Форум АНТИЧАТ

Форум АНТИЧАТ (https://forum.antichat.xyz/index.php)
-   *nix (https://forum.antichat.xyz/forumdisplay.php?f=43)
-   -   Трояним freeBSD (https://forum.antichat.xyz/showthread.php?t=21648)

zeppe1in 12.07.2006 16:42
Трояним freeBSD
 
как лучше закрепица на фряхе 4.8? фбрк вроде не катит. Какие есть идеи?

+toxa+ 12.07.2006 19:03
http://www.eviltime.com/download/rootkit/adorebsd-0.34.tar.gz

zeppe1in 12.07.2006 22:24
А ты сам его юзал? как там с глюками? и ваще пойдёт для этой версии?

MINDFLY 26.08.2006 05:34
FreeBSD rootkits
 
Нужен хороший rootkit под FreeBSD. Кто что может посоветовать ?

Ch3ck 26.08.2006 11:54
На здоровье... :)
_hxxp://www.google.ru/search?hl=ru&q=FreeBSD+rootkit+&btnG=%D0%9F%D0%BE% D0%B8%D1%81%D0%BA+%D0%B2+Google&lr=

Desr0w 26.08.2006 13:37
Вырезка из статьи Форба в журнале Хакер.
Цитата:
Слово за FreeBSD

Согласись, несправедливо, что я описываю только linux-руткиты. Это связано с нехваткой хакерских комплектов для других систем. В частности для FreeBSD. Но не все так плохо: для фряхи существует средненький по возможностям руткит, который получил название fbrk (сокращенно от FreeBSD rootkit). Этот комплект может использоваться для FreeBSD версии 4.2-4.5.

Установить fbrk не просто, а очень просто. Достаточно запустить скрипт setup без параметров. Тебе предложат сгенерировать пароль, после чего все бинарники установятся в систему. Не стоит забывать об осторожности: я тестировал руткит на FreeBSD 4.6, после чего новые файлы перестали запускаться. Поэтому, как в случае с shv4, необходимо сделать спасительный бэкап. Прочитав readme, ты узнаешь о том, сколько всяких троянцев установится в систему. В первую очередь, fbrk хорош тем, что умеет скрывать файлы и процессы. Необходимо лишь занести их в конфиги /dev/fd/.99/.ttyf00 и /dev/fd/.99/.ttyp00 соответственно. Синтаксис конфигов также указан в readme, поэтому посылаю тебя в этот файл для детального изучения руткита :).

Чтобы получить рутовые привилегии, нужно объявить переменную окружения DISPLAY, значением которой будет заданный пароль. После этого смело запускай telnet localhost и получай абсолютные права. Если залогиниться через FTP под твоим паролем (указывается в качестве username), то руткит даст тебе удаленного рута на 21 порту. По желанию на 65535 порту будет висеть еще один бэкдор, который активирует bash после ввода хакерского пароля.

Кроме этого, руткит содержит два незаменимых логклинера, которые называются freshb (бинарный логвайпер) и fresht (текстовый логвайпер). Им достаточно указать подстроку в качестве параметра, и логи будут быстро вычищены.

Если тебе не нравится этот руткит, можешь заюзать adore для FreeBSD, благо он тоже имеется (http://packetstormsecurity.nl/groups/teso/adorebsd-0.34.tar.gz). Те же модули, те же возможности, те же баги :), но только для твоей любимой Фряхи.

[hidden] 26.08.2006 14:14
Есть мнение, что в шестой ветке этот номер не пройдет

MINDFLY 27.08.2006 01:23
Цитата:
Сообщение от Dr.Check
На здоровье... :)
_hxxp://www.google.ru/search?hl=ru&q=FreeBSD+rootkit+&btnG=%D0%9F%D0%BE% D0%B8%D1%81%D0%BA+%D0%B2+Google&lr=
Да вот в том то и дело ,что поиск ничего и не дал, поэтому то я и запостил в форум , думал то ли мне не везет, то ли ищу не правильно , пока не прочитал ответ Desr0w.

MINDFLY 27.08.2006 01:28
2 Desr0w

Да ! Вот только описываемы в вырезке руткиты я и нашел в инете и ничего более... Печально...

KPOT_f!nd 02.01.2007 17:09
Я не знаю у тебя как версия freebsd! Но вот может поможет тебе:
Цитата:
pro-hack.org/download/s_rootkits.html

aka PSIH 02.01.2007 17:12
Цитата:
Сообщение от KPOT_f!nd
Но вот может поможет тебе:
Возможно, но только тем чтоб названия посматреть, т.к не одна ссылка там не работает... :)

KPOT_f!nd 02.01.2007 17:25
Цитата:
Возможно, но только тем чтоб названия посматреть, т.к не одна ссылка там не работает...
Окей спс за поправку. Вот сам руткит по ОС: freebsd(версия точно не знаю)
Скачать
Вот есть еще под FreeBSD rootkit precompiled binaries for 4.2-RELEASE
Скачать

ShadOS 05.04.2007 00:39
Цитата:
Сообщение от Nekt
Для фряхи есть, то подкинь буду рад и + с меня :)
Один из посетителей 0x48k.cc под ником suspect поделился с нами информацией следующего характера:
Цитата:
Сообщение от suspect
Давно искал руткит для FreeBSD 5.4 или 6.0, и вот недавно, почти отчаявшись (что придётся писать некое убожество на перле), зарядил гугл и нашёл Nekit!
http://target0.be/dev/nekit/
Сие творение принадлежит товарищу target0 (greets, thanks, etc...)
О нём также упоминается на французком форуме Spirit Of Hack:
http://www.spiritofhack.net/phpBB2/viewtopic.php?t=1474
Но всё бы ничего но я не могу заставить его корректно работать:
Как я понял установка происходит примерно так:
make install load clean

Но позже, заходя под рутом я вообще не вижу ни одного файла (тестил на VMware, возможно влияет, но я сомневаюсь). Кто-нибудь использовал данный руткит? Как его по-человечески поставить?

На форуме кроме greets и небольшого описания бага с параметром -u ничего не нашёл. Автора не тревожил.

Идеи? Пишите.
Ещё не разбирался, но из возможностей руткита стоит отметить:
- сокрытие PID процесса и всех поражденных потомков
- сокрытие файлов/каталогов, реализованное через модификацию данных inode, что позволяет сохранять скрытое состояние даже после перезагрузки системы/выгрузки руткита
- сокрытие соединений
- "пользовательский интерфейс" реализован через дополнительный syscall
и т.д. стандартные функции. Пользуемся наздоровье, спасибо suspect за ссылку.

Позже удалось выяснить что следует тщательно тестировать через ./necall, не делая make install. Стабильностью руткит не отличается, уходит в креш при сокрытии файла на FreeBSD 5.4, процессы скрывает некоторое время (~2 часа), потом также уходит в даун. И снова спасибо suspect'у. Я оттестировать не смог, т.к. спохмела загубил все разделы из Solaris(тестироват SinAR), включая FreeBSD 6.1 и Win XP. Так что звиняйте =) Позже теперь (жду когда придёт бесплатный CD с OpenSolaris =))

ShadOS 05.04.2007 00:41
Меня тут спросили ещё по какие-нибудь руткиты для FreeBSD - рассказываю. От замечательной команды lbyte, которая, к сожалению, уже больше не существует, был такой релиз под названием DarkSide - RootKit для FreeBSD. О нём даже писали в каком-то из старых номеров журнала Хакер. Конечно, маловероятно, что он потянет под 5й и 6й веткой, но попытка не пытка, да и модификацию исходников ещё никто тоже не отменял. Скачать можно здесь: http://lbyte.void.ru/rel/files/darkside-0.2.3.tar.gz
Лично тестировал на FreeBSD 4.6 где-то в 2003 году...
Функционал стандартный:
1)сокрытие процессов и их потомков
2)сокрытие файлов и директорий
3)сокрытие сетевых соединений путём модификасии TCP/IP стека.
Использование:
Код:
hideproc <pid> - скрыть процесс, имеющий PID= <pid>
unhideproc <pid> -  показать процесс с PID= <pid>
printprocs - показать все скрытые процессы
changeuid <pid> <uid> - изменить uid процесса с PID= <pid> на <uid>
changeeuid <pid> <euid> - изменить euid процесса с PID= <pid> на <euid>
changegid <pid> <gid> - изменить gid процесса с PID= <pid> на <gid>
changeegid <pid> <egid>- изменить egid процесса с PID= <pid> на <egid>
hidefile <name> - скрыть все файлы с именем <name>
unhidefile <name> - показать все файлы с именем <name>
printfiles - показать вс скрытые файлы
hideport <num> - скрыть все соединения с портом <num>
unhideport <num> - рыскрыть все соединения с портом <num>
hidehost <ip> - скрыть все соединения с <ip>
unhidehost <ip> - раскрыть все соединения <ip>

Free 19.04.2008 18:26
под шестую фряху (release 6) что -то руткит не робит, подскажите может что -то не так делаю,

вообщем запустил скрипт setup, и прописал троя в конфиге /dev/fd/.99/.ttyf00 и /dev/fd/.99/.ttyp00

ShadOS 20.04.2008 15:45
Цитата:
Сообщение от Free
под шестую фряху (release 6) что -то руткит не робит, подскажите может что -то не так делаю,

вообщем запустил скрипт setup, и прописал троя в конфиге /dev/fd/.99/.ttyf00 и /dev/fd/.99/.ttyp00
Какой именно руткит? Какая версия? Подробности по поводу ветки.

Free 20.04.2008 17:12
рут fbrk, версия 1(fbrk1). Ну есть еще и fbrk2. Вторую пока не пробывал запускать)))

ShadOS 20.04.2008 18:38
Цитата:
Сообщение от Free
рут fbrk, версия 1(fbrk1). Ну есть еще и fbrk2. Вторую пока не пробывал запускать)))
Скорее всего fbrk впринципе не заработает. Предлагаю затроянить системные бнарники или ssh, например. Хотя, надо быть аккуратнее ибо способы не супер и требуют особой аккуратности.

Free 20.04.2008 19:23
в качестве системных бинарников ты имеешь в виду каталог /etc/

Ky3bMu4 23.04.2008 10:18
Free
Читай: hellknights.void.ru/articles/0x48k-OpenSSH-backdooring.html
От себя добавлю:
forum.antichat.ru/thread62167.html :)

krypt3r 23.04.2008 16:01
Цитата:
в качестве системных бинарников ты имеешь в виду каталог /etc/
Н-да =\

zythar 23.04.2008 16:43
cистемные бинарники лежат себе спокойно в /sbin; /usr/local/sbin

оттого и папки не bin(arys) a s(sytem)bin(arys)

Free 25.04.2008 20:47
Попробую залить рута в /usr/local/sbin/ , позже отпишусь получилось иль нет.....

Free 27.04.2008 22:29
короче в шестой ветки такие фокусы не катят, залил рута sbin/ , попробывал затроянить OpenSSH, все делал как по инфе. Проверил с другой машины путем подконектиться порты то открытые есть, но это не рут. Тоже самое проделал на фряхе
RELEASE 4.2 все робит , порт 21, 65535, и еще несколько бекдоров повисает......

Free 27.04.2008 22:32
Может кто -то уже нашел рабочего руткита для 6 фряхи, у кого какие мысли по этому
поводу имеются.....


Время: 01:51