Seite 1 von 2 12 LetzteLetzte
Ergebnis 1 bis 15 von 18

Thema: Suche: Rootkits

  1. #1
    Registered User
    Registriert seit
    Jul 2000
    Beiträge
    127
    Renommee
    14

    Question NT rootkit

    dere
    gibts eigentlich auch für nt rootkits ??
    bis jetzt hab ich nichts gefunden was dem auch nur ähneln würde...
    scheinbar gibts nur diverse tools...


    BKA
    -[was google nicht findet existiert nicht]-

  2. #2
    Registered User
    Registriert seit
    Sep 2000
    Beiträge
    171
    Renommee
    10

    Question

    Rootkits für NT? (wirklich keine gefunden?)
    ... gibt's eigentlich genügend!

    Bsp.: Greg Hoglund hat im Phrack Magazine (Vol. 9|Issue 55) "A *REAL* NT Rootkit, patching the NT Kernel" veröffentlicht.
    (beschreibt auch ganz gut, was ein Rootkit eigentlich ist)

    Auf Packetstorm o.ä. (z.B. hier) solltest Du eigentlich fündig werden; zur Not googlen.

    Der HexXer.
    Alles Denkbare ist auch machbar - Albert Einstein
    Die Unfreiheit des Geistes führt unweigerlich zur Unfreiheit des Menschen - hmmm ... k.A.
    Kunst ist eine Art Aufruhr - Pablo Picasso

  3. #3
    Registered User
    Registriert seit
    Jul 2000
    Beiträge
    127
    Renommee
    14
    seltsam...
    bei packetstorm kommt bei mir nur fehler wenn ich was suche...
    thx
    phrack artikel hat ich scho gelesen

    BKA
    -[was google nicht findet existiert nicht]-

  4. #4
    pwned by Koelsch
    Registriert seit
    Jan 2001
    Beiträge
    1.125
    Renommee
    353
    btw. Weiss einer von euch was mit rootkit.com/de passiert ist? Das war die Seite mit der Kernel basierten NT Backdoor.

    regards xx

  5. #5
    Registered User
    Registriert seit
    Sep 2000
    Beiträge
    171
    Renommee
    10
    @BKA:
    Da Du den Phrack-Artikel schon gelesen hast und dennoch nach Rootkits für NT fragst, denke ich Du solltest Dich zunächst 'mal näher mit Assembler beschäftigen, bevor Du Programme einsetzst, die Du nicht wirklich verstehst (no flaming, dOoD;)
    [Dieser Artikel beschreibt eine der schwerwiegensten bekannten Sicherheitslücken von NT]

    @xaitax:
    Keine Ahnung was mit rootkit.com passiert ist ...
    ... die waren auf einmal einfach weg und haben auch keine Benachrichtigung per Mail an aktive Mitglieder gesandt.
    [Evtl. Differenzen mit diversen Herstellern(?);( ...
    (wollte die selbe Frage vor einiger Zeit auch mal in der vuln-list stellen; war aber dann doch nicht so wichtig)
    ... Greg kannst Du aber noch immer unter dem alternativen Link in meinem letzten Posting erreichen (der Link wäre u.U. auch für Dich[BKA] interessant!)]

    PoppPoloppPopp,
    Der HexXer.

    Nachtrag: Hab' gerade festgestellt, dass rootkit wieder da ist! ;(:(;( *jipieeeeeeeehhhhhhh* [ham' wohl doch nur an der Site rumgefummelt *giesstsichbierhinterdiebinde*]
    Alles Denkbare ist auch machbar - Albert Einstein
    Die Unfreiheit des Geistes führt unweigerlich zur Unfreiheit des Menschen - hmmm ... k.A.
    Kunst ist eine Art Aufruhr - Pablo Picasso

  6. #6
    Member
    Registriert seit
    Mar 2001
    Beiträge
    61
    Renommee
    10
    mal so eine Frage hat jemand von euch so ein rootkit mal bei Windows nt mal ausprobiert..habe bis jetzt nur so einen Artikel mit interessanten Screenshots vom Prozessviewer von Windows NT gesehen..(vorher und nachher)

    MfG
    JoJo

  7. #7
    Member
    Registriert seit
    Mar 2002
    Beiträge
    81
    Renommee
    10
    Gehört hat man schon davon, das es Rootkits für NT geben soll, aber gesehen hab ich noch keinen. Linux ja da hab ich was.

    manman

  8. #8
    Member
    Registriert seit
    Mar 2001
    Beiträge
    61
    Renommee
    10
    ich habe das was...aber ausprobiert habe ich es noch nicht, da ich nicht weiß in wie weit so ein rootkit das System verändert. Wenn ich jetzt ohne weiteres daran gehe, kann es es ja sein dass nachher mein System unbrauchbar wird.

    MfG
    JoJo

  9. #9
    Member
    Registriert seit
    Mar 2002
    Beiträge
    81
    Renommee
    10
    Auf dem eigenen Rechner würde ich so was nicht testen, außer man hat da so was wie VirtualPC oder so was drauf und hat mehrere Betreibsysteme zur Verfügung. Man weis ja nie genau was passiert.

    manman

  10. #10
    Gonzo
    Guest

    rootkits - woher?

    Ich hab jetzt 'schon' 2 rootkits, allerdings sind die nur für Redhat 6.2, die wurden sofort entdeckt ... haben also nichts gebracht.
    Ich wollte nur mal wissen ... woher bekommt ihr eure rootkits ?

  11. #11
    Registered User
    Registriert seit
    May 2001
    Beiträge
    2.508
    Renommee
    116
    Hi,
    [zitat]
    Ich hab jetzt 'schon' 2 rootkits, allerdings sind die nur für Redhat 6.2, die wurden sofort entdeckt ... haben also nichts gebracht.
    Ich wollte nur mal wissen ... woher bekommt ihr eure rootkits ?
    [/zitat]
    Inwiefern entdeckt?

    Rootkits sind eigentlich ausschliesslich dazu gedacht nach einem erfolgreichen Einbruch das Logging auf dem entsprechenden System so anzupassen dass dieser unentdeckt bleibt.

    Beispiele dafür wären:
    • ls, find, du: zeigen die betroffenen Dateien nicht an.
    • ps, top, pidof: zeigt die entsprechenden Prozesse nicht an.
    • netstat: zeigt den erzeugten Traffic nichtmehr an, z.B. um
    • daemons wie eggdrop, bindshell, or bnc zu verbergen.
    • killall: der Prozess kann nicht gekillt werden.
    • ifconfig: die PROMISC Flag wird nicht angezeigt falls der Rechner zum Sniffen eingesetzt wird.
    • crontab: versteckt den entsprechenden crontab Eintrag.
    • tcpd: Trotz der Einstellung werden Verbindungen nicht gelogged.
    • syslogd: Trotz der Einstellung werden Verbindungen nicht gelogged.

    Ganz allgemein gesagt also einen Einbruch zu vertuschen, eventuell die Lücke wieder zu schliessen um zukünftige Einbrecher abzuhalten und die Fernadministration des Systems durch den Angreifer zu ermöglichen.

    Ich würde Dir mal einen Blick auf das "Honeynet-Project" empfehlen:

    http://project.honeynet.org/

    PS.: Quellen für Exploits und Rootkits findest Du über Google mit Leichtigkeit...

    Grüße,

    harl.



    I'm sure I've seen a stupider comment than that somewhere before, but the sheer stupidity of the statement has blocked out all recall.



  12. #12
    Gonzo
    Guest
    Mit 'entdeckt' meinte ich, das sie ihren Job nicht richtig getan haben und ein Admin ein paar Unterschiede bei der Ausgabe von Infos bemerkt hat (z.B. reihenfolge war vorher anders)...

    Es bringt also nichts ein rootkit für redhat 6.2 zu haben und es auf redhat 7.2 einzusetzen ...

  13. #13
    Registered User
    Registriert seit
    May 2001
    Beiträge
    2.508
    Renommee
    116
    Hm,

    die Rootkits die Du meinst beziehen sich dann in erster Linie auf die (distributions-)spezifischen Versionen einer Software, sprich bei einer Suse 7.3 eine bestimmte Version von X, wuftp, usw.

    Eine Definition von Rootkits im O`Reilly Network lautet wie folgt:

    [zitat]
    ---8<---SNIP------8<---SNIP---
    Remember that a rootkit is not designed to help an intruder gain access to a system. A rootkit is designed to make the intruders feel at home and allow them work silently on your system without being disturbed. To install a rootkit, an intruder still must gain unauthorized access to your server using traditional methods, such as exploiting known vulnerabilities or even practicing social engineering to get the password information from a well-meaning person who happens to have it.
    ---8<---SNIP------8<---SNIP---
    [/zitat]

    Das bedeutet aber nicht das sie nicht funktionieren, sondern nur dass sich eventuell etwas am Logverzeichnis, den Rechten unter denen die Programme laufen, usw. geändert hat.

    Es besteht beispielsweise auch die Möglichkeit sogenannte LKM`s (loadable kernel modules) einzusetzen, eine Liste bekannter LKM`s und Hintergrundinformationen findest Du hier:

    http://la-samhna.de/library/lkm.html

    Oder vielleicht noch besser/interessanter, eine Analyse des KNARK Rootkits der auch einige Exploits enthält (die Geister scheiden sich, wie Du vielleicht bemerkst )

    http://online.securityfocus.com/guest/4871


    Grüße,

    harl.



    I'm sure I've seen a stupider comment than that somewhere before, but the sheer stupidity of the statement has blocked out all recall.



  14. #14
    Member
    Registriert seit
    May 2002
    Beiträge
    31
    Renommee
    10

    [Suche] t0rn-Rootkit

    Ich bräucht diesen Rootkit.
    Kann mir vielleicht jemand helfen.
    Hab schon bei google geschaut, aber leider nur irgendwelche reports von security Seiten gefunden.
    THX im Voraus, MfG, DOCMOD.

  15. #15
    LouChipher
    Guest
    OffTopic:
    [quelle=http://heise.de/newsticker/data/pab-20.09.02-000/]Hacker "torn" in England festgenommen

    In einer Gemeinschaftsaktion von Scotland Yard und dem FBI wurde ein 21-jähriger Brite aufgrund des "Computer Misuse Act" von 1990 festgenommen. "torn", so der Nickname des Verdächtigen wurde am Dienstag von den Behörden in der Londoner U-Bahn-Station Surbiton gestellt; seine Computerausstattung wurde beschlagnahmt.

    Die Festnahme von "torn" steht im Zusammenhang mit dem t0rn-Rootkit, das unter anderem im Linux-Wurm "Lion" enthalten war. Inwieweit torn wirklich an der Entwicklung des Rootkits mitgewirkt hat, ist in der Szene allerdings strittig. Sicher scheint jedoch, dass torn dieses rootkit häufig verwendet hat, um in fremde Rechnersysteme einzudringen.

    Laut dem britischen Online-Magazin The Register wurde torn heute gegen Kaution bis Oktober wieder auf freien Fuß gelassen -- die Untersuchungen laufen derweil weiter. (pab/c't)
    [/quelle]*lach*

Aktive Benutzer

Aktive Benutzer

Aktive Benutzer in diesem Thema: 1 (Registrierte Benutzer: 0, Gäste: 1)

Ähnliche Themen

  1. Rootkits. Subverting the Windows Kernel
    Von Boardleitung im Forum Buch Tipp
    Antworten: 5
    Letzter Beitrag: 21.04.2011, 21:07
  2. Antworten: 3
    Letzter Beitrag: 16.09.2007, 15:54
  3. Rootkits zwecks DRM
    Von nait im Forum Malicious Code
    Antworten: 33
    Letzter Beitrag: 20.01.2006, 08:46

Berechtigungen

  • Neue Themen erstellen: Nein
  • Themen beantworten: Nein
  • Anhänge hochladen: Nein
  • Beiträge bearbeiten: Nein
  •