Kalau mengutip dari wikipedia rootkit artinya :

A rootkit is a program (or combination of several programs) designed to take fundamental control (in Unix terms “root” access, in Windows “Administrator” access) of a computer system, without authorization by the system’s owners and legitimate managers.


Nah, salah satu rootkit yang kemarin sempat kenalan namanya adalah SHV5. Rootkit ini ketika dipasang akan mengganti beberapa perintah dasar yang ada di sistem dengan file yang ada pada paket rootkit ini. Perintah dasar yang diganti oleh shv5 ini antara lain ls, top, ps, dan netstat. Selain mengganti perintah dasar rootkit ini juga menanam sebuah backdoor. Kalau melihat scriptnya secara default backdoor ini dibuat untuk listening di port 1990 dan password defaultnya adalah westside.

File-file yang muncul akibat shv5 rootkit adalah sebagai berikut :

|-- dev
| |-- srd0
|-- etc
| |-- sh.conf
|-- lib
| |-- libsh.so/
| |-- libproc.a
| |-- libproc.so.2.0.6
| |-- lidps1.so
|-- sbin
| |-- ttyload
| |-- ttymon
|-- usr
| |-- include
| | |-- file.h
| | |-- host.h
| | |-- log.h
| | |-- proc.h
| |-- lib
| | |-- libsh/
| |-- sbin
| | |-- ttyload

Untuk memasang rootkit ini hanya tinggal mengeksekusi file setup dan tidak lupa root yang mengeksekusinya. Setelah terpasang silahkan coba ssh ke port 1990 atau port lain yang ditentukan sendiri. Bisa bukan ??

Ciri-ciri sistem yang terpasang rootkit adalah ketika mengeksekusi perintah top maka keluarannya akan ada tambahan seperti :

Unknown HZ value! (75) Assume 100.

Cara lain untuk mengetahui adanya rootkit di dalam sistem adalah dengan menggunakan pemburu rootkit seperti rootkit hunter (rkhunter) atau chkrootkit. Program tersebut bisa mengenali berbagai macam rootkit. Dari kedua program tersebut yang paling mudah dipakai (menurut saya) adalah rkhunter. Rkhunter ini juga bisa berjalan sebagai daemon.

& Komentar

  • At 2008.07.26 00:14, Rafki RS said:

    Apa bedanya dengan virus atau spyware?

    • At 2008.07.26 01:11, stwn said:

      tidak selalu port 1990, terserah si cracker sih

      aplikasi “hunter” umumnya menggunakan semacam “basis data” seperti antivirus atau daftar hitam polisi ;-)

      • At 2008.07.27 19:07, Yuda said:

        @stwn : memang, kan saya bilangnya secara default ;)

        • At 2008.07.28 15:30, Harry said:

          kalo di mindows semacam spyware gitu pa ya?

          • At 2008.07.30 14:35, Membersihkan shv5 rootkit | my own log said:

            [...] bermain-main dengan shv5 rootkit yang sudah dipasang, sekarang bagaimana membersihkannya ?? Kalau bertanya-tanya ke om google biasanya jawaban yang [...]

            • At 2008.07.31 07:40, stwn said:

              maksudku “umumnya menggunakan semacam basis data” adalah kalau basis datanya terkinikan berarti bagus, tapi kalau tidak?

              aku belum tau apakah ada “hunter” yang menggunakan semacam deteksi “anomali”

              • At 2008.07.31 08:08, Yuda said:

                Kalo kemaren nyoba rkhunter, dia mengecek atribut file-file penting seperti ls, dkk apakah immutable atau tidak selain juga mengecek menggunakan basisdata yang sudah ikut di distribusi.

                • At 2008.08.01 20:02, kang mas dj said:

                  Hehehe, masih shv nan toh? backdoor berbackdoor yang menyungkemkan root ke authornya ^^. Silakan bagi mas-mas yang bedomisili di jaringan lokal UGM di nikmati codingan-codingan iseng saya selama kuliah di

                  http://10.13.8.87/stuff
                  atau
                  http://10.13.8.87/stuff/0×01-tool+rootkit/

                  rootkit disitu bukan hanya rootkit based infeksi binary runtime, ada contoh-contoh loadable kernel module juga, PCAP based rootkit dll. Tidak eleet sih bcoz sekarang sudah banyak rootkit yang lebih cool macem virtualisasi rootkit, SMM rootkit, rootkit ditanem di PCI dkk. Salam,

                  • At 2008.08.05 11:11, Yuda said:

                    Ya masih meraba-raba sih mas :)
                    Thx infonya.

                    • At 2009.04.07 00:19, yoga said:

                      Apa fungsi rootkit untuk menyembunyikan proses pada virus agar tidak ditampilkan?

                      (Required)
                      (Required, will not be published)