、who、w、netstat等原本属于系统本身的程序，这样的话，程序员在试图通过这些命令查询系统状况的时候，就无法通过这些假的系统程序发觉入侵者的行踪。

在一些黑客组织中,rootkit (或者backdoor) 是一个非常感兴趣的话题。各种不同的rootkit被开发并发布在internet上。在这些rootkit之中, LKM尤其被人关注, 因为它是利用现代操作系统的模块技术。作为内核的一部分运行,这种rootkit将会越来越比传统技术更加强大更加不易被发觉。一旦被安装运行到目标机器上, 系统就会完全被控制在hacker手中了。甚至系统管理员根本找不到安全隐患的痕迹, 因为他们不能再信任它们的操作系统了。后门程序的目的就是甚至系统管理员企图弥补系统漏洞的时候也可以给hacker系统的访问权限。

入侵者通过：设置uid程序, 系统木马程序, cron后门等方法来实现入侵者以后从非特权用户使用root权限。

设置uid程序。 黑客在一些文件系统理放一些设置uid脚本程序。无论何时它们只要执行这个程序它们就会成为root。

系统木马程序。黑客替换一些系统程序,如"login"程序。因此, 只要满足一定的条件，那些程序就会给黑客最高权限。

Cron后门。黑客在cron增加或修改一些任务,在某个特定的时间程序运行，他们就可以获得最高权限。

具体可能通过以下方法给予远程用户以最高访问权限: ".rhost" 文件, ssh认证密钥, bind shell, 木马服务程序。

".rhosts" 文件。一旦 "+ +"被加入某个用户的.rhosts文件里, 任何人在任何地方都可以用这个账号来登陆进来而不需要密码。

ssh认证密钥。黑客把他自己的公共密钥放到目标机器的ssh配置文件"authorized_keys"里, 他可以用该账号来访问机器而不需要密码。

Bind shell。黑客绑定一个shell到一个特定的tcp端口。任何人telnet这个端口都可以获得交互的shell。更多精巧的这种方式的后门可以基于udp,或者未连接的tcp, 甚至icmp协议。

Trojaned服务程序。任何打开的服务都可以成为木马来为远程用户提供访问权限。例如, 利用inetd服务在一个特定的端口来创建一个bind shell，或者通过ssh守护进程提供访问途径。

在入侵者植入和运行后门程序之后, 他会设法隐藏自己存在的证据，这主要涉及到两个方面问题: 如何来隐藏他的文件且如何来隐藏他的进程。

为了隐藏文件, 入侵者需要做如下事情: 替换一些系统常用命令如"ls", "du", "fsck"。在底层方面, 他们通过把硬盘里的一些区域标记为坏块并把它的文件放在那里。或者如果他足够疯狂，他会把一些文件放入引导块里。

为了隐藏进程, 他可以替换 "ps"程序, 或者通过修改argv[]来使程序看起来象一个合法的服务程序。有趣的是把一个程序改成中断驱动的话，它就不会出现在进程表里了。

RootKit-Knark的历史

Knark是第二代的新型rootkit工具-其基于LJM(loadable kernel module)技术，使用这种技术可以有效地隐藏系统的信息。作者在代码和README文件中都标注有不承担责任的声明，声明该代码不可以被用作非法活动。然而该软件可以容易地被用于这种目的。

Knark是由creed@sekure.net编写的，主要基于http://www.dataguard.no/bugtraq/1997_4/0059.html中Runar Jensen编写的代码heroin.c，设计思想主要来自于Phrack 52中plaguez发表的文章Weakening the Linux Kernel"。在重新编写了heroin.c的大部分代码以后，Creed决定重新命名为"Knark"，在瑞典语中是指吸毒者。Creed编写的其他软件可以在www.sekure.net/~happy-h/得到，但是由于该站点只有瑞典语版本，因此应用并不广泛。

Knark的第一个公开版本是0.41，发布于June, 1999。可以在B4B0 #9中索引到它：http://packetstorm.securify.com/mag/b4b0/b4b0-09.txt。随后0.50和0.59被发布，当前版本是0.59。可以从这里下载0.59版。

Knark0.59具有以下特性：

隐藏或显示文件或目录

隐藏TCP或UDP连接

程序执行重定向

非授权地用户权限增加("rootme")

改变一个运行进程的UID/GID的工具

非授权地、特权程序远程执行守护进程

Kill –31来隐藏运行的进程

联合使用程序执行重新定向和文件隐藏，入侵者能提供各种后门程序执行。由于执行重定向是在内核级别进行的，因此文件检测工具不会发现程序文件被修改-原始的执行程序并没有被修改，因此配置检测工具在路径环境中也不会发现任何异常。

如果Knark结合另外一个用来隐藏系统当前加载的模块的LKM工具modhide，就可能实现甚至通过lsmod命令也不能发现knark的存在。