hacking ... lo studiamo ?

Luca Cardone luca a xunil.it
Lun 28 Nov 2005 20:39:46 CET


Aggiungerei solo una cosa che effettivamente puo' essere utile:

Quell sito.. e quella cartella contenente 4 programmini rudimentali di 
"hacking":

Domain Name.......... slickland.com
  Creation Date........ 2005-10-17
  Registration Date.... 2005-10-17
  Expiry Date.......... 2006-10-17
  Organisation Name.... Bob Kirkpatrick
  Organisation Address. 4012 E 22nd Ave
  Organisation Address.
  Organisation Address. Spokane
  Organisation Address. 99223
  Organisation Address. WA
  Organisation Address. UNITED STATES

Il sito non fornisce spazio gratuito quindi probabilmente il proprietario ne 
sa qualcosa ;-)

Basta solo questo piccolo dettaglio per confermare quanto detto da Dario:

E' un luser, probabilmente un ragazzino che voleva montarsi un clientino per 
andare in chat...


----- Original Message ----- 
From: "Dario Freni" <saturnero a gufi.org>
To: "Esperti" <esperti a gufi.org>
Sent: Monday, November 28, 2005 8:15 PM
Subject: Re: hacking ... lo studiamo ?



> Semplice backdoor che abre un servizio di rete sulla 4132, risulta come 
> processo "vi" e apre una shell a chi si connette.
>
>
> >>
> >> mi piacerebbe vedere il file bsdpass.c
>
> Da una analisi sul bsdpass binario esce fuori una funzione dolisten, e 
> chiamate bind(), connect(), sendfile() (?) e una stringa cosi`:
>
> /usr/bin/chsh -s /bin/sh
>
> Una backdoor remota anche questa, suppongo.
>
>
>> ed ecco l'utente info (pwd info, con tanto di shell  :-)
>>
>>> ecco cosa ha fatto info
>>>
>>>      2  22:15   cd
>>>      3  22:15   w
>>>      4  22:15   cd ..
>>>      5  22:15   cd ..
>>>      6  22:15   cd ..
>>>      7  22:15   cd ..
>>>      8  22:15   cd ..
>>>      9  22:15   cd ..
>>>     10  22:15   cd ..
>>>     11  22:15   cd /
>>>     12  22:15   cd
>>>     13  22:15   cd //
>>>     14  22:15   cd .
>>>     15  22:16   cd usr
>>>     16  22:16   var
>>>     17  22:16   exit
>>>     18  6:58    cd /var/tmp/" "
>>>     19  6:58    cd .psybsd
>>>     20  6:58    ./httpd
>>>     21  6:59    cd
>>>     22  6:59    w
>>>     23  6:59    cd ..
>>>     24  6:59    cd ..
>>>     25  6:59    exit
>>>     26  7:10    cd /var/tmp
>>>     27  7:10    ls
>>>     28  7:10    cd" "
>>>     29  7:10    cd " "
>>>     30  7:10    ls
>>>     31  7:10    cd .psybsd
>>>     32  7:10    ./http
>>>     33  7:10    ./httpd
>>>     34  7:10    cd
>>>     35  7:10    cd ..
>>>     36  7:10    cd ..
>>>     37  7:10    cd ..
>>>     38  7:10    cd ..
>>>     39  7:10    w
>>>     40  7:10    exit
>>>     41  21:36   cd /var/tmp
>>>     42  21:36   ls
>>>     43  21:36   cd .``.``.
>>>     44  21:36   cd '" "cd " "
>>>     45  21:36   cd " "
>>>     46  21:36   ls
>>>     47  21:36   cd .psybsd
>>>     48  21:36   ./httpd
>>>     49  21:36   cd
>>>     50  21:36   exit
>>>     51  17:56   w
>>>     52  17:56   cd /var/tmp
>>>     53  17:56   ls
>>>     54  17:56   cd " "
>>>     55  17:56   ls
>>>     56  17:56   cd .psybsd
>>>     57  17:56   ls
>>>     58  17:56   pic psybnc.conf
>>>     59  17:57   ls
>>>     60  17:57   pic menuconf
>>>     61  17:58   pic psybnc.conf.old
>>>     62  17:59   pic log
>>>     63  18:05   uname -a
>>>     64  18:05   uname -s
>>>     65  18:05   w
>>>     66  18:06   cd ..
>>>     67  18:06   cd ..
>>>     68  18:06   cd
>>>     69  18:06   cd ..
>>>     70  18:06   cd ..
>>>     71  18:06   rm -rf .psybsd
>>>     72  18:06   ls
>>>     73  18:06   cd
>>>     74  18:06   cd ..
>>>     75  18:06   exit
>>>     76  18:06   cd /var/tmp/" "
>>>     77  18:07   rm -rf .psybsd
>>>     78  18:07   ls
>>>     79  18:07   ls -all
>>>     80  18:07   ftp
>>>     81  18:10   ps -x
>>>     82  18:10   killall -9 10745
>>>     83  18:11   cd .psybsd
>>>     84  18:11   ls
>>>     85  18:11   tar -xvzf psyBNC2.3.2-5.tar.gz
>>>     86  18:11   rm -rf psyBNC*
>>>     87  18:11   mv psybnc .psybsd
>>>     88  18:12   cd .psybsd
>>>     89  18:12   make
>>>     90  18:14   mv psybnc sshd
>>>     91  18:14   ls
>>>     92  18:14   ps -x
>>>     93  18:14   kill -9 10745
>>>     94  18:16   ./sshd
>>>     95  18:18   uname -a
>>>     96  18:19   cat /etc/hosts
>>>     97  18:20   cd
>>>     98  18:20   cd ..
>>>     99  18:20   cd ..
>>>    100  18:20   exit
>>
>>
>>
>> Secondo voi che facevano ?
>
> Installavano psybnc, ovvero un bouncer per collegarsi a irc. il binario 
> l'hanno rinominato in sshd in modo che dal ps non risultasse niente di 
> strano (a parte il ./ iniziale, lusers). E` una sorta di proxy per irc che 
> si usa per anonimizzarsi in reti dove l'ip e` pubblicamente visibile.
>
> Ciao,
> Dario
>
> -- 
> Dario Freni (saturnero a gufi.org)
> Gruppo Utenti FreeBSD Italia (http://www.gufi.org)
> GPG Public key at http://www.saturnero.net/saturnero.asc
> -- 
> Regole e consigli per l'uso della lista: 
> http://www.gufi.org/GUFI/mailing_list 



Maggiori informazioni sulla lista esperti