как лучше закрепица на фряхе 4.8? фбрк вроде не катит. Какие есть идеи?

http://www.eviltime.com/download/rootkit/adorebsd-0.34.tar.gz

А ты сам его юзал? как там с глюками? и ваще пойдёт для этой версии?

Нужен хороший rootkit под FreeBSD. Кто что может посоветовать ?

На здоровье... :)
_hxxp://www.google.ru/search?hl=ru&q=FreeBSD+rootkit+&btnG=%D0%9F%D0%BE%D0%B8%D1%81%D0%BA+%D0%B2+Google&lr=

Вырезка из статьи Форба в журнале Хакер.

Слово за FreeBSD

Согласись, несправедливо, что я описываю только linux-руткиты. Это связано с нехваткой хакерских комплектов для других систем. В частности для FreeBSD. Но не все так плохо: для фряхи существует средненький по возможностям руткит, который получил название fbrk (сокращенно от FreeBSD rootkit). Этот комплект может использоваться для FreeBSD версии 4.2-4.5.

Установить fbrk не просто, а очень просто. Достаточно запустить скрипт setup без параметров. Тебе предложат сгенерировать пароль, после чего все бинарники установятся в систему. Не стоит забывать об осторожности: я тестировал руткит на FreeBSD 4.6, после чего новые файлы перестали запускаться. Поэтому, как в случае с shv4, необходимо сделать спасительный бэкап. Прочитав readme, ты узнаешь о том, сколько всяких троянцев установится в систему. В первую очередь, fbrk хорош тем, что умеет скрывать файлы и процессы. Необходимо лишь занести их в конфиги /dev/fd/.99/.ttyf00 и /dev/fd/.99/.ttyp00 соответственно. Синтаксис конфигов также указан в readme, поэтому посылаю тебя в этот файл для детального изучения руткита :).

Чтобы получить рутовые привилегии, нужно объявить переменную окружения DISPLAY, значением которой будет заданный пароль. После этого смело запускай telnet localhost и получай абсолютные права. Если залогиниться через FTP под твоим паролем (указывается в качестве username), то руткит даст тебе удаленного рута на 21 порту. По желанию на 65535 порту будет висеть еще один бэкдор, который активирует bash после ввода хакерского пароля.

Кроме этого, руткит содержит два незаменимых логклинера, которые называются freshb (бинарный логвайпер) и fresht (текстовый логвайпер). Им достаточно указать подстроку в качестве параметра, и логи будут быстро вычищены.

Если тебе не нравится этот руткит, можешь заюзать adore для FreeBSD, благо он тоже имеется (http://packetstormsecurity.nl/groups/teso/adorebsd-0.34.tar.gz). Те же модули, те же возможности, те же баги :), но только для твоей любимой Фряхи.

Есть мнение, что в шестой ветке этот номер не пройдет

На здоровье... :)
_hxxp://www.google.ru/search?hl=ru&q=FreeBSD+rootkit+&btnG=%D0%9F%D0%BE%D0%B8%D1%81%D0%BA+%D0%B2+Google&lr=

Да вот в том то и дело ,что поиск ничего и не дал, поэтому то я и запостил в форум , думал то ли мне не везет, то ли ищу не правильно , пока не прочитал ответ Desr0w.

2 Desr0w

Да ! Вот только описываемы в вырезке руткиты я и нашел в инете и ничего более... Печально...

Я не знаю у тебя как версия freebsd! Но вот может поможет тебе:
pro-hack.org/download/s_rootkits.html

Но вот может поможет тебе:
Возможно, но только тем чтоб названия посматреть, т.к не одна ссылка там не работает... :)

Возможно, но только тем чтоб названия посматреть, т.к не одна ссылка там не работает...
Окей спс за поправку. Вот сам руткит по ОС: freebsd(версия точно не знаю)
Скачать (http://packetstormsecurity.org/UNIX/penetration/rootkits/fbrk1-imps.tar.gz)
Вот есть еще под FreeBSD rootkit precompiled binaries for 4.2-RELEASE
Скачать (http://packetstormsecurity.org/UNIX/penetration/rootkits/fbsd.tgz)

Для фряхи есть, то подкинь буду рад и + с меня :)
Один из посетителей 0x48k.cc (http://0x48k.cc) под ником suspect поделился с нами информацией следующего характера:
Давно искал руткит для FreeBSD 5.4 или 6.0, и вот недавно, почти отчаявшись (что придётся писать некое убожество на перле), зарядил гугл и нашёл Nekit!
http://target0.be/dev/nekit/
Сие творение принадлежит товарищу target0 (greets, thanks, etc...)
О нём также упоминается на французком форуме Spirit Of Hack:
http://www.spiritofhack.net/phpBB2/viewtopic.php?t=1474
Но всё бы ничего но я не могу заставить его корректно работать:
Как я понял установка происходит примерно так:
make install load clean

Но позже, заходя под рутом я вообще не вижу ни одного файла (тестил на VMware, возможно влияет, но я сомневаюсь). Кто-нибудь использовал данный руткит? Как его по-человечески поставить?

На форуме кроме greets и небольшого описания бага с параметром -u ничего не нашёл. Автора не тревожил.

Идеи? Пишите.
Ещё не разбирался, но из возможностей руткита стоит отметить:
- сокрытие PID процесса и всех поражденных потомков
- сокрытие файлов/каталогов, реализованное через модификацию данных inode, что позволяет сохранять скрытое состояние даже после перезагрузки системы/выгрузки руткита
- сокрытие соединений
- "пользовательский интерфейс" реализован через дополнительный syscall
и т.д. стандартные функции. Пользуемся наздоровье, спасибо suspect за ссылку.

Позже удалось выяснить что следует тщательно тестировать через ./necall, не делая make install. Стабильностью руткит не отличается, уходит в креш при сокрытии файла на FreeBSD 5.4, процессы скрывает некоторое время (~2 часа), потом также уходит в даун. И снова спасибо suspect'у. Я оттестировать не смог, т.к. спохмела загубил все разделы из Solaris(тестироват SinAR), включая FreeBSD 6.1 и Win XP. Так что звиняйте =) Позже теперь (жду когда придёт бесплатный CD с OpenSolaris =))

Меня тут спросили ещё по какие-нибудь руткиты для FreeBSD - рассказываю. От замечательной команды lbyte, которая, к сожалению, уже больше не существует, был такой релиз под названием DarkSide - RootKit для FreeBSD. О нём даже писали в каком-то из старых номеров журнала Хакер. Конечно, маловероятно, что он потянет под 5й и 6й веткой, но попытка не пытка, да и модификацию исходников ещё никто тоже не отменял. Скачать можно здесь: http://lbyte.void.ru/rel/files/darkside-0.2.3.tar.gz
Лично тестировал на FreeBSD 4.6 где-то в 2003 году...
Функционал стандартный:
1)сокрытие процессов и их потомков
2)сокрытие файлов и директорий
3)сокрытие сетевых соединений путём модификасии TCP/IP стека.
Использование:
hideproc <pid> - скрыть процесс, имеющий PID= <pid>
unhideproc <pid> - показать процесс с PID= <pid>
printprocs - показать все скрытые процессы
changeuid <pid> <uid> - изменить uid процесса с PID= <pid> на <uid>
changeeuid <pid> <euid> - изменить euid процесса с PID= <pid> на <euid>
changegid <pid> <gid> - изменить gid процесса с PID= <pid> на <gid>
changeegid <pid> <egid>- изменить egid процесса с PID= <pid> на <egid>
hidefile <name> - скрыть все файлы с именем <name>
unhidefile <name> - показать все файлы с именем <name>
printfiles - показать вс скрытые файлы
hideport <num> - скрыть все соединения с портом <num>
unhideport <num> - рыскрыть все соединения с портом <num>
hidehost <ip> - скрыть все соединения с <ip>
unhidehost <ip> - раскрыть все соединения <ip>

под шестую фряху (release 6) что -то руткит не робит, подскажите может что -то не так делаю,

вообщем запустил скрипт setup, и прописал троя в конфиге /dev/fd/.99/.ttyf00 и /dev/fd/.99/.ttyp00

под шестую фряху (release 6) что -то руткит не робит, подскажите может что -то не так делаю,

вообщем запустил скрипт setup, и прописал троя в конфиге /dev/fd/.99/.ttyf00 и /dev/fd/.99/.ttyp00
Какой именно руткит? Какая версия? Подробности по поводу ветки.

рут fbrk, версия 1(fbrk1). Ну есть еще и fbrk2. Вторую пока не пробывал запускать)))

рут fbrk, версия 1(fbrk1). Ну есть еще и fbrk2. Вторую пока не пробывал запускать)))
Скорее всего fbrk впринципе не заработает. Предлагаю затроянить системные бнарники или ssh, например. Хотя, надо быть аккуратнее ибо способы не супер и требуют особой аккуратности.

в качестве системных бинарников ты имеешь в виду каталог /etc/

Free
Читай: hellknights.void.ru/articles/0x48k-OpenSSH-backdooring.html
От себя добавлю:
forum.antichat.ru/thread62167.html :)

в качестве системных бинарников ты имеешь в виду каталог /etc/
Н-да =\

cистемные бинарники лежат себе спокойно в /sbin; /usr/local/sbin

оттого и папки не bin(arys) a s(sytem)bin(arys)

Попробую залить рута в /usr/local/sbin/ , позже отпишусь получилось иль нет.....

короче в шестой ветки такие фокусы не катят, залил рута sbin/ , попробывал затроянить OpenSSH, все делал как по инфе. Проверил с другой машины путем подконектиться порты то открытые есть, но это не рут. Тоже самое проделал на фряхе
RELEASE 4.2 все робит , порт 21, 65535, и еще несколько бекдоров повисает......

Может кто -то уже нашел рабочего руткита для 6 фряхи, у кого какие мысли по этому
поводу имеются.....