Gracias a los dos, voy a leer tranquilo toda esa información.

Un saludo.

Mira esta tabla:


Verás que requiere lo que te dije anteriormente, para salir de dudas busca la syscall en syscall.h, hay te dira los arg que requiere.


El primero es el nombre del módulo creo, el segundo es la estructura te puedes guiar con las de mi código.

Un saludo.

La syscall init_module necesita dos argumentos un puntero a char y una estructura que es module si no me equivoco, tienes que rellenar la estructura y copiarla a %ecx creo.



Un saludo.

Gracias por contestar pensaba que nadie lo haría.


Bueno seguro que los usuarios de Mac OS X caen  xD.


Hace dos dias que estoy con esto algo de esos códigos entiendo, puede que sea por que los dos somos poco felices  .

¿Hay alguna base por donde pueda empezar con los rootkit?

.section .data
.equ puerto, 10
 
sockaddr_in:
sin_len:
   .byte 0
sin_family:
   .byte 0
sin_port:
   .word 0
sin_addr:
   .long 0 
sin_zero:
   .byte 0,0,0,0,0,0,0,0
 
in_addr:
s_addr:
.long 0
 
sockdes:
.long 0
lonsock:
.long 0
 
.section .text
.globl _start
_start:
 
   leaq sockaddr_in, %r8
 
   movq $97, %rax       
   movq $2, %rdi
   movq $1, %rsi
   movq $6, %rdx
   int $0x80                 
   movq %rax, sockdes        
 
   movq $2, sin_family    
   movq $in_addr, sin_addr    
   movq $puerto, sin_port        
 
   movq $104, %rax         
   movq sockdes, %rdi
   movq %r8, %rsi
   movq $16, %rdx
   int $0x80                   
 
   pushq $1
   pushq sockdes
   movq $106, %rax      
   int $0x80                   
   addq $8, %rsp
 
   movq $30, %rax       
   movq sockdes, %rdi
   movq %r8, %rsi 
   movq $lonsock, %rdx
   int $0x80                    
 
   xorq %rax, %rax            
   movq $1, %rax               
   int $0x80 

No tiene ninguna función podría crear alguna con execve pero bueno, conecto con netcat.

Estoy pensando en meterle alguna shellcode, por ejemplo que desactive pf por que no me deja hacer nada xD, tambien que pueda cifrar la conexión o cosas así, a ver si puedo hacerlo.

Un saludo.

P.D: El código es muy básico, me diste una solución para ps, pero que pasa con netstat?

Hola

Voy a intentar ayudarte, veo algunas cosas mal.

init:
xor eax,eax
or eax,80
add eax,48
push image
jmp n
m:
call init_module
jmp exit
 
n:
call m
name: 
db "mylkm.o",0
 
 
 
section .bss
 
image: resb (tamanio de struct image)

No hace falta que incluyas ninguna libreria, ya tienes init_module en las llamadas al sistema la 128, cosa que haces con el or y el add, que no lo entiendo no es mejor con mov?

Requiere dos arg, el nombre y la estructura si no me equivoco, y tu metes uno en el stack.


¿Sabes rellenar una estructura en C?

Creo que es lo mismo.

Un saludo.

P.D: Hice algo parecido a una backdoor, tuve que rellenar la estructura sockaddr_in y la in_addr las quieres de ejemplo, o te quemas la cabeza tú solo?

Hola

Voy al grano.

Tengo algo parecido a una backdoor, como un netcat, pero es "muy básica".

Cuando miro las conexiones activas hay aparece, y en ps también, la oculto cambiando el nombre por un proceso común, pero es muy cutre no?

Hay una práctica llamada "Hooking" si no me equivoco, pero todo es para windows, alguien puede echarme un cable para un unix-like?

Un saludo.

P.D: Muestro el código si alguien quiere.

En teoría.

Tcpdump es tú amigo.

Un saludo.

P.D: Dejarías log a la máquina servidor si el firewall tiene alguna política de log, o en el tuyo, en el caso que te dije yo.

Cuando utilizas el msn, skype etc... te conectas a sus servidores y dejas log, te refieres a eso?

Un saludo

Hola

Yo creo que si es más seguro.


La función atomicio de netcat envia mensajes, como un "chat" y la conexión es directa, puedes probarlo a nivel local y exterior por supuesto.

Si quieres más seguridad tienes ssh, o si eres más paranoico crea un tunel con ipsec con cifrado AES de 256 bits con tú máquina y la otra.

Un saludo.

Hola


Muéstrame un fragmento de ese LOG, a ver si puedo ayudarte.

Un saludo.