Linux Руткиты
 

У кого нибудь есть что нить проверенное чтобы не запароть ядро а наверняка сработал ???

Пока склоняюсь к adore-ng 0.53 но боюсь ядро испортит....

P.s
Извеняюсь если не туда запостил... в общие разделы не хотелось....

IntoXonia - LKM rootkit for Linux Kernel 2.6.x
Отечественная разработка так сказать...

Закачка ТУТА

+toxa+

Давно хотел спросить, откуда у тебя эта ссылка?. :). Её через сайт не найдешь вроде..

SladerNon
http://damagelab.org/index.php?showtopic=5633&hl=intoxonia
http://damagelab.org/index.php?showtopic=9420&hl=intoxonia

http://web-hack.ru/archive/news.php?go=1218
http://web-hack.ru/archive/news.php?go=1129

И как ты не разглядел...
http://satanic.easycoding.org/release.html

Зачем 0.53, когда давно уже есть 0.54
Неуверен в стабильной работы с ядром, как вариант, - троянь ssh

Руткиты
 

Народ напишите кто каким руткитом пользуется!
У меня не всегда работает shv5. Кто еще че посоветует?

IntoXonia - LKM rootkit for Linux Kernel 2.6.x

https://forum.antichat.ru/thread21939.html

t0rnkit

насчет последнего мона поподробнее. Я сам юзаю shV5, но он не всегда работает, а
IntoXonia - LKM rootkit for Linux Kernel 2.6.x только под 2.6, я так понял. буду ждать!!

А кто-нить скомпилируйте его пожалуйста, с меня +.

Все таки shV5 рулит! Кстати, если я не ошибаюсь и под Free он тоже идет:)

У тебя нету shV5? Тогда мы идем к Вам! Пиши: 652041.

А есть ли какие-нибудь rootkit-ы для Solaris?

Ребятки, ща я вам всё разьясню =)
shv5 "компилить" не надо, он устанавливается. Является редкостным shit, т.к. палится любой пассивной IDS типа chkrootkit и rkhunter. Представляет собой набор протрояненных бинарников системных утилит linux, посему любая утилита контроля целостности палит его по изменённым контрольным суммам md5.
Установка предельно проста ./setup password port.
После установки в папке /usr/include вы найдете файлы file.h, log.h, proc.h, hosts.h - в которые и забиваются имена/номера файлов/портов и т.д.
IntoXonia-ng LKM RootKit от нашего мембера _4epen надо искать на http://hellknights.void.ru
Среди возможностей стоит отметить:
-скрытие файлов
-скрытие процессов
-редирект обращения к файлам
-редирект исполнения программ
-имитация удаления файла
-запрет на обращение к файлам
-запрет на запуск программ
-скрытие вывода команды netstat
-переход в режим суперпользователя
Работает, действительно, только для ядер, старше 2.6.x

Под старые ветки FreeBSD можно попробовать Adore-BSD. Лежит здесь:
http://packetstormsecurity.org/groups/teso/adorebsd-0.34.tar.gz
Для *BSD сейчас вообще что-то маловато, но однажды я испытывал fbsd.rootkit. Очень даже работает.

Из последних и наиболее интересных под Linux советую искать следующие:
mood-nt - 2.4.x/2.6.x kernels suckit2-like, но намного лучше.
enyelkm - LKM-руткит, который не модифицирует sys_call_table.
phalanx - self-injecting LKM руткит для 2.6.x kernels.
suckit2 - крутейшй руткит, которым я пользовался раньше, используя какую-то магию с /dev/kmem, прячет всё налету, не использует System.map, реализован без помощи LKM.

Для солярки сейчас популярен SInAR. Не испытывал, о функционале мне известно мало.

Отстали мы от жизни. Если не фейк, то давно уже есть Adore 0.56. За линком стучимся ко мне в асю или ПМ, кому надо - тот поищет в сети или найдёт меня.

Да вообще что-то дубликатов топиков многовато здесь у вас.

Насчет руткита IntoXonia-ng LKM RootKit от вашего мембера _4epen могу сказать только одно -сырой. Установиться не смог в системе, а похерил что то, теперь команда ls не выполняеться. Рут не дурак - все прикроет.

Отсюда видно, что одни называют логвайперы - руткитами, другие - пользуют то что палиться (следовательно не пользуют). А третьи пользуют и хрен когда отпишуться, потому что и дальше хотят пользовать.

Улыбчивая такая темка.

Написать свой непалящийся руткит не так уж сложно - способы-то все известны.
Например, все неплохо описано вот в этой книге.

Простите, НАШЕГО - значит мембера Hell Knights. Что-то ты попутал =)
Сырой - не спорю. Там же ясно написанно 0.1-rc2.А на какое ядро ставил? Если старше 2.6.18 - то не поставишь. Я сейчас новый релиз itx готовлю (развиваю проект с одобрения черепа) - новая версия эту багу уже исправляет. И почему, кстати, ты уверен что ты его не поставил =) Я когда первый раз ставил тоже сильно удивился =) Какие ошибки были - мне очень важно знать. Если можно, конфиг сервера тоже опиши (uname -a, lsmod и т.д побольше инфы).
Я ж отписал, что вышел adore-0.55. Он не палится. Стоит только поискать хорошенько. Кто ищет тот всегда найдёт.
itx _4epen тоже просто так релизил?! Он не палится, юзайте на здоровье. Только README читайте _внимательно_. Кажется, для особо одарённых придётся ещё и ридми подправить.
Верно, описанно неплохо. Если ты читал, то мог заметить, что за основу взят всё тот же adore+itx. Кое-где даже строки похожи. Вы комментарии в ItX видели? Это ж открытая книга - бери и пиши свой - нехочу.

sic!

ShadOS, почему itx-ng-0.1-rc2 не скрывает сетевые соединения? так и не удалось понять.
при загрузке еще в логи пишется
kernel: itx: module license 'unspecified' taints kernel
какой руткит сам используешь?

>>ShadOS, почему itx-ng-0.1-rc2 не скрывает сетевые >>соединения? так и не удалось понять.
Читаем внимательно readme. Череп всё написал:
Однако сие "неудобство" мне тоже не понравилось.
Добавлю в новой версии такой дополнительный функционал сокрытия.

>>при загрузке еще с логи пишется
>>kernel: itx: module license 'unspecified' taints kernel
"с логи" - это как? =) Давай подробную инфу давай о ядре, его конфигурации, версии, о системе и т.д. Обычно такое не встречается, но исправим, если я правильно понял что там случилось.

>>какой руткит сам используешь?
Естественно, ItX-ng

когда происходит insmod itx.ko, то
в syslog пишется вышеприведенная информация.
это было на ядрах 2.6.14.2 и 2.6.16.34
uname -a
2.6.14.2 #1 PREEMPT i686 unknown unknown GNU/Linux,
а на 2.6.15.1 всё ок.
мистика какая-то.
что еще про конфиг ядра написать?

Спасибо, уже достаточно.

кто-ниб для Solaris использовал SInAR? а то что-то как-то не хочет собираться, может кто подскажет?

cap_nemo
Напиши версию Solaris, тогда можно будет тебе помочь. (:

1)SunOS 5.10 Generic i386
gcc version 3.4.3

2)SunOS 5.10 Generic sparc
gcc version 3.4.3

еще что-ниб надо?
пробую SInAR-0.3

cap_nemo
Попробуй использовать rootkitSunos - он довольно надежен и в большинстве случаев удачно собирается. В архиве подробный ридми.
_http://www.ciar.org/ttk/tools/trojans/rootkitSunOS.tgz

Это же очень старый кит... Пусть лучше отладочные сообщения для SinAR скинет - разберёмся.

ShadOS
Так ведь и у него очень старая солярка.
По собственному опыту - rootkitSunOS довольно надежный руткит.

Зачем искать лёгкие пути?! Непохек =) Кроме того ты ошибся в другую сторону. 5.10 - это одна из новейших.
Они по такому принципу именуются:
Solaris 2.6 - начиная с ней sun убрали индекс 2. из названия, получилось:
Solaris 7 = SunOS 5.7, а, например, Solaris 10 = SunOS 5.10.
Новее, кажется, будет только OpenSolaris. Но это другая история.

ShadOS
Точно, я перепутал номерацию версий.
Но все равно руткит должен встать.

не встало

# make
gcc -Wall -D_KERNEL -DSVR4 -DSOL2 -D__i386 -c sinar.c -o sinar.o
sinar.c:75: warning: missing braces around initializer
sinar.c:75: warning: (near initialization for `modlinkage.ml_linkage')
sinar.c: In function `_init':
sinar.c:258: warning: assignment makes pointer from integer without a cast
sinar.c:269: warning: assignment makes pointer from integer without a cast
sinar.c:272: warning: assignment makes pointer from integer without a cast
ld -r sinar.o -o sinar

брал здесь
_http://packetstormsecurity.org/UNIX/penetration/rootkits/SInAR-0.3.tar.bz2

А у тебя точно i386? `uname -a` пожалуйста. Я что-то с такой проблемой не столкнулся... вроде всё собралось на i386. Предупреждения вроде не критичны. Покажи что там в строках 70-80 (нужна 75 с предупреждением). Если у тебя больше ничего из отладки не вывелось - значит собрался. Юзай =)

В тему itX-ng: выпустил новую версию (0.2). Подробности у нас на сайте (hellknights.void.ru)

#uname -a
SunOS unknown 5.10 Generic_118855-33 i86pc i386 i86pc
#

вообщем с 73 по 77:

static struct modlinkage modlinkage = {
MODREV_1,
(void *)&modlmisc, /*75 cтрока*/
NULL
};



# gcc -Wall -D_KERNEL -DSVR4 -DSOL2 -D__i386 -c sinar.c -o sinar.o
sinar.c:75: warning: missing braces around initializer
sinar.c:75: warning: (near initialization for `modlinkage.ml_linkage')
sinar.c: In function `_init':
sinar.c:258: warning: assignment makes pointer from integer without a cast
sinar.c:269: warning: assignment makes pointer from integer without a cast
sinar.c:272: warning: assignment makes pointer from integer without a cast



я как понимаю - собирается модуль ядра, может я его как-то неправильно подгружаю? как это правильно сделать?

1) Покажи содержимое /etc/system
2) Загрузка модуля выполняется, например, командой
Если конечно модуль находится в каталоге /kernel/misc (пространстве имен misc).
Если не получится, покажи ПотомЕсли загрузился (проверь), покажи Выгрузить модуль можно следующим образом:
id модуля можно узнать из modinfo.

P.S. может топик пора запинить в топ как важный?

не грузится

а модуль в misc скопировал? Пиши всё что пишет система после каждой команды!!! Что modload сказал? И не занимайся оверквотингом - есть очень много ленивых, которые это не будут перечитывать.

http://target0.be/dev/code/otakit/ посмотри тож.

Жуткое старьё, которое не будет работать на 2.6.x ядрах (посмотри на экспорт sys_call_table). Такой бекдор модуль пишется в течение 15ти минут.

Нашел пак руткитов.

http://rapidshare.com/files/19083244/nr_ao.rar
Pass: d4rk-r3v-t34m

Мембер XND Crew Windex выпустил новую версию руткита, основанного на патчинге VFS под ядра 2.6.x. Функционал самый стандартный: прячет самого себя, файлы, каталоги, процессы.
Использование:
Как признаётся сам автор, большинство идей было позаимствованно из руткита adore-ng.
Кстати, хорошая статья от самого автора об рутките была в езине HackConnect #1. Рекомендую всем ознакомиться.