A rootkit is a program (or combination of several programs) designed to take fundamental control (in Unix terms “root” access, in Windows “Administrator” access) of a computer system, without authorization by the system’s owners and legitimate managers.

Nah, salah satu rootkit yang kemarin sempat kenalan namanya adalah SHV5. Rootkit ini ketika dipasang akan mengganti beberapa perintah dasar yang ada di sistem dengan file yang ada pada paket rootkit ini. Perintah dasar yang diganti oleh shv5 ini antara lain ls, top, ps, dan netstat. Selain mengganti perintah dasar rootkit ini juga menanam sebuah backdoor. Kalau melihat scriptnya secara default backdoor ini dibuat untuk listening di port 1990 dan password defaultnya adalah westside.

File-file yang muncul akibat shv5 rootkit adalah sebagai berikut :

|-- dev
| |-- srd0
|-- etc
| |-- sh.conf
|-- lib
| |-- libsh.so/
| |-- libproc.a
| |-- libproc.so.2.0.6
| |-- lidps1.so
|-- sbin
| |-- ttyload
| |-- ttymon
|-- usr
| |-- include
| | |-- file.h
| | |-- host.h
| | |-- log.h
| | |-- proc.h
| |-- lib
| | |-- libsh/
| |-- sbin
| | |-- ttyload


Untuk memasang rootkit ini hanya tinggal mengeksekusi file setup dan tidak lupa root yang mengeksekusinya. Setelah terpasang silahkan coba ssh ke port 1990 atau port lain yang ditentukan sendiri. Bisa bukan ??

Ciri-ciri sistem yang terpasang rootkit adalah ketika mengeksekusi perintah top maka keluarannya akan ada tambahan seperti :

Unknown HZ value! (75) Assume 100.


Cara lain untuk mengetahui adanya rootkit di dalam sistem adalah dengan menggunakan pemburu rootkit seperti rootkit hunter (rkhunter) atau chkrootkit. Program tersebut bisa mengenali berbagai macam rootkit. Dari kedua program tersebut yang paling mudah dipakai (menurut saya) adalah rkhunter. Rkhunter ini juga bisa berjalan sebagai daemon.