+- N-PN White-Hat Project (https://dev.n-pn.fr/forum)
+-- Forum : Informatique (https://dev.n-pn.fr/forum/forumdisplay.php?fid=12)
+--- Forum : Centre de virologie (https://dev.n-pn.fr/forum/forumdisplay.php?fid=33)
+--- Sujet : [OUNED] Partage de binaires (/showthread.php?tid=3695)
[OUNED] Partage de binaires - Junky - 07-07-2014
Bonjour,
BOn bah voila ce qui devait arriver arriva. Je viens de me faire retourner mon serveur. Je m'en suis rendu car d'un seul coup un seul j'avais des lags vraiment énorme sur la machine. En cherchant un (avec gruik) et quelques commandes plus tard, mon user guest était la faille.
C'est un user dont je me sers pour les personnes qui désirent uploader des fichiers sur mon serveur. Généralement celui-ci et up le tps de l'upload et je le désactive ensuite. La dernière fois que je m'en suis servi, c'était pour échanger un fichier avec ark. Normalement ce user a le tag suivant dans dans le /etc/passwd:
Code :
guest:*:XXXX:XXXX:,,,:/home/guest:/bin/bashEt lorsque je désirs qu'une personne puisse s'en servir, je remplace '*' par un 'x' et fourni le passwd.
Bref une fois l'upload terminé avec ark, j'ai totalement oublié de désactiver le user. Et bien sur celui a un mot de passe du style:
Code :
azerty
password
...Bref j'ai fais mon noob et j'en ai payé les frais. J'ai donc bloqué le pool d'ip (chinoise étonant n'est ce pas).
Malgrès tout j'ai un petit cadeau pour nos amis les reverses de fou..
En fouillant un peu mon serv, dans le /tmp voici ce que j'ai pu trouver:
Code :
junky:/tmp# ls -l
total 180
-rwxrwxrwx 1 guest guest 39405 juil. 1 04:22 ktx-arm-nodns
-rwxrwxrwx 1 guest guest 94827 juil. 1 04:23 ktx-i686-nodns
-rwxrwxrwx 1 guest guest 38503 juil. 1 04:23 ktx-x64-nodnsDonc a vos IDA, et go reverse tt le bordel les gens ...
Dispo ici
Si des gens motivés pouvait faire un topic une fois les binaires reverses, ce serait super cool.
Junky,
RE: [OUNED] Partage de binaires - ark - 07-07-2014
Ahaha génial
Thx pour le partage mec!
En tout cas ils ont frappé vite hein, parce que c'était il y a pas si longtemps notre échange de binaire :p
RE: [OUNED] Partage de binaires - Junky - 07-07-2014
Le premier juillet ... :/
Le jour de l'upload des files.
RE: [OUNED] Partage de binaires - notfound - 07-07-2014
Pourquoi tu as mis un passwd weak comme ça ? Mettre un passwd strong ça revenait au même non ?
RE: [OUNED] Partage de binaires - Junky - 07-07-2014
Non mais clairement,
Juste j'ai fais mon noob!!! Et j'ai payé....
RE: [OUNED] Partage de binaires - Yttrium - 07-07-2014
Quelques question, tu aurais pas ces fichiers ?
"
/etc/rc.d/rc.local
/etc/rc.conf
"
et sinon apparemment, c'est du botnet gérer par irc IP : 5.175.146.168
RE: [OUNED] Partage de binaires - supersnail - 07-07-2014
Hum vais jeter un oeil (maintenant que j'ai fini de me battre avec mon js tout moche :>).
J'essaierai ptet de pondre un rapport un peu détaillé, en tout cas ça me permettera de me remettre au sport
RE: [OUNED] Partage de binaires - ark - 07-07-2014
(07-07-2014, 18h21)Yttrium a écrit : et sinon apparemment, c'est du botnet gérer par irc IP : 5.175.146.168
Plus precisement, sur ce serveur on retrouve un serveur IRC, qui sert de C&C. (ports 443 et 80, probablement pour bypasse des firewalls)
Et il se connecterais sur le channel #ktx. voilou, maintenant, je vais aller reverse ce truc de maniere plus pousse =)
RE: [OUNED] Partage de binaires - supersnail - 07-07-2014
Bon au final, le malware sert juste à lancer des attaques de DDoS et download des fichiers depuis le web, le tout depuis un chan IRC ( #ktx ) sur le serveur mentionné par Yttrium, donc pas grand-chose d'intéressant techniquement à part des routines de parsing de commandes IRC de 3km de long en C et du garbage généré par cygwin (oui le truc a été compilé avec cygwin et c'est donc un PE qui a été balancé sur la bécane, ça montre bien le lvl des skids).
Après j'ai pas bien regardé mais il semblerait que y'ait pas d'authentification à part pour kill les bots donc si vous voulez f**tre le bins, let's go :>
Bref y'a pas assez de stuff pour faire un topic là-dessus imo.
Edit: c'est juste la version x86 qu'est du PE (suite à une rectification sur IRC)
RE: [OUNED] Partage de binaires - thxer - 07-07-2014
Excellent les gars, pas le temps de participer mais funky à lire
RE: [OUNED] Partage de binaires - notfound - 07-07-2014
Bouarf, en faisant un strings, t'arriveras à la même conclusion. Rien de bien fou