Como os rootkits são instalados em um servidor ubuntu?

Eu vi alguns posts sobre a verificação de rootkits, mas não consegui encontrar nenhuma informação sobre como eles chegam ao sistema Linux. Em particular, se você explorar um bug em um site php (sim, eu estou falando sobre drupageddon aqui), é possível instalar um rootkit, mesmo que você possa executar apenas como servidor web (www-data) e não como root. As poucas informações que encontrei sobre como elas são instaladas sugerem que você precisa ser root para instalá-las (veja aqui ).

Se fosse eu, eu seguiria o seguinte método:

• Peça a um usuário que baixe e instale um software (nº 1). Faça com que o software instale o software pretendido. Ocultar um blob binairy dentro desse aplicativo permite fazer o download de software (por exemplo, uma ferramenta que você pode usar para ftp, wget etc.).
• Solicite a conta de administrador (# 2) e use-a para usar uma instância do ftp, wget para baixar e instalar o rootkit.

Em relação ao item 1: um usuário nunca deve baixar software aleatório ao usar o Linux; use os canais apropriados (Ubuntu Software Center) para instalar o software. Se for um software que precisa ser baixado fora dos canais apropriados, verifique se a fonte do download pode ser confiável. Pense nas versões mais recentes do software Apache ou MySQL. Não saia por aí baixando software aleatório sem verificar diferentes mídias sociais sobre a integridade desse aplicativo. A Microsoft nunca centralizou o software; isso resultou em muitas pessoas se interessando por software, de modo que sua base de usuários é hugh, mas isso também facilitou o acesso a computadores e a coleta de dados que eles podem vender.

Em relação ao item 2: falha fatal do usuário. Nunca, jamais, digite sua senha de administrador, a menos que você saiba por que ela é solicitada.

Sim, em geral, é necessária permissão root para instalar um rootkit. Muitos dos rootkits contêm um módulo carregado no kernel, outra ferramenta de substituição apenas usada normalmente pelo root. Em um sistema corretamente configurado e perfeito, não haveria maneira de instalar o kit raiz sem privilégios de root, mas ...

... pode haver problemas com a configuração do sistema, tornando o sistema inseguro. ... pode haver erros de segurança que permitem a elevação de privilégios ... pode haver maneiras de enganar um usuário com permissões de root para executar algo ruim.

Os caminhos são tão ilimitados quanto a imaginação do intruso.