PDA

Просмотр полной версии : Актуальный Backdoor


Noisnam
13.02.2012, 19:19
Народ подскажите акруальный backdoor под CentOS, всё что требуется это висеть в процессах и ждать моего коннекта по логину и паролю указаному при его компиляции! некий аналог ssh)) Пасиб

snake
13.02.2012, 19:59
trixd00r - висит в процессах,как и просил))

Noisnam
14.02.2012, 00:47
trixd00r - висит в процессах,как и просил))

Пасиб)) хотелось бы ещё варианты более удобные)
Вот типа того: https://rdot.org/forum/showthread.php?t=1386&page=2
токо на Си

snake
14.02.2012, 13:04
по моему по линку что-то более сложное,чем я дал(

tipsy
15.02.2012, 01:03
trixd00r - висит в процессах,как и просил))

В ifconfig будет виден флаг PROMISC? Или я неправильно понял принцип работы?

yesday
15.02.2012, 01:33
dropbear собери статикой да запусти. Тут на форуме я где то выкладывал ещё патч для dropbear, чтобы пускало по строго определённому паролю.

euro
15.02.2012, 01:54
а никто не встречал exim трояненный ?

yesday
16.02.2012, 00:50
а никто не встречал exim трояненный ?

Дык если и встречал. Полно примеров, как протроянить сервис любой - бери сорцы да троянь.

Noisnam
16.02.2012, 02:52
dropbear собери статикой да запусти. Тут на форуме я где то выкладывал ещё патч для dropbear, чтобы пускало по строго определённому паролю.

Читал уже тот пост https://rdot.org/forum/showthread.php?t=1955
Не вкурил в каком синтаксисе указывать пасс struct spwd *spasswd = NULL с кавычками?)
И при компиляции де указывать номер порта) и всёравно кажется что не простое решение быстро не скомлится если у серванта нет либ нужных!
Былобы дельфи написал бы за 5 минут, а тут Си((
Вот по такому бы принципу
1 Открываем порт,сидим в процессах, ждём поключения
2 Подкючаемся, авторизовывается, вводим команду, она передаётся зарание созданому скриптику c root правами в папке sbin)
всё что требуется)) Или тупо на сокетах, запрос - ответ и т д))

кто может посоветовать изучить чего либо исходники подходяшие к вышеописанному

b3
16.02.2012, 07:02
1 Открываем порт,сидим в процессах, ждём поключения
паливо порта и паливо по процессам, как вариант прописаться в супер сервер, но тоже паливо в конфигах, может можно иначе как-то к нему привязаться, если вешать демон в процессы думаю нужно использовать имена такие чтоб не вызвали подозрений типа exim, named, dhclient и тд.

euro
16.02.2012, 12:18
Дык если и встречал. Полно примеров, как протроянить сервис любой - бери сорцы да троянь.
Еслиб знал С+ взял бы и протроянил и не писал бы здесь...

16bit
16.02.2012, 13:46
висеть с открытым портом в процессах - это мега палево.
netstat -tupan сразу это покажет.
лучше открывать порт на время работы или же юзать бек

Noisnam
16.02.2012, 19:05
Еслиб знал С+ взял бы и протроянил и не писал бы здесь...

умно))) сервис троянить долго иногда получается что пасс получаеш и нужно как можно быстрее оставить запасную дверь а потом прийти и норм всё сделать) уже пишу свой нубо блакдур на сокетах, столкнулся с проблемой) если знаеш с++ то отпиши тут https://rdot.org/forum/showthread.php?t=1997 ))))

yesday
16.02.2012, 22:00
Ещё вариант бека - inetd/xinetd. xinetd слушающий порт - менее палевно.

Кроме того, есть ещё технология PortKnocking (http://www.portknocking.org/) -- порты не слушает, в PROMISC сетевуху не переводит, висит себе тихонько в процессах, ждёт magic string/коннекта на определённый набор портов, когда получает чонада - выполняет нужную команду/скрипт. Работает при policy DROP в iptables. Тема в общем.

yesday
16.02.2012, 22:01
Еслиб знал С+ взял бы и протроянил и не писал бы здесь...

Какая версия exim нужна? Думаю, не только тебе будет полезно, сделаю патч.

euro
17.02.2012, 20:39
Какая версия exim нужна? Думаю, не только тебе будет полезно, сделаю патч.
version 4.69

SynQ
08.10.2012, 13:59
64bit Mac OS-X kernel rootkit that uses no hardcoded address to hook the BSD subsystem in all OS-X Lion & below. It uses a combination of syscall hooking and DKOM to hide activity on a host. String resolution of symbols no longer works on Mountain Lion as symtab is destroyed during load, this code is portable on all Lion & below but requires re-working for hooking under Mountain Lion.
Руткит для Mac OS X: rubilyn-0.0.1.tar.gz (http://www.nullsecurity.net/tools/backdoor/rubilyn-0.0.1.tar.gz)

Vagmi
26.01.2015, 14:24
Руткит для Mac OS X: rubilyn-0.0.1.tar.gz (http://www.nullsecurity.net/tools/backdoor/rubilyn-0.0.1.tar.gz)

Детально про rubilyn: http://macsecurity.net/view/73/