Come vengono installati i rootkit su un server Ubuntu?

Ho visto alcuni post sul controllo dei rootkit ma non sono stato in grado di trovare alcuna informazione su come ottengono su un sistema Linux. In particolare se si sfrutta un bug in un sito Web php (sì, sto parlando di drupageddon qui) è possibile installare un rootkit anche se è possibile eseguire solo come server Web (dati www) e non come root. Le pochissime informazioni che ho trovato su come sono installate suggeriscono che devi essere root per installarle (vedi qui ).

Se fossi in me perseguirei il seguente metodo:

• Chiedi a un utente di scaricare e installare un software (n. 1). Chiedi a quel software di installare il software previsto. Nascondere un blob binairy all'interno di quell'applicazione consente di scaricare software (ad esempio uno strumento che è possibile utilizzare per ftp, wget ecc.).
• Richiedi l'account admin (n. 2) e utilizzalo per utilizzare un ftp, istanza wget per scaricare e installare il rootkit.

Riguardo al n. 1: un utente non deve mai scaricare software casuale quando usa Linux; utilizzare i canali appropriati (Ubuntu Software Center) per installare il software. Se è un software che deve essere scaricato al di fuori dei canali appropriati, assicurarsi che l'origine del download sia attendibile. Pensa alle ultime versioni del software Apache o MySQL. Non andare in giro a scaricare software casuale senza consultare diversi social media sull'integrità di tale applicazione. Microsoft non ha mai centralizzato il software; ha portato molte persone a dilettarsi con il software, quindi la loro base di utenti è enorme, ma ciò ha anche reso facile entrare nei computer e iniziare a raccogliere dati che possono vendere.

Per quanto riguarda # 2: difetto fatale dell'utente. Mai e poi mai e poi mai digitare la password dell'amministratore a meno che non si sappia perché viene richiesto.

Sì, in generale sono richiesti i permessi di root per installare un rootkit. Molti rootkit contengono un modulo che viene caricato nel kernel, altri solo strumenti di sovrascrittura tipicamente usati da root. In un sistema perfettamente impostato e perfetto non ci sarebbe modo di installare il root kit senza i privilegi di root, ma ...

... potrebbero esserci problemi con la configurazione del sistema che rende il sistema non sicuro. ... potrebbero esserci dei bug di sicurezza che permettono un aumento dei privilegi ... potrebbero esserci modi per ingannare un utente con permessi di root per eseguire qualcosa di malvagio.

Le vie sono illimitate quanto l'immaginazione dell'intruso.