ANTICHAT — форум по информационной безопасности, OSINT и технологиям
ANTICHAT — русскоязычное сообщество по безопасности, OSINT и программированию.
Форум ранее работал на доменах antichat.ru, antichat.com и antichat.club,
и теперь снова доступен на новом адресе —
forum.antichat.xyz.
Форум восстановлен и продолжает развитие: доступны архивные темы, добавляются новые обсуждения и материалы.
⚠️ Старые аккаунты восстановить невозможно — необходимо зарегистрироваться заново.
10.11.2006, 21:37
|
|
Fail
Регистрация: 17.09.2005
Сообщений: 2,242
Провел на форуме:
9089375
Репутация:
4268
|
|
Все таки shV5 рулит! Кстати, если я не ошибаюсь и под Free он тоже идет  |
|
|
16.12.2006, 12:35
|
|
Fail
Регистрация: 17.09.2005
Сообщений: 2,242
Провел на форуме:
9089375
Репутация:
4268
|
|
У тебя нету shV5? Тогда мы идем к Вам! Пиши: 652041.
|
|
|
|
14.02.2007, 17:33
|
|
Новичок
Регистрация: 05.02.2007
Сообщений: 6
Провел на форуме:
19734
Репутация:
1
|
|
А есть ли какие-нибудь rootkit-ы для Solaris?
|
|
|
|
14.02.2007, 17:51
|
|
ы
Регистрация: 11.02.2007
Сообщений: 750
Провел на форуме:
1347723
Репутация:
1477
|
|
Ребятки, ща я вам всё разьясню =)
shv5 "компилить" не надо, он устанавливается. Является редкостным shit, т.к. палится любой пассивной IDS типа chkrootkit и rkhunter. Представляет собой набор протрояненных бинарников системных утилит linux, посему любая утилита контроля целостности палит его по изменённым контрольным суммам md5.
Установка предельно проста ./setup password port.
После установки в папке /usr/include вы найдете файлы file.h, log.h, proc.h, hosts.h - в которые и забиваются имена/номера файлов/портов и т.д.
IntoXonia-ng LKM RootKit от нашего мембера _4epen надо искать на http://hellknights.void.ru
Среди возможностей стоит отметить:
-скрытие файлов
-скрытие процессов
-редирект обращения к файлам
-редирект исполнения программ
-имитация удаления файла
-запрет на обращение к файлам
-запрет на запуск программ
-скрытие вывода команды netstat
-переход в режим суперпользователя
Работает, действительно, только для ядер, старше 2.6.x
Под старые ветки FreeBSD можно попробовать Adore-BSD. Лежит здесь:
http://packetstormsecurity.org/groups/teso/adorebsd-0.34.tar.gz
Для *BSD сейчас вообще что-то маловато, но однажды я испытывал fbsd.rootkit. Очень даже работает.
Из последних и наиболее интересных под Linux советую искать следующие:
mood-nt - 2.4.x/2.6.x kernels suckit2-like, но намного лучше.
enyelkm - LKM-руткит, который не модифицирует sys_call_table.
phalanx - self-injecting LKM руткит для 2.6.x kernels.
suckit2 - крутейшй руткит, которым я пользовался раньше, используя какую-то магию с /dev/kmem, прячет всё налету, не использует System.map, реализован без помощи LKM.
Для солярки сейчас популярен SInAR. Не испытывал, о функционале мне известно мало.
Отстали мы от жизни. Если не фейк, то давно уже есть Adore 0.56. За линком стучимся ко мне в асю или ПМ, кому надо - тот поищет в сети или найдёт меня.
Да вообще что-то дубликатов топиков многовато здесь у вас.
__________________
..когда же кто-нибудь выпустит MD5(Unix) брутер на GPU.... жду....
Последний раз редактировалось ShadOS; 16.02.2007 в 20:13..
|
|
|
|
16.02.2007, 11:36
|
|
Fail
Регистрация: 17.09.2005
Сообщений: 2,242
Провел на форуме:
9089375
Репутация:
4268
|
|
Насчет руткита IntoXonia-ng LKM RootKit от вашего мембера _4epen могу сказать только одно -сырой. Установиться не смог в системе, а похерил что то, теперь команда ls не выполняеться. Рут не дурак - все прикроет.
Последний раз редактировалось Alexsize; 19.03.2007 в 14:30..
|
|
|
|
16.02.2007, 14:00
|
|
Заведующий всем
Регистрация: 17.04.2005
Сообщений: 1,062
Провел на форуме:
5957900
Репутация:
561
|
|
Отсюда видно, что одни называют логвайперы - руткитами, другие - пользуют то что палиться (следовательно не пользуют). А третьи пользуют и хрен когда отпишуться, потому что и дальше хотят пользовать.
Улыбчивая такая темка.
Последний раз редактировалось Azazel; 16.02.2007 в 14:03..
|
|
|
|
16.02.2007, 15:51
|
|
Участник форума
Регистрация: 11.09.2006
Сообщений: 239
Провел на форуме:
626169
Репутация:
167
|
|
Написать свой непалящийся руткит не так уж сложно - способы-то все известны.
Например, все неплохо описано вот в этой книге. |
|
|
|
16.02.2007, 20:05
|
|
ы
Регистрация: 11.02.2007
Сообщений: 750
Провел на форуме:
1347723
Репутация:
1477
|
|
Сообщение от Alexsize
Насчет руткита IntoXonia-ng LKM RootKit от нашего мембера _4epen могу сказать только одно - сырой. Установиться не смог в системе, а похерил что то, теперь команда ls не выполняеться. Рут не дурак - все прикроет.
Простите, НАШЕГО - значит мембера Hell Knights. Что-то ты попутал =)
Сырой - не спорю. Там же ясно написанно 0.1-rc2.А на какое ядро ставил? Если старше 2.6.18 - то не поставишь. Я сейчас новый релиз itx готовлю (развиваю проект с одобрения черепа) - новая версия эту багу уже исправляет. И почему, кстати, ты уверен что ты его не поставил =) Я когда первый раз ставил тоже сильно удивился =) Какие ошибки были - мне очень важно знать. Если можно, конфиг сервера тоже опиши (uname -a, lsmod и т.д побольше инфы).
Сообщение от Azazel
...А третьи пользуют и хрен когда отпишуться, потому что и дальше хотят пользовать.
Я ж отписал, что вышел adore-0.55. Он не палится. Стоит только поискать хорошенько. Кто ищет тот всегда найдёт.
itx _4epen тоже просто так релизил?! Он не палится, юзайте на здоровье. Только README читайте _внимательно_. Кажется, для особо одарённых придётся ещё и ридми подправить.
Сообщение от hsi
Например, все неплохо описано вот в этой книге.
Верно, описанно неплохо. Если ты читал, то мог заметить, что за основу взят всё тот же adore+itx. Кое-где даже строки похожи. Вы комментарии в ItX видели? Это ж открытая книга - бери и пиши свой - нехочу.
__________________
..когда же кто-нибудь выпустит MD5(Unix) брутер на GPU.... жду....
Последний раз редактировалось ShadOS; 16.02.2007 в 20:12..
|
|
|
|
16.02.2007, 20:52
|
|
Участник форума
Регистрация: 04.02.2007
Сообщений: 120
Провел на форуме:
306837
Репутация:
36
|
|
shv5 палится любой пассивной IDS типа chkrootkit и rkhunter
sic!
ShadOS, почему itx-ng-0.1-rc2 не скрывает сетевые соединения? так и не удалось понять.
при загрузке еще в логи пишется
kernel: itx: module license 'unspecified' taints kernel
какой руткит сам используешь?
Последний раз редактировалось andy13; 17.02.2007 в 18:11..
|
|
|
|
17.02.2007, 02:39
|
|
ы
Регистрация: 11.02.2007
Сообщений: 750
Провел на форуме:
1347723
Репутация:
1477
|
|
>>ShadOS, почему itx-ng-0.1-rc2 не скрывает сетевые >>соединения? так и не удалось понять.
Читаем внимательно readme. Череп всё написал:
... в рутките отсутствует возможность скрытия вывода
статистики netstat. Это все реализуется скрытием отдельных строчек в файле, так что
за недостаток это считать, я думаю, не стоит  ... Однако сие "неудобство" мне тоже не понравилось.
Добавлю в новой версии такой дополнительный функционал сокрытия.
>>при загрузке еще с логи пишется
>>kernel: itx: module license 'unspecified' taints kernel
"с логи" - это как? =) Давай подробную инфу давай о ядре, его конфигурации, версии, о системе и т.д. Обычно такое не встречается, но исправим, если я правильно понял что там случилось.
>>какой руткит сам используешь?
Естественно, ItX-ng
__________________
..когда же кто-нибудь выпустит MD5(Unix) брутер на GPU.... жду....
|
|
|
|
|
|
Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)
|
|
|
|
Линейный вид
