Одинокие в толпе   ::   Томсинов Антон

Запускаю скрипт, использующий найденную возможность, – и я уже в системе. Обычный хакер взял бы скрипт с какой-нибудь борды в Сети. Но мне по силам написать и собственный. На это много времени не надо, когда точно знаешь ошибку. Редактирую логи и устанавливаю root kit – чтобы сисадмин не выкинул меня моментально, если вдруг обнаружит.

Пришло время убедиться, что защита взломанной машины не только не будет возражать против моего присутствия, но и позже не выдаст меня. Чтобы быть уверенным в этом, удаляю /etc/init.d/names. Помню, что похожие функции обычно дублируются в /Ipd – отключаю и его.

Вирус меня побери! Самой большой наглостью после взлома будет послать им информацию о найденных дырах...

Я создал необходимые директории, нужные в root kit, сделал /dev/tty для не очень быстрого обнаружения сисадмином. Обычно все рекомендуют использовать /dev/... Что ж, пойдём за толпой.

Root kit включает в себя загружаемый модуль ядра (loadable kernel module). Я сам написал его в своё время. Он лучше тех аналогов, которые мне встречались. Очень затрудняет обнаружение новых файлов, скрывая их и себя. Даже команда Ismod, которая выдает список загруженных модулей ядра, не показывает его. Он также скрывает процессы, начинающиеся c kore.

Теперь – самое вкусное.

Я проинсталлировал identd с warp'oм из root kit. Файлы /usr/sbin/in.identd и /usr/sbtn/identd практически одинаковы. Ко второму не обращались уже давно, следовательно, это резервная копия.

Изменил владельца и группу на первом из этих файлов на root.