« Recordando el post de Nethox
Traducción a inglés »

Ocultación de acceso remoto

Language / Lenguaje:
Testerone Hgh Medical Atrovent Anxiety Byetta Lisinopril Interaction Migraine And Depakote Flatulence Glucophage La Piazza Allegra Hamilton Ontario Is There Ibuprofen In Cafergot Hoodia Gardonia Effect Blood Pressure Headaches And Prozac Next Day Cialis Prozac Causes Parkinsons Disease Imitrex And Alcohol Lipitor Versus Levostatin Fda Approval For Risperdal 1993 Tramadol Acet D Cup Breast Augmentation Faxine Effexor Dysfunction Erectile Levitra Femara As Fertility Drug Bacteria Producing Chitosan Using Crabshell Ultram End Of Dose Prednisone And Hyperglycemia Erectile Dysfunction And Lipitor Viagra Coverage Ca Dilantin Levels In Blood Interactions Symptoms Of Celexa And Biaxin Colchicine Overdose Effects Elavil Used In Suicide Fosamax Joint And Muscle Pain Zoloft Sertraline Tablets Getting Off Effexor Xr Cialis Buy It Online Huge Discount Clomid Affects Hcg Levels Aciphex Directions Reasons Why Viagra Would Be Ineffective Medical Research For Levitra Relafen Neuropathy Norvasc And Peripheral Edema Levoquin And Coumadin What To Eat When Taking Coumadin Prolong Use Of Lexapro Hoodia And Medicine Interactions Ultram Tramadol Hci Tablet Zocor Cost Per Pill Effects Of Levitra On Women Viagra Sale Cheap Colchicine Gout Colchicine Treatment Gout Actos Takeda Pharm Lasix Symtoms Lioresal Prescribing Information

Nas.

Ya casi tengo acabado el nuevo sistema de ocultación de la conexión del acceso remoto. Antes se hacía todo enchapuzao a través de redireccionar la syscall de read, lo cual producía a veces errores al hacer un netstat. Ahora lo haré redireccionando la función que muestra /proc/net/tcp (tcp_seq_show creo que se llamaba), ya la redireccioné, solo falta hacer la nueva que chequee si la ip es la que hay que ocultar o no, etc. En un par de dias o menos supongo que ya estará, no hizo falta ninguna chapucilla porque el símbolo para conseguir redireccionarla está exportado. Luego cuando esté acabado hay que añadirlo a lo de desinstalar el módulo porque hay que dejarla como estaba, ya que sino al hacer un netstat saltará a nuestra función que ya no existe y petará el proceso.

Un saludo.

Posted by RaiSe

This entry was posted on Tuesday, April 3rd, 2007 at 12:31 pm and is filed under news. You can follow any responses to this entry through the RSS 2.0 feed. You can leave a response, or trackback from your own site.

8 Responses to “Ocultación de acceso remoto”

  1. David Reguera Garcia Says:
    April 3rd, 2007 at 8:15 pm

    Language / Lenguaje: English / Inglés

    Bien!, a ver si para el 20 de este mes tenemos una versión pública y la colgamos en http://www.enye-sec.org :-), Un saludo.

  2. RaiSe Says:
    April 17th, 2007 at 2:08 pm

    Language / Lenguaje: English / Inglés

    Nass. Ya he terminado el tema de la ocultacion de la conexion. Ha quedado muchisimo mejor, ya no da errores como daba antes dependiendo de si fallaba el read. Ademas ahora ya no salen numeros de socket salteados al hacer cat /proc/net/tcp como antes, que igual pasaba del 4 al 6 con el consiguiente moskeo del admin. Aparte he eliminado muchisimo codigo del read.d con lo que se ha optimizado mucho, sobre todo porque cuanto menos se toque la sys_read mejor. Hoy de noche te lo paso y lo pruebas, vale?. Es una version con todo lo nuevo incluido ya (handler nuevo, etc.), menos lo de desinstalar el modulo que aun no he tenido tiempo de meterlo. Tu como llevas lo de los pids?. Un saludo ;).

  3. David Reguera Garcia Says:
    April 17th, 2007 at 9:25 pm

    Language / Lenguaje: English / Inglés

    Bien, pero lo tengo algo parado por el tema del curro y demás, pásame eso cuando puedas, un saludo.

  4. RaiSe Says:
    April 18th, 2007 at 3:40 pm

    Language / Lenguaje: English / Inglés

    Te lo acabo de enviar por email. Por cierto, me he dado cuenta de 1 bug. Al entrar en las X (no creo que sea por las X en si, seguramente se reproduce con otro programa intensivo en recursos), si abres el acceso remoto y sales de las X con el acesso remoto abierto el kernel de cuelga. Pensé que era cosa del nuevo sistema de ocultacion de la conexion pero no, porque desactivado pasa igual, debe venir de atras. Habrá que mirarlo a ver, probare la v1.1 a ver si tambien pasa. Si se cierran las X con el acceso remoto ya cerrado no pasa nada. Un saludo.

  5. RaiSe Says:
    April 18th, 2007 at 3:44 pm

    Language / Lenguaje: English / Inglés

    Con la v1.1 tambien pasa, habra que mirarlo a fondo.. Un saludo.

  6. David Reguera Garcia Says:
    April 18th, 2007 at 8:33 pm

    Language / Lenguaje: English / Inglés

    Muy bien a ver si mañana le puedo echar un ojo, ando super liado :_), thx por enviarmelo.

  7. RaiSe Says:
    April 19th, 2007 at 2:36 pm

    Language / Lenguaje: English / Inglés

    Joer, lo que faltaba.. jeje, el sistema de ocultacion de procesos no funciona. La shell remota se ve al hacer un ‘ps awx’, creo que el sistema de ‘ver’ los procesos de los ultimos kernels ha cambiado, ya no usa getdents en /proc sino que debe ser otro sistema, con lo cual los procesos ocultos se ven, y seguramente las X se queda esperando por un hijo (la shell) o algo parecido y por eso se cuelga. Hay que revisar el sistema de ocultacion de procesos, a la v1.1 en los ultimos kernels (al - en el 2.6.17) le pasa lo mismo. Un saludo.

  8. RaiSe Says:
    April 24th, 2007 at 4:19 pm

    Language / Lenguaje: English / Inglés

    Nas. Lo de ocultar el proceso ya está arreglado, era que usaba getdents en vez de getdents64, se añadio una hacked_getdents y ya está (debe ser que dependiendo de la version de ps usa getdents o getdents64, ahora ya están las 2 hookeadas). El problema del cuelgue sigue, ademas tambien pasa al reiniciar al sistema cuando hace un killall -TERM. Usease al enviarle la TERM peta, ahora npi pq, habra que seguir mirando. Un saludo.

Leave a Reply

You must be logged in to post a comment.