Foro de elhacker.net

Buenas,
anteriormente he abierto un post sobre el poison ivy, pero tambien tengo alguna duda con el bitfrost (por eso abro otro hilo, al ser 2 programas diferentes).

He descargado el Bitfrost v1.2.1 y tengo el DUC v3.0.4 en el S.O windows 7.
He seguido varios tutoriales, y he creado mi cuenta en no-ip, he instalado el DUC... etc.
La cosa es que sigo todos los pasos, en config pongo un puerto, y a la hora de crear el servidor pongo el mismo puerto. El problema, viene a la hora de especificar la DNS/IP dinamica, ahi introduzco mi dominio en no-ip.com, y creo el server.
Cuando ejecuto el server, no ocurre absolutamente nada, no se me autoinfecta el ordenador, en cambio, si en vez de poner mi no-ip en el campo de DNS/IP, y pongo la ip 127.0.0.1, si se me autoinfecta el ordenador.

¿Como puedo solucionar esto? ¿a que se debe?

PD:. solo me funciona en modo visible, en modo cauteloso o agresivo no, ¿se puede solucionar esto?
EDITO:
**Si ejecuto el server en el vmware (tengo winXP ahi), desde mi ordenador principal si que se conecta y puedo ver los archivos, etc.. pero he pasado el server a un colega para probar, y aunque lo ejecute el, a mi no me aparece nada, ¿por que?.

Creo que el problema puede estar en la IP que pongo al crear el HOST en no-ip. ¿Que direccion IP debo poner ahi? si dejo la que me aparece por defecto, al ejecutar el server no me autoinfecto, pero si pongo mi IP (escribiendo ipconfig en simbolo de sistema) IPv4 (cable Ethernet) = 192.168.1.33, al ejecutar el server SI ME AUTOINFECTO, ¿esto que quiere decir? ¿que direccion IP debo poner el crear el host en no-ip?
Por defecto, me aparece una que es "81.38.150.200" pero no se de donde sale.
¿Cual debo poner?
-La que aparece por defecto?
-La IPv4?
-La puerta de enlace predeterminada ?.....

Gracias !

IP externa para infectar gente de afuera
IP interna para autoinfectarte

De acuerdo, entonces en no-ip.com, introduzco mi IP externa.
Asi es como lo tenia antes, y de esta manera aun asi cuando un usuario lo ejecuta no funciona.. ¿encontrais el fallo?
Muchas gracias

Mmmm mira prueba de abrir un cmd ejecuta el No-Ip DUC actualiza i haz un ping al DNS haber si te devuelve la ip correcta, si es así sera cosa de tu router que tendras que redireccionar todo lo que te llegue por el puerto que pusiste en el server a la maquina donde controlas el cliente.

He hecho PING a mi Ip local (192.168.1.33) y a mi Ip externa (83.55.4.134)y las dos funcionan correctamente.
¿A que te refieres con que a ver si me devuelve la Ip correcta?

No me refiero a eso me refiero a que hagas ping a tu nombre de pagina del no ip por ejemplo:

ping www.nombredetudominio.no-ip.org

y mira que al hacer ping coincida con tu ip externa real.

Si es asi tendras que configurar en tu router que todos los packetes que te lleguen de fuera al puerto "1234" o al puerto que tu ayas puesto te lo rediriga a la ip de tu maquina donde tienes el cliente por ejemplo 192.168.1.20 si no no funcionara por que el server se comunicara con tu router si pero tu router no sabra donde enviar esos packetes.

Se referia a hacer un "ping tunombrededominio.no-ip.org" para ver si te decia que estaba todo bien y te mostraba tu ip publica, que es lo que tiene que mostrar.

Configura bien el servidor, pone tu nombrededominio.no-ip.org o como sea. Cambiale el MUTEX si es que te lo pide por ahi, porque tal vez ya te has infectado y no te has dado cuenta y si no cambias de MUTEX los siguientes servidores que has intentado ejecutar no se han ejecutado.

Ahora, prendes el DUC y te fijas si ha actualizado bien y te muestra que el dns esta haciendo referencia a tu ip publica.

Con eso tendria que funcionar una conexion DESDE OTRA PC FUERA DE TU RED.
Si no funciona, entonces es porque te ha faltado abrir el puerto en tu router, el puerto que usas en la configuracion del servidor.

Pero, lo mejor siempre es poder autoinfectarse para saber si esta todo bien.
Si no te puedes autoinfectar cuando pones el nombre de dns en tu config del servidor, entonces fijate si esa version del DUC tiene alguna opcion como para que cuando la conexion con el dns la hagas vos, que funcione como si estuvieras conectando con la ip privada. Si no encuentras eso tendras que modificar el archivo hosts que se encuentra en %windir%\System32\drivers\etc , lo abres con el block de nota y agregas una linea al final del archivo que sea:

127.0.0.1          tunombrededominio.no-ip.org

Y cierras y guardas cambios. Con eso haras que cada conexion de tu pc que se quiera conectar a tunombrededominio.no-ip.org lo haga a la ip 127.0.0.1 que seras tu mismo, por lo que podras autoinfectarte aunque uses el dns en la config del servidor.

Con eso solucionas.

De acuerdo, hago ping y me lo devuelve a mi IP externa real.
¿Como hago para configurar que los paquetes del router que me has dicho ?
Muchas gracias por tu ayuda

PD:. utilizo cable de ethernet en vez de wifi, da igual ¿verdad?

Si eso da igual :) por lo menos ya sabemos que el dominio esta funcionando y apuntando a tu router :)

Ahora depende de tu modelo de router. Normalmente suelen tener un apartado donde enrutar lo tipico de abrir puertos y tal.

Entras a tu router con 192.168.1.1 y echale un vistazo a los apartados que tienes si no busca en google como abrirlos.

Mira por ejemplo en los livebox te vas a Configuracion, Avanzado, Enrutador y te sale un boton para agregar. El protocolo tiene que ser TCP el puerto tiene que ser el que usas para el troyano i la ip tiene que ser la ip donde tienes tu el cliente tu ip local.

Ha cuando lo tengas hecho ten un poco de paciencia que los servers suelen intentar conectarse cada 5 minutos o asi, tendras que esperar que haga la peticion para renovar la ip donde apunta.

Eso ya lo he hecho, he cogido el puerto 123 de mi router y le he asignado mi IP local, tambien he abierto el puerto 123 en el firewall, y es el puerto que utilizo en el trojan, pero aun asi, no consigoo autoinfectarme poniendo mi dominio no-ip en el DNS cuando configuro el Bifrost.
Algo hay mal, pero ¿el que? :S
ya me desespero.. xD
Muchas gracias por vuestra ayuda

Has configurado tu troyano en el puerto 123 ??? Yo de ti pondria otro. Por ejemplo el 4444.

¿Donde cambio eso del MUTEX? no lo encuentro.
En cuanto a lo de abrir el bloc de notas y modificar lo de 127.0.0.1 "mi dominio..."
y ejecuto el server y me autoinfecto, ¿de que me sirve? no es lo mismo que simplemente poner en DNS 127.0.0.1 ?¿

Muchas gracias

De acuerdo, cambiare a ver, cambiare los puertos por el 4444 y los abrire tanto en el router como en el firewall.
¿Es necesario que reinicie el router para que se apliquen cambios?

Basicamente eso sirver para enganyar un poco a tu pc y hacerle creer que la ip de tu dominio es tu loopback

Estaria bien que nos pegases una screen de tu server en la pestaña donde configuras las ips así vemos si tas haciendo algo mal.

Ahora no recuerdo con bifrost pero con spy-net cuando creavas el server te salia un resumen en texto si en bifrost tambien sale podrias pegarlo.

Fijate si cada vez que reinicias el router tienes la misma ip privada, porque si ésta cambia, tendras que abrir los puertos otra vez. Para solucionar eso haces que no cambie la ip privada (local) y listo.

Lo del mutex lo decia por si ese troyano tenia eso, si no tiene no te preocupes con eso.

Lo del archivo hosts lo decia porque asi ya tu creas el servidor con la config con tu dns, para que puedan entrar pc ajenas, y tienes la posibilidad de probar exactamente lo que enviaras, porque andara en tu pc tambien.
Fijate que despues tendras que hacerlo indetectable y mas cosas y si lo haces con el mismo servidor siempre es mejor.
Con eso solucionas lo de la autoinfeccion.

Fijate que todo esto de abrir los puertos es para que conecten desde afuera, tu podras autoinfectarte aunque no abras los puertos.

Si haces todo lo que te hemos dicho lo solucionaras, si no quieres hacerlo, pues tu veras :P

El ya consiguio conectarse desde su propia red, con lo que yo entiendo que quiere probar desde fuera, si es asi si debera abrir los puertos aunque sea su propia maquina por que su maquina ara una peticion del server dns, el dns le respondera con su ip externa, con lo cual la peticion llegara a su router y su router tendra que saber a que maquina local enviar esa peticion.

A no se como tu bien dices, que configure el archivo host pa que cuando el pc haga la peticion dns la se responda a si mismo 127.0.0.1 entonces no tendria que pasar por el router :) pero no es tan divertido XD por que es como enganyarte a ti mismo.

Voy a poner los pasos que hago a ver si me salto alguno, porque no funciona...
- Abro los puertos del router y del firewall (en este caso el 4444)
- En DUC, elijo mi cuenta no-ip y la activo.
(http://subir.cc/thumbs/imagentmt.png)
- Abro el Bifrost, y en config pongo el puerto 4444
(http://subir.cc/thumbs/imagenhsh.png)
- en crear el server, pongo tambien el puerto 4444 y en DNS/IP dinamica, mi dominio no-ip en mi caso "pruebabitfrost.no-ip.org"
(http://subir.cc/thumbs/imagenprp.png)
- creo el server.
(http://subir.cc/thumbs/imagendud.png)
(http://subir.cc/thumbs/imagenwsw.png)

Por supuesto que quiero que funcione ! seguire vuestros pasos jaja

Weno no veo mu bien las fotos por que salen en pequeño pero parece que lo haces bien y que tu dominio rula.

Ahora bien el server.exe que te genera lo ejecutas en tu maquina, maquina virtual? Otra cosa tambien importante es tu router recuerda que tienes que poner la ip desde donde ejecutas el cliente el puerto 4444 y protocolo tcp.

Si lo ejecuto en mi ordenador no funciona, no hace nada, y en una maquina virtual con Xp.. en un rato te digo xD
no entiendo bien eso de que tengo que poner la ip desde donde ejecuto el cliente, el puerto y el protocolo...

(http://imageshack.us/photo/my-images/189/imagen0.png/)
(http://img443.imageshack.us/img443/9366/imagen1rs.png)
(http://img94.imageshack.us/img94/2695/imagen4xsh.png)
(http://img829.imageshack.us/img829/3122/imagen2wg.png)
(http://img89.imageshack.us/img89/2120/imagen3ia.png)

mmm Si lo ejecutas en una maquina virtual asegurate que esa maquina virtual tenga conexion a internet xD

Otra cosa tendria que ocultar un poco el nombre de tu dominio la pass del server etc... que con eso ya algien del foro o no que lea esto podria ya meterse en lo que tengas infectado.


Tienes que poner eso en tu router por que estor troyanos son de conexion inversa es decir el server se conecta al cliente entonces el server tiene que llegar hasta un maquina donde esta el cliente.

Si que tiene conexion a Internet, y nada, nisquiera me sale el mensaje que me deberia salir (ya que esta en modo visible y no cauteloso o agresivo).
No funciona en la maquina virtual...
Antes, cuando en DNS/IP dinamica puse mi server del no-ip (en ese server en vez de mi IP externa tenia la IP interna) lo ejecute en la maquina virtual y entonces si me dejo, pero ahora nada de nada... ¿Que puedoo hacer? es que por mas que pienso no encuentro el fallo...

Muchas gracias por vuestra ayuda !

PD:. ya, pero como de momento no funciona, y ademas es algo que estoy haciendo solo de pruebas no me importa, cuando funcione (si es que funciona) ya lo ocultare jajaj

Tienes los antivirus quitados o pasas el troyano por algun crypter? Ten en cuenta que aveces los crypter o modificaciones para ocultarlos joden el server.

No tengo el antivirus ni el firewall, y todavia no he utilizado ningun crypter... no se que hacer..
A lo mejor el problema es que lo estoy haciendo desde windows 7.. hay alguna manera de hacerlo desde mi maquina virtual con XP ¿?
o hay algun rat que se sepa que funciona bien en win 7¿?

Muchas gracias

Tienes una maquina virtual XP no? donde ejecutas el server, y otra maquina Win7 donde ejecutas el cliente. Correcto?

Otra cosa que software utilizas pa virtualizar ?? si es virtualbox configura el adaptador de red de tu maquina virtual como adaptador puente. Y mira las dos ips tanto cliente como server que sean del tipo 192.168.1.X

Utilizo VMware, y si, el server lo ejecuto en la maquina virtual de XP, pero lo de ejecutar el cliente ¿? no ejecuto ningun cliente creo.. ¿a que te refieres con ejecutar el cliente?
De nuevo gracias por tu ayuda

El cliente es el programa donde ves la gente infectada y esas cosas.

Podrias hacer un ipconfig de la maquina virtual i ver que ip te da?

IP = 192.168.178.128
Puerta de enlace = 192.168.178.2

Repito, si lees mis comentarios ya lo solucionas. Me dijiste que no habias visto nada de Mutex pero yo si que veo la palabra Mutex en tus imagenes. Cambia eso que tiene escrito por algo como hdbawjhdvbawgdh e intenta.

El mutex es una opcion que le pones a tu server para que no se pueda ejecutar 2 veces el mismo archivo. Por lo tanto, si en uno de tus intentos anteriores ejecutaste un server con un mutex igual al mismo de los que estas intentando ahora, entonces no se ejecutara.

Tampoco has dicho si has hecho lo que te dije del archivo hosts.

Cierto, cambiando lo del MUTEX si me sale el mensaje de que se ejecuta el server, pero sigue sin funcionar (no habia visto lo del MUTEX).
En cuanto a lo de modificar con el bloc de notas lo del host, me podrias decir la ruta entera? despues de entrar en System32/drivers, que tengo que cambiar?
Gracias por la ayuda

Eso lo tendria que modificar en tu maquina virtual el archivo se llama hosts
C:\Windows\System32\drivers\etc\hosts
Solo tienes que agregar una linea en ese fichero poniendo la ip de la maquina donde esta el cliente y al lado el nombre de tu dominio.
Por ejemplo:
192.168.1.125 nombredominio.no-ip.biz

Pero aun asi te repito es engañar al pc

Lo modifico en mi maquina virtual o en mi PC ?

En la maquina donde ejecutas el server.

Vale, ya he hecho todo lo que me dijo $EDU
- Cambie el archivo host agregando esa linea y modifique lo del MUTEX

Ahora, si que me puedo autoinfectar, funciona bien.
Significa eso que ese server.exe es el que si se ejecuta en otro PC funcionara?
porque si ese mismo server lo ejecuto en mi maquina virtual, no sucede nada, porque ahi no he cambiado lo del host en win32/system/etc...

¿que debo hacer ahora?
Muchas gracias

Si modificas eso en la maquina virtual y la infectas deberia irte :)
Pero empiezo a pensar que esa maquina virtual no esta en modo puente si no en modo local :S no se podrian ser muchas cosas.

Ahora un poco de teoria de como soluciona el nombre de dominio un pc.

El servidor pregunta a tu maquina qual es la ip de nombredetudns.no-ip.biz entonces lo primero que hace tu maquina es mirar el archivo hosts aber si consigue una ip para resolver, en caso contrario mira si hay servicios dns en red local que puedan resolverlo, si no pueden tu router ara una peticion externa intentando buscar esa ip, que al final se resolvera con tu ip externa entonces el server se conectara a esa ip exterana, que esa ip externa es el tu router.

Por eso si modificas el archivo de hosts y pones tu ip te funcionara pero es enganyarte, por que si quieres infectar algo externamente te aseguro que no cambiara su archivo de host para apuntar a tu ip y aun que lo hiciera apuntaria a tu ip externa, entonces tu router tendria que decir hum me llegan datos por el puerto 4444 :S mmm pero tengo 7 aparatos conectados a quien se lo envio ... por eso tienes que enrutar en tu router bien a la ip donde finalmente reciviras esa conexion.

Nop, aunque cambie tambien eso en la maquina virtual ahi no funciona, solo en mi PC con el win 7.

Si no creo mal, lo que ahora hace, es que cuando ejecuto el server, este me redirecciona hasta 127.0.0.1, que es mi local, pero claro, si ese server lo saco de mi ordenador y se ejecuta en otro sitio, no funcionara, ¿no?.
Como tengo que configurarlo para que funcione en otro ordenador?

Bueno, ya seguimos debatiendo mañana.. jajaja
Muchas gracias de nuevo por vuestra ayuda !

XDDD sips y eso no es divertido jajajaja weno no te estreses ya te funcionara.
Yo tengo toda la noche :)

Por cierto te recuerdo que los servicios dns guardan cache y windows tambien.

Asi que estaria bien que hicieses en el cmd un "ipconfig /flushdns" para liberar la cache de las dns

Claro, para eso no me sirve para nada jajajaj
en realidad no lo quiero para espiar ni cosas de esas, es mas rollo personal, el saber que puedo hacerlo, aunque luego no lo utilice xD

Si se os ocurre algo os lo agradeceria jaja.
Voy a dormir que llevo desde las 4 con esto y estoy muy estresado.. xD
Un saludo

Descansa tranquilo que ya saldrá XD seguro que será alguna tonteria... Me huelo que es seguro del enrutamiento o alomejor algun firewall de tu router.

Esque eso del archivo hosts es para cuando tenes problemas para autoinfectarte.
Solo para eso. Despues las otras pcs que ejecuten eso fuera de tu red no tienen que cambiar nada. Enviales el servidor que has creado, acuerdate lo del mutex por si intentaras ejecutar el server en la pc de tu amigo por decima vez xD que tal vez pasa eso, acuerdate que tiene que salir el cartelito segun tu configuracion.

Si sigue sin funcionar, es porque tal vez no has abierto bien los puertos.
Para asegurarte de eso tienes que entrar a http://www.yougetsignal.com/tools/open-ports/ y pones el puerto que usas.
Ojo, antes de todo tienes que tener tu cliente en "escucha" de ese puerto, es decir esperando conexiones, ya que esa web te dira si esta funcionando bien.

Vale, muchas gracias, una sola cosa antes de enviar el server.exe a un amigo, tengo que cambiar lo que puse en el archivo "hosts" ¿? o lo dejo como para autoinfectarme ?
Lo de que el puerto este bien abierto ya lo he comprobado, tanto en tu pagina como en una que tiene las opciones del DUC, y me pone que esta todo bien

*EDITO*
Ya he probado a enviar el server tal cual a mi maquina virtual (que se supone debe funcionar como si se lo enviara a otra persona) y si lo ejecuto en la maquina virtual no funciona, no hace nada. Pero si lo ejecuto en mi ordenador si.
¿A que se puede deber?

Dejalo si quieres para autoinfectarte cuando quieras, eso solo hara efecto en tu pc.
Es que antes existia otra version del DUC donde te dejaba poner unas opciones para los que les pasaba lo mismo que a ti, pero creo que los nuevos ya no. Por eso se me ocurrio hacer eso del archivo hosts. Yo por ejemplo no necesito hacer nada de eso, porque uso un modem, sin router.

Envialo y fijate si anda, pero dile que haras eso asi desactiva el antivirus, porque sino lo eliminara. Porque primero tienes que saber si anda bien. Una vez que sepas que esta todo bien ahi si empiezas a hacerlo indetectable y bla bla.

De acuerdo, acabo de poner arriba que lo he enviado a mi maquina virtual y no hace nada.

No tengo ni idea, pero tu intenta con otra pc fuera de tu red y fuera de una maquina virtual a ver si anda.

.- Si lo pruebo en un portatil que utiliza el internet de mi mismo router valdria ? o es necesario que sea un ordenador que no tenga nada que ver con mi router?

.- si no, si le conecto a traves del internet del movil valdria?

Un saludo

**EDITO**
Me he conectado desde el portatil de mi hermana a una red publica que cojo desde mi casa, y he ejecutado el server (lo he copiado tal cual, el que si me deja autoinfectarme) y lo he ejecutado, me salta el mensaje de que se ejecuta porque asi lo tengo configurado, pero en mi PC no lo detecta, no ocurre nada...
Pf... esto es desesperante...

Por cierto, he probado tambien con el Spy Net 2.6, y he llegado al mismo paso, solo me autoinfecto, PERO solo consigo autoinfectarme SI TENGO CAMBIADO LO DE EL ARCHIVO HOSTS, esto quiere decir, que si abro el server.exe, el no-ip me redirecciona hasta la local (127.0.0.1), pero si cambio eso en el 'hosts', quiere decir que el no-ip, rediccionara el server hasta mi ip dinamica (no hacia mi local), y si no consigo autoinfectarme sin cambiar el contenido del archivo 'hosts', quiere decir que hay algo mal en lo de no-ip, que no redirecciona bien. ¿no?
¿que puede ser?

Muchas gracias

Si modificas el archivo host le dices a tu pc que cuando busque la ip de tu dominio la sustituya por la que le pones, si le pones 127.0.0.1 como es el loopback te conectas a ti mismo.

Ayer cuando pusiste el nombre de tu no-ip, hice un ping, y bien, como dijiste tu ip, amí me realizaba correctamente ping a dicha ip, eso quiere decir que funcionaba.

Llegado a este punto pueden ser varias cosas, por ejemplo que tu cache de las dns no se limpiara correctamente y siguiera apuntando a una antigua ip, que tu router no enrute correctamente hacia la maquina donde tienes el cliente, o algun firewall de tu router o algo por el estilo.

Pf.. no idea..
Es que no se que mas mirar ya.. puertos abiertos.. sin firewall, sin antivirus...
nose nose..
a ver si se os ocurre algo

Lo del archivo hosts olvidate porque es solo para autoinfectarte en tu pc. El problema ahora es que no te conecta desde otra pc fuera de tu misma red.

Dinos la configuracion del servidor que has enviado. Ya que sabemos que se ha ejecutado correctamente pero para sacar completamente las dudas de que el problema sos vos y no el servidor.

La configuracion del server enviado es la que tienes en las imagenes que subi, yo creo q esta todo correcto..

BUEEEENO !
Ya esta todo funcionando perfectamente, gracias a xustyx por su ayuda, tambien a $Edu$.

Por fiin !

Cual era el problema?..

Pues sinceramente no lo se... abri los puertos del router, del firewall, configure el trojan.. y envie el server a una victima.
Al principio no funcionaba, pero repeti el mismo paso un par de veces y luego de repente ya funciono.
Yo creo que al estar mi maquina virtual en mi PC, su IP pertenecera a mi mismo router, por lo que si ejecuto el server no me aparece nada (puede ser alguna proteccion del propio VMware, o de mi propio router), pero si se ejecuta en otro PC con otra red wi-fi conectada, va perfectamente.

Asi que sinceramente no se cual era el problema, puede que no hubiera ninguno y simplemente no me dejara infectar la maquina virtual, pero al final, cree otro server nuevo (con las mismas caracteristicas, menos el MUTEX) y al ejecutarlo en otro PC, va perfectamente.

Asi que a cualquiera que le pase lo mismo, o algo parecido, que siga los pasos de este hilo.

Muchas gracias de nuevo !
ahora me toca cifrar para que no sea detectable, si tengo algun problema ya abrire otro nuevo post.

Un saludo

Esque seguramente tienes tu maquina virtual de modo local, por lo cual tendras que hacerle lo del archivo hosts si quieres hacer pruebas luego con tu server indetectable. Cada pc que se conecte al internet de tu router formara parte de tu red.

Ya te habiamos dado las soluciones desde el principio, tu error fue no entendernos bien, que suele suceder. Saludos!

Cuando creas el server en el Bifrost tienes que poner el nombre de tu no-ip no la ip externa... :xD :xD :xD