xingyiquan: un sencillo pero efectivo rootkit para Linux

xingyiquan es un sencillo rootkit para Linux con kernels 3.x y 2.6.x.

FUNCIONES

– escalado de privilegios
Este rootkit tiene una utilidad llamada xingyi_rootshell que, una vez que el rootkit ha sido instalado, permite obtener un rootshell escribiendo:  ./xingyi_rootshell “sw0rdm4n”.

La cadena “sw0rdm4n” es la contraseña por defecto y la puedes encontrar en el fichero de configuración de usuario:
xingyi_userspace_src/xingyi_userspace_config.h

– bind shell
Este rootkit viene con un bind shell sobre el puerto 7777 usando la contraseña por defecto: “sw0rdm4n”.  Igual que antes, puedes encontrar el string en xingyi_userspace_src/xingyi_userspace_config.h

– reverse shell
Este rootkit tiene la funcionalidad de shell inverso que puede ser activado mediante un hook de netfilter. Para que se conecte a tu IP a través del puerto 7777 tienes que "dispararlo"  previamente haciendo telnet al puerto 1337 de la máquina con el rootkit. Antes de hacerlo asegúrate de tener escuchando un netcat en el puerto 7777.

– otras funciones normales
ocultar ficheros y directorios, ocultar conexiones, ocultar módulos, hook de procesos kill, abrir hooks, etc.

Descarga:

http://www.ringlayer.net/repo/xingyiquan.tar.gz
http://dl.packetstormsecurity.net/UNIX/penetration/rootkits/xingyiquan.tar.gz


Desarrollado por Sw0rdm4n (@sw0rdm4n)
Official Website :
- www.ringlayer.net
- www.cr0security.com

3 comentarios :

  1. Buen día,

    Como se puede identificar o evitar la instalación?

    ResponderEliminar
    Respuestas
    1. Hola Javier,

      el rootkit sólo se instalará como root (post-explotación) por lo que para evitarlo sólo tendrás que intentar que no te comprometan la máquina ;)
      En cuanto detectarlo echa un vistazo a esta lista de rootkits:
      http://www.hackplayers.com/2014/09/lista-de-anti-rootkits.html

      Saludos,

      Eliminar
  2. Esto es sirve para crear un rootkit??

    Si es para crear uno, ¿¿como puedo hacer para que se quede alojado en un servidor??

    ResponderEliminar