A Rootkit -ek alattomos dolgok. Az áldozat rendszerébe jutattva, az ott levő binárisokat lecserélve egy hátsó bejáratot hagynak a a gépen. A Rootkit -ek működése a következő: a Rootkit lecseréli például a 'ps' binárist amely a proccesszek listáját adja vissza. A megfelelően megírt bináris teljesen egyenértékű a gyári 'ps' -el, de tartalmazza a szerver alkalmazást egy távolból kapcsolódó klienshez. A Rootkit lecseréli a rendszer 'md5sum' binárist is amely a rendszerre telepitett programok checksum -ját adja vissza. Tehát egy ellenőrzés alkalmával azt hazudja, hogy minden rendben van. Ezért a Rootkit -ek sokáig rejtve maradhatnak, és egy rosszul konfigurált gépen a megfelelő porton egy hátsó bejáratot tartanak fenn (ez pl egy jól felállított egyszerű csomagszűrővel - ipchains/iptables - kiküszöbölhető lenne).
Ilyen Rootkit például a LordSomer által írt backdoor, amely az alábbi binárispkat cseréli le: chfn, chsh, crontab, du, find, ifconfig, inetd, killall, linsniffer, login, ls, netstat, passwd, pidof, ps, rshd, syslogd, tcpd, top, sshd, and su.
Ha többet meg akarsz tudni a működéséről, és le akarod tesztelni, akkor innen letöltheted.
Kapcslódó cikkek:
Rootkit, avagy a hátsó bejárat
Rootkit -ek, és azok ismertetőjegyei