[OUNED] Partage de binaires
|
07-07-2014, 16h14
Message : #1
|
|
Junky
Snorky Master Messages : 228 Sujets : 35 Points: 203 Inscription : Mar 2013 |
[OUNED] Partage de binaires
Bonjour,
BOn bah voila ce qui devait arriver arriva. Je viens de me faire retourner mon serveur. Je m'en suis rendu car d'un seul coup un seul j'avais des lags vraiment énorme sur la machine. En cherchant un (avec gruik) et quelques commandes plus tard, mon user guest était la faille. C'est un user dont je me sers pour les personnes qui désirent uploader des fichiers sur mon serveur. Généralement celui-ci et up le tps de l'upload et je le désactive ensuite. La dernière fois que je m'en suis servi, c'était pour échanger un fichier avec ark. Normalement ce user a le tag suivant dans dans le /etc/passwd: Code : guest:*:XXXX:XXXX:,,,:/home/guest:/bin/bash Et lorsque je désirs qu'une personne puisse s'en servir, je remplace '*' par un 'x' et fourni le passwd. Bref une fois l'upload terminé avec ark, j'ai totalement oublié de désactiver le user. Et bien sur celui a un mot de passe du style: Code : azerty Bref j'ai fais mon noob et j'en ai payé les frais. J'ai donc bloqué le pool d'ip (chinoise étonant n'est ce pas). Malgrès tout j'ai un petit cadeau pour nos amis les reverses de fou.. En fouillant un peu mon serv, dans le /tmp voici ce que j'ai pu trouver: Code : junky:/tmp# ls -l Donc a vos IDA, et go reverse tt le bordel les gens ... Dispo ici Si des gens motivés pouvait faire un topic une fois les binaires reverses, ce serait super cool. Junky, Pour la sécurité, sous linux, le principal soucis est l'interface chaise/clavier
|
|
07-07-2014, 16h18
Message : #2
|
|
ark
Psyckomodo! Messages : 1,033 Sujets : 48 Points: 317 Inscription : Sep 2011 |
RE: [OUNED] Partage de binaires
Ahaha génial
Thx pour le partage mec! En tout cas ils ont frappé vite hein, parce que c'était il y a pas si longtemps notre échange de binaire :p |
|
07-07-2014, 16h19
Message : #3
|
|
Junky
Snorky Master Messages : 228 Sujets : 35 Points: 203 Inscription : Mar 2013 |
RE: [OUNED] Partage de binaires
Le premier juillet ... :/
Le jour de l'upload des files. Pour la sécurité, sous linux, le principal soucis est l'interface chaise/clavier
|
|
07-07-2014, 16h53
Message : #4
|
|
notfound
#!/usr/bin/env bash Messages : 687 Sujets : 47 Points: 271 Inscription : Sep 2012 |
RE: [OUNED] Partage de binaires
Pourquoi tu as mis un passwd weak comme ça ? Mettre un passwd strong ça revenait au même non ?
|
|
07-07-2014, 16h55
Message : #5
|
|
Junky
Snorky Master Messages : 228 Sujets : 35 Points: 203 Inscription : Mar 2013 |
RE: [OUNED] Partage de binaires
Non mais clairement,
Juste j'ai fais mon noob!!! Et j'ai payé.... Pour la sécurité, sous linux, le principal soucis est l'interface chaise/clavier
|
|
07-07-2014, 18h21
Message : #6
|
|
Yttrium
Membre actif Messages : 106 Sujets : 14 Points: 48 Inscription : Jul 2012 |
RE: [OUNED] Partage de binaires
Quelques question, tu aurais pas ces fichiers ?
" /etc/rc.d/rc.local /etc/rc.conf " et sinon apparemment, c'est du botnet gérer par irc IP : 5.175.146.168 |
|
07-07-2014, 18h40
Message : #7
|
|
supersnail
Éleveur d'ornithorynques Messages : 1,609 Sujets : 71 Points: 465 Inscription : Jan 2012 |
RE: [OUNED] Partage de binaires
Hum vais jeter un oeil (maintenant que j'ai fini de me battre avec mon js tout moche :>).
J'essaierai ptet de pondre un rapport un peu détaillé, en tout cas ça me permettera de me remettre au sport
Mon blog
Code : push esp ; dec eax ; inc ebp ; and [edi+0x41],al ; dec ebp ; inc ebp "VIM est merveilleux" © supersnail |
|
07-07-2014, 19h08
Message : #8
|
|
ark
Psyckomodo! Messages : 1,033 Sujets : 48 Points: 317 Inscription : Sep 2011 |
RE: [OUNED] Partage de binaires
(07-07-2014, 18h21)Yttrium a écrit : et sinon apparemment, c'est du botnet gérer par irc IP : 5.175.146.168 Plus precisement, sur ce serveur on retrouve un serveur IRC, qui sert de C&C. (ports 443 et 80, probablement pour bypasse des firewalls) Et il se connecterais sur le channel #ktx. voilou, maintenant, je vais aller reverse ce truc de maniere plus pousse =) |
|
07-07-2014, 19h36
(Modification du message : 07-07-2014, 19h41 par supersnail.)
Message : #9
|
|
supersnail
Éleveur d'ornithorynques Messages : 1,609 Sujets : 71 Points: 465 Inscription : Jan 2012 |
RE: [OUNED] Partage de binaires
Bon au final, le malware sert juste à lancer des attaques de DDoS et download des fichiers depuis le web, le tout depuis un chan IRC ( #ktx ) sur le serveur mentionné par Yttrium, donc pas grand-chose d'intéressant techniquement à part des routines de parsing de commandes IRC de 3km de long en C et du garbage généré par cygwin (oui le truc a été compilé avec cygwin et c'est donc un PE qui a été balancé sur la bécane, ça montre bien le lvl des skids).
Après j'ai pas bien regardé mais il semblerait que y'ait pas d'authentification à part pour kill les bots donc si vous voulez f**tre le bins, let's go :> Bref y'a pas assez de stuff pour faire un topic là-dessus imo. Edit: c'est juste la version x86 qu'est du PE (suite à une rectification sur IRC)
Mon blog
Code : push esp ; dec eax ; inc ebp ; and [edi+0x41],al ; dec ebp ; inc ebp "VIM est merveilleux" © supersnail |
|
07-07-2014, 22h25
Message : #10
|
|
thxer
:(){ :|:& };: Messages : 382 Sujets : 60 Points: 162 Inscription : Feb 2013 |
RE: [OUNED] Partage de binaires
Excellent les gars, pas le temps de participer mais funky à lire
|
|
07-07-2014, 22h27
Message : #11
|
|
notfound
#!/usr/bin/env bash Messages : 687 Sujets : 47 Points: 271 Inscription : Sep 2012 |
RE: [OUNED] Partage de binaires
Bouarf, en faisant un strings, t'arriveras à la même conclusion. Rien de bien fou
|
|
« Sujet précédent | Sujet suivant »
|
Utilisateur(s) parcourant ce sujet : 1 visiteur(s)