Cracker, Black Hat

A kanadai nemzetiségű Maffiaboy, aki tavaly támadások sorozatát intézte több nagy Internetes site ellen, ezzel megbénítva azok működését több órára, most 8 hónap büntetést kapott.A 17 éves fiú, akinek nevét a kanadai törvények miatt nem hozták nyilvánosságra, a legnagyobb portálokat célozta meg, mint például Amazon.com, CNN.com, Yahoo.com, Ebay.com, és a számítógépgyártó Dell honlapját.. A támadás során az Ebay.com több mint 6 órán keresztül nem volt elérhető.



A fiú büntetését egy évre felfüggesztették, ezalatt teljesen eltiltották mindenfajta 'hacker/cracker' csoportok oldalainak látogatásástól, az iRC ilyen jellegű csatornáinak a látogatásástól. A büntetés letelte után pedig köteles lesz az RCMP (Royal Canadian Mounted Police) nevű szerverzetnek beszámolni arról, hogy az Interneten milyen szolgáltatásokat vesz igénybe. A RCMP gyűjtötte be Maffiaboy -t, miután az FBI kiadta a ellene a körözést az USA -ban.



Maffiaboy a vallomásába beismerte, hogy több mint 50 számítógépes hálózatba tört be, főként egyetemek rendszereibe, és számtalan esetben indított DDoS (Distributed Denial os Services) támadást Internetes célpontok ellen a Sinkhole nevű software segítségével.

A Rootkit -ek alattomos dolgok. Az áldozat rendszerébe jutattva, az ott levő binárisokat lecserélve egy hátsó bejáratot hagynak a a gépen. A Rootkit -ek működése a következő: a Rootkit lecseréli például a 'ps' binárist amely a proccesszek listáját adja vissza. A megfelelően megírt bináris teljesen egyenértékű a gyári 'ps' -el, de tartalmazza a szerver alkalmazást egy távolból kapcsolódó klienshez. A Rootkit lecseréli a rendszer 'md5sum' binárist is amely a rendszerre telepitett programok checksum -ját adja vissza. Tehát egy ellenőrzés alkalmával azt hazudja, hogy minden rendben van. Ezért a Rootkit -ek sokáig rejtve maradhatnak, és egy rosszul konfigurált gépen a megfelelő porton egy hátsó bejáratot tartanak fenn (ez pl egy jól felállított egyszerű csomagszűrővel - ipchains/iptables - kiküszöbölhető lenne).

Ilyen Rootkit például a LordSomer által írt backdoor, amely az alábbi binárispkat cseréli le: chfn, chsh, crontab, du, find, ifconfig, inetd, killall, linsniffer, login, ls, netstat, passwd, pidof, ps, rshd, syslogd, tcpd, top, sshd, and su.
Ha többet meg akarsz tudni a működéséről, és le akarod tesztelni, akkor innen letöltheted.

Kapcslódó cikkek:

Rootkit, avagy a hátsó bejárat

Rootkit -ek, és azok ismertetőjegyei

Folytatódik a SecurityFocus cikksorozata, a hogyan ismerjük fel a rendszerünkben lévő Rootkit -eket. Az aktuális fejezet a KOH nevezetű backdoor -t ismerteti. Toby Miller írása végigvezet minket a felderítés, detektálás, eltávolítás lépésein. A szerző szeretné, ha az olvasó a cikk elolvasása után eljutna egy olyan szintre, hogy meg tudja védeni a rendszerét ettől a 'hátsó bejárattól'.



A cikk:
http://www.securityfocus.com/focus/ids/articles/rootkit.html

Mik azok a rootkit -ek? Hogyan találhatjuk meg rendszerünkön a galád crackerek által titokban telepített backdoor -okat? Jon Lasser biztonsági konzultáns, a Bastille Linux project coordinátor -ra, a Linux and Unix for power users, a Think Unix című könyvek szerzője. Az Ő írását olvashatod erről a témáról 'You may already be hacked' címmel. Érdemes elolvasni.