dere
gibts eigentlich auch für nt rootkits ??
bis jetzt hab ich nichts gefunden was dem auch nur ähneln würde...
scheinbar gibts nur diverse tools...
BKA
NT rootkit
dere
gibts eigentlich auch für nt rootkits ??
bis jetzt hab ich nichts gefunden was dem auch nur ähneln würde...
scheinbar gibts nur diverse tools...
BKA
-[was google nicht findet existiert nicht]-
Rootkits für NT? (wirklich keine gefunden?)
... gibt's eigentlich genügend!
Bsp.: Greg Hoglund hat im Phrack Magazine (Vol. 9|Issue 55) "A *REAL* NT Rootkit, patching the NT Kernel" veröffentlicht.
(beschreibt auch ganz gut, was ein Rootkit eigentlich ist)
Auf Packetstorm o.ä. (z.B. hier) solltest Du eigentlich fündig werden; zur Not googlen.
Der HexXer.
Alles Denkbare ist auch machbar - Albert Einstein
Die Unfreiheit des Geistes führt unweigerlich zur Unfreiheit des Menschen - hmmm ... k.A.
Kunst ist eine Art Aufruhr - Pablo Picasso
seltsam...
bei packetstorm kommt bei mir nur fehler wenn ich was suche...
thx
phrack artikel hat ich scho gelesen
BKA
-[was google nicht findet existiert nicht]-
btw. Weiss einer von euch was mit rootkit.com/de passiert ist? Das war die Seite mit der Kernel basierten NT Backdoor.
regards xx
@BKA:
Da Du den Phrack-Artikel schon gelesen hast und dennoch nach Rootkits für NT fragst, denke ich Du solltest Dich zunächst 'mal näher mit Assembler beschäftigen, bevor Du Programme einsetzst, die Du nicht wirklich verstehst (no flaming, dOoD;)
[Dieser Artikel beschreibt eine der schwerwiegensten bekannten Sicherheitslücken von NT]
@xaitax:
Keine Ahnung was mit rootkit.com passiert ist ...
... die waren auf einmal einfach weg und haben auch keine Benachrichtigung per Mail an aktive Mitglieder gesandt.
[Evtl. Differenzen mit diversen Herstellern(?);( ...
(wollte die selbe Frage vor einiger Zeit auch mal in der vuln-list stellen; war aber dann doch nicht so wichtig)
... Greg kannst Du aber noch immer unter dem alternativen Link in meinem letzten Posting erreichen (der Link wäre u.U. auch für Dich[BKA] interessant!)]
PoppPoloppPopp,
Der HexXer.
Nachtrag: Hab' gerade festgestellt, dass rootkit wieder da ist! ;(:(;( *jipieeeeeeeehhhhhhh* [ham' wohl doch nur an der Site rumgefummelt *giesstsichbierhinterdiebinde*]
Alles Denkbare ist auch machbar - Albert Einstein
Die Unfreiheit des Geistes führt unweigerlich zur Unfreiheit des Menschen - hmmm ... k.A.
Kunst ist eine Art Aufruhr - Pablo Picasso
mal so eine Frage hat jemand von euch so ein rootkit mal bei Windows nt mal ausprobiert..habe bis jetzt nur so einen Artikel mit interessanten Screenshots vom Prozessviewer von Windows NT gesehen..(vorher und nachher)
MfG
JoJo
Gehört hat man schon davon, das es Rootkits für NT geben soll, aber gesehen hab ich noch keinen. Linux ja da hab ich was.
manman
ich habe das was...aber ausprobiert habe ich es noch nicht, da ich nicht weiß in wie weit so ein rootkit das System verändert. Wenn ich jetzt ohne weiteres daran gehe, kann es es ja sein dass nachher mein System unbrauchbar wird.
MfG
JoJo
Auf dem eigenen Rechner würde ich so was nicht testen, außer man hat da so was wie VirtualPC oder so was drauf und hat mehrere Betreibsysteme zur Verfügung. Man weis ja nie genau was passiert.
manman
Ich hab jetzt 'schon' 2 rootkits, allerdings sind die nur für Redhat 6.2, die wurden sofort entdeckt ... haben also nichts gebracht.
Ich wollte nur mal wissen ... woher bekommt ihr eure rootkits ?
Hi,
[zitat]
Ich hab jetzt 'schon' 2 rootkits, allerdings sind die nur für Redhat 6.2, die wurden sofort entdeckt ... haben also nichts gebracht.
Ich wollte nur mal wissen ... woher bekommt ihr eure rootkits ?
[/zitat]
Inwiefern entdeckt?
Rootkits sind eigentlich ausschliesslich dazu gedacht nach einem erfolgreichen Einbruch das Logging auf dem entsprechenden System so anzupassen dass dieser unentdeckt bleibt.
Beispiele dafür wären:
- ls, find, du: zeigen die betroffenen Dateien nicht an.
- ps, top, pidof: zeigt die entsprechenden Prozesse nicht an.
- netstat: zeigt den erzeugten Traffic nichtmehr an, z.B. um
- daemons wie eggdrop, bindshell, or bnc zu verbergen.
- killall: der Prozess kann nicht gekillt werden.
- ifconfig: die PROMISC Flag wird nicht angezeigt falls der Rechner zum Sniffen eingesetzt wird.
- crontab: versteckt den entsprechenden crontab Eintrag.
- tcpd: Trotz der Einstellung werden Verbindungen nicht gelogged.
- syslogd: Trotz der Einstellung werden Verbindungen nicht gelogged.
Ganz allgemein gesagt also einen Einbruch zu vertuschen, eventuell die Lücke wieder zu schliessen um zukünftige Einbrecher abzuhalten und die Fernadministration des Systems durch den Angreifer zu ermöglichen.
Ich würde Dir mal einen Blick auf das "Honeynet-Project" empfehlen:
http://project.honeynet.org/
PS.: Quellen für Exploits und Rootkits findest Du über Google mit Leichtigkeit...
Grüße,
harl.
I'm sure I've seen a stupider comment than that somewhere before, but the sheer stupidity of the statement has blocked out all recall.
Mit 'entdeckt' meinte ich, das sie ihren Job nicht richtig getan haben und ein Admin ein paar Unterschiede bei der Ausgabe von Infos bemerkt hat (z.B. reihenfolge war vorher anders)...
Es bringt also nichts ein rootkit für redhat 6.2 zu haben und es auf redhat 7.2 einzusetzen ...
Hm,
die Rootkits die Du meinst beziehen sich dann in erster Linie auf die (distributions-)spezifischen Versionen einer Software, sprich bei einer Suse 7.3 eine bestimmte Version von X, wuftp, usw.
Eine Definition von Rootkits im O`Reilly Network lautet wie folgt:
[zitat]
---8<---SNIP------8<---SNIP---
Remember that a rootkit is not designed to help an intruder gain access to a system. A rootkit is designed to make the intruders feel at home and allow them work silently on your system without being disturbed. To install a rootkit, an intruder still must gain unauthorized access to your server using traditional methods, such as exploiting known vulnerabilities or even practicing social engineering to get the password information from a well-meaning person who happens to have it.
---8<---SNIP------8<---SNIP---
[/zitat]
Das bedeutet aber nicht das sie nicht funktionieren, sondern nur dass sich eventuell etwas am Logverzeichnis, den Rechten unter denen die Programme laufen, usw. geändert hat.
Es besteht beispielsweise auch die Möglichkeit sogenannte LKM`s (loadable kernel modules) einzusetzen, eine Liste bekannter LKM`s und Hintergrundinformationen findest Du hier:
http://la-samhna.de/library/lkm.html
Oder vielleicht noch besser/interessanter, eine Analyse des KNARK Rootkits der auch einige Exploits enthält (die Geister scheiden sich, wie Du vielleicht bemerkst)
http://online.securityfocus.com/guest/4871
Grüße,
harl.
I'm sure I've seen a stupider comment than that somewhere before, but the sheer stupidity of the statement has blocked out all recall.
Ich bräucht diesen Rootkit.
Kann mir vielleicht jemand helfen.
Hab schon bei google geschaut, aber leider nur irgendwelche reports von security Seiten gefunden.
THX im Voraus, MfG, DOCMOD.
OffTopic:
[quelle=http://heise.de/newsticker/data/pab-20.09.02-000/]Hacker "torn" in England festgenommen
In einer Gemeinschaftsaktion von Scotland Yard und dem FBI wurde ein 21-jähriger Brite aufgrund des "Computer Misuse Act" von 1990 festgenommen. "torn", so der Nickname des Verdächtigen wurde am Dienstag von den Behörden in der Londoner U-Bahn-Station Surbiton gestellt; seine Computerausstattung wurde beschlagnahmt.
Die Festnahme von "torn" steht im Zusammenhang mit dem t0rn-Rootkit, das unter anderem im Linux-Wurm "Lion" enthalten war. Inwieweit torn wirklich an der Entwicklung des Rootkits mitgewirkt hat, ist in der Szene allerdings strittig. Sicher scheint jedoch, dass torn dieses rootkit häufig verwendet hat, um in fremde Rechnersysteme einzudringen.
Laut dem britischen Online-Magazin The Register wurde torn heute gegen Kaution bis Oktober wieder auf freien Fuß gelassen -- die Untersuchungen laufen derweil weiter. (pab/c't)
[/quelle]*lach*
Aktive Benutzer in diesem Thema: 1 (Registrierte Benutzer: 0, Gäste: 1)
Berechtigungen
Zitieren