home *** CD-ROM | disk | FTP | other *** search
/ Freaks Macintosh Archive / Freaks Macintosh Archive.bin / Freaks Macintosh Archives / Hacking & Misc / bundle of exploits.sit / bundle of exploits / rootkits / rootkit / rootkit.README < prev    next >
Text File  |  1994-03-01  |  4KB  |  118 lines

  1. ------------------
  2. rootkit release 1.
  3. ------------------
  4.  
  5. After spending tons of time having to do all of this by myself, 
  6. I finally decided to write a simple makefile to do it for me.
  7. Call me a script cracker, but I'm lazy as hell.  You don't want
  8. to use it, you don't have to.  Keep in mind it takes me a max
  9. of 40 seconds on a 4/65 to compile and install every program
  10. here.  Can you beat that by hand?  :-)
  11.  
  12. Here is how it works:
  13.  
  14. execute the command: ` make all install '
  15.  
  16.  
  17. The following programs will be installed suid root in DESTDIR:
  18.  
  19. z2:    removes entries from utmp, wtmp, and lastlog.
  20. es:    rokstar's ethernet sniffer for sun4 based kernels.
  21. fix:    try to fake checksums, install with same dates/perms/u/g.
  22.  
  23. note:    if you do not want these files installed suid (the administrator
  24.     has a cron to check for suid files, or the like), then type
  25.     make cleansuid and the suid bits will be removed.
  26.  
  27. The following programs will be patched and an attempt at spoofing
  28. the checksums of the files will be made.  Also, these files will
  29. be installed with the same dates, permissions, owners, and groups
  30. of the originals. 
  31.  
  32. sl:    become root via a magic password sent to login.
  33. ic:    modified ifconfig to remove PROMISC flag from output.
  34. ps:
  35. ns:
  36. ls:
  37. du5:
  38. ls5:
  39.  
  40. Here are some notes on the patch for `ps`:
  41.  
  42.         1.
  43.         This doesn't modify the process lists, so your
  44.         processes are STILL in memory, but ps just won't
  45.         administrator has another copy of ps sitting on
  46.         Best to search for SGID kmem programs to be fairly sure.
  47.  
  48.         2.
  49.         An example /dev/ptyp file is as follows:
  50.  
  51.         0 0             Strips all processes running under root
  52.         1 p0            Strips tty p0
  53.         2 sniffer       Strips all programs with the name sniffer
  54.  
  55.     3.
  56.         Do not leave a NULL string anywhere in the file.  During
  57.         testing, I often pressed return after my last control
  58.         statement.  Do not do this as it will cause a meory fault.
  59.         Do not use a character as the first line in the control file.
  60.         Remember to convert the UID's you wished masked to thier
  61.         numerical format.
  62.  
  63.     4.
  64.     Programs such as "top" will still show processes running.
  65.     This is bad.  I'm working on a patch.
  66.  
  67. Here are some notes on the patch for `netstat`:
  68.  
  69.         1.
  70.         This doesn't modify network listings, so your network
  71.         connections are STILL in memory, but `netstat` just
  72.         won't display them.  If another copy of `netstat` is
  73.         run on the machine, it will produce accurate results.
  74.         Best to search for SGID kmem programs to be fairly sure.
  75.  
  76.         2.
  77.         An example /dev/ptyq file is as follows:
  78.  
  79.         0 6667          # Strip all foreign irc network connections
  80.         1 23            # Strip all local telnet connections
  81.         2 .209.5        # Strip all foreign connections from cert.org
  82.         3 .175.9.8      # Strip all local connections to netsys4.netsys.com
  83.  
  84.         3.
  85.         Do not leave a NULL string anywhere in the file.  It
  86.         will cause a memory fault.  When stripping addresses,
  87.         a string search is used to compare addresses in the
  88.         control file with actaul network connections.  This
  89.         could cause minor problems.
  90.  
  91.         4.
  92.         It would probably be better to only strip the address ONCE
  93.         for each line in the control file.  Adding such commands
  94.         is trivial.  Check `inet.c` for modifications.
  95.  
  96. Here are some notes on the patch for `ls` && `du` && `du5` && `ls5`:
  97.  
  98.     1.
  99.     ls and du are trojaned and your files will
  100.     not be listed unless you issue a / flag.
  101.  
  102.     2. 
  103.     Example /dev/ptyr
  104.  
  105.     sunsnif        # Strip the filename sunsnif
  106.     icmpfake    # Strip the filename icmpfake
  107.  
  108.     3. 
  109.     Would be useful if stripping uids, and gids was
  110.     included.
  111.      
  112. ----
  113.  
  114. later eleetz, have fun and don't fuq shit up, all it duz
  115. iz get people put in jail. 
  116.  
  117. werd.
  118.