Как известно, применение модулей ядра позволяет расширить возможности ядра операционной системы без необходимости его перекомпиляции. Злоумышленник пишет код модуля ядра и загружает его. В дальнейшем, работая в пространстве ядра, такой модуль перехватывает системные вызовы и модифицирует ответ по своему предназначению, скрывая таким образом взлом системы. Но теперь взломщик получает практически безграничную власть в системе. Он может без проблем фильтровать логи, прятать файлы и процессы, выходить за пределы chroot, скрывать состояние системы и многое другое, зависящее только от фантазии взломщика. Программы контроля целостности типа Tripwire бесполезны против этого класса rootkit. Боролись с этим злом на первом этапе, контролируя добавление и удаление модулей, ограничением круга пользователей (демонов), которые могли работать с модулями или вообще отказом от их использования (т.е. ответ N в опции CONFIG_MODULES) и собирая монолитное ядро. Некоторое время это как-то помогало, но Сильвио Цезаре (Silvio Cesare) обосновал возможность загрузки модуля в ядро, используя устройство /dev/kmem, управляющее памятью ядра, и написал программу kinsmod, позволяющую проделать это, хотя это все намного сложнее. Для информации загляните на его страницу http://www.big.net.au/~silvio, там до недавнего времени лежал файл runtime-kernel-kmem-patching.txt, но сейчас почему-то пропал или, например, целых три статьи в номере 58 (файлы р58-0х06, р58-0х07, р58-0х08) журнала Phrack «Sub proc_root Quando Sumus (Advances in Kernel Hacking)», «Linux on-the-fly kernel patching without LKM» и «IA32 ADVANCED FUNCTION HOOKING», и есть информация в следующих номерах журнала.

Были предложены несколько вариантов решений проблемы, например, по адресу http://www.cs.uni-potsdam.de/homepages/students/linuxer, можно найти вариант Себастьяна Крамера (Sebastian Krahmer), предлагающего контролировать и регистрировать вызов execve() и в комбинации с контролем логов пробовать отловить вторгшегося. Вот список типично изменяемых системных вызовов: sys_clone, sys_close, sys_execve, sys_fork, sys_ioctl, sys_kill, sys_mkdir, sys_read, sys_readdir, sys_write. Но до окончательной победы еще ой как далеко.

Как защититься от rootkits?

Так как rootkits – это программы, обеспечивающие беспроблемное существование взломщика, а не программы для взлома системы, то чтобы от них не избавляться, лучше их попросту не подцеплять. А посему настраиваем firewall, убираем все лишние сервисы, и вакцинируем систему, т.е. устанавливаем всевозможные патчи, обновляем ПО, убираем поддержку модулей ядра или хотя бы периодически проверяем загруженные при помощи lsmod (если еще доверяете этой утилите). При помощи специальных патчей к ядру вроде LIDS (http://www.lids.org) ограничиваем права root, лишая тем самым нападающего части преимуществ, а также защищаем исполняемые файлы, установив для них режим «только для чтения» – READONLY, чтобы никто не мог их заменить или удалить, а файлам журналов разрешить только дозапись данных APPEND, чтобы исключить возможность стирания данных. Запустив команду netstat -an, запоминаем все открытые порты на свежей системе, а заодно убеждаемся, что ничего не забыто. В дальнейшем необходимо для выяснения возможных различий производить сканирование при помощи внешнего чистого компьютера (испытуемому лучше не доверять). Используем, например, nmap.