Wukong: LKM руткит для ядра Linux 2.6.x, 3.x и 4.x

Примечание: Этот руткит предназначен только для образовательных целей и не должен использоваться в незаконных действиях. Используйте его на свой страх и риск.

Функции:

1. Скрыть процесс Linux.
2. Скрыть TCP-соединение.
3. Скрыть файл или каталог.
4. Скрыть wukong.ko.
5. Перенаправить TCP-соединение на бэкдор-сервер с использованием специального конфиденциального пароля.

Использование:

1. Среда:

   • Ubuntu-14.04 (1.1.1.33) — (1.1.1.1) Ubuntu-14.04 (клиент) — (сервер).

2. Тестовый шаг: a. На сервере: * cd wukong/ * sudo ./install.pl * sudo nc -k -l 80

   b. На клиенте: * nc 1.1.1.1 80 * http * ifconfig * PS: Соединение будет перенаправлено на bindshell.

    * nc 1.1.1.1 80
    * 111111
    * PS: Будет получен ответ rst.
   
    * nc 1.1.1.1 80
    * 111111
    * aaaaaa
    * PS: Соединение установится через tcp 80.

3. Результат: а. Файл bindshell скрыт. б. Соединение tcp 8000 скрыто. в. Процесс bindshell скрыт. г. wukong.ko скрыт. д. Если «http» является первыми четырьмя байтами TCP 80, соединение будет установлено с bindshell.

Тестированные ОС: CentOS-5.5-i386-bin-DVD.iso, Linux 2.6.18-408.el5 #1 SMP Tue Jan 19 09:13:33 EST 2016 i686 i686 i386 GNU/Linux. CentOS-5.5-x86_64-bin-DVD, Linux 2.6.18-194.el5 #1 SMP Fri Apr 2 14:58:14 EDT 2010 x86_64 x86_64 x86_64 GNU/Linux. Ubuntu-14.04.2-desktop-i386.iso, Linux 3.16.0-30-generic #4014.04.1-Ubuntu SMP Thu Jan 15 17:45:15 UTC 2015 i686 i686 i686 GNU/Linux. Ubuntu-14.04.2-desktop-amd64.iso, Linux 3.16.0-30-generic #4014.04.1-Ubuntu SMP Thu Jan 15 17:43:14 UTC 2015 x86_64 x86_64 x86_64 GNU/Linux. Ubuntu-14.04.3-desktop-i386.iso, Linux 3.19.0-25-generic #2614.04.1-Ubuntu SMP Fri Jul 24 21:18:00 UTC 2015 i686 i686 i686 GNU/Linux. Ubuntu-14.04.3-desktop-amd64.iso, Linux 3.19.0-25-generic #2614.04.1-Ubuntu SMP Fri Jul 24 21:16:20 UTC 2015 x86_64 x86_64 x86_64 GNU/Linux.

ToDo: Выполнить настройку производительности, чтобы руткит мог работать на сервере Linux с большим трафиком. Добавить больше функций.