服务器存在rookit级别得木马后门如何查找

          在服务器安全应急服务中很多服务器中了一个rookit的木马后门,那rookit是一个隐藏其他进程的软件,这个软件可能是一个或一个以上的软件组合,那今天rookit这一词它已经变为一个驱动程序,也就是说恶意的驱动程序,就是加载到内核的恶意软件,那这个图画的比较复杂,大家可能不太理解,那我给大家简化一下,比如这是,用户层,用户层的意思就是咱们的执行命令,比如说bash,这个就是用户层,那内合成内核层就是Linux的系统内核,那所有的应用层其实都要调用到内核层的某一些函数。

那好,大家看一下比如我这里调用了一个ls,它就会调用系统内核的文件系统。这时候比如我现在打了一个ls,他就会调用这看一下这个目录下有没有文件,那有文件的话就返回给ls iOS去展示。那这个时候 rookit做的是什么?它在这里做了一个hook,当然这只是一个简略的图,我获得了用户的输入,比如说它ls它调用了系统内核的一个函数,那这个函数它的路径被我给占用了,我再去调用真正的系统函数,之后再把结果返回给ls。

那这个过程我是不是想让某一个文件展示出来,它就展示出来。比如我现在ls我想隐藏这个文件,我在rookit里,将这个文件再返回的结果里边删除掉就可以了。那好,我们来做个实验,将rookit插入到系统内核,rookit我已经编译好了,执行命令插入,插入之后再看一下咱们的端口,看已经看不到端口了。也就是说我用户层已经看不见有开着的端口,那就是因为我这个rookit将端口给隐藏掉了,清除这个rookit,从内核卸载掉它。

再看一下端口,AR已经出来了,那这就是rookit植入到咱们系统的一个最简单的应用。那比如咱们之前的一些排查方法,像查找文件,定时任务,或者一些隐藏的后门,一旦咱们常规的手段排查不出来,那就要测一下root的,他有可能将内核加载之后,它隐藏了自己的文件,或者隐藏了自己的端口。

那看一下。我是编译就不讲了,因为这个有项目大家可以后边我会给推给大家,大家可以去看一下。那检查。现在已经植入了locate,我们如何检查是不是系统被中了rookit,那安装一下checkout,因为我之前已经安装了,所以这里就不再重新安装了,直接执行这条命令就可以了。

分享: