[OUNED] Partage de binaires

[Junky]

Bonjour,

BOn bah voila ce qui devait arriver arriva. Je viens de me faire retourner mon serveur. Je m'en suis rendu car d'un seul coup un seul j'avais des lags vraiment énorme sur la machine. En cherchant un (avec gruik) et quelques commandes plus tard, mon user guest était la faille.

C'est un user dont je me sers pour les personnes qui désirent uploader des fichiers sur mon serveur. Généralement celui-ci et up le tps de l'upload et je le désactive ensuite. La dernière fois que je m'en suis servi, c'était pour échanger un fichier avec ark. Normalement ce user a le tag suivant dans dans le /etc/passwd:

Code :

guest:*:XXXX:XXXX:,,,:/home/guest:/bin/bash

Et lorsque je désirs qu'une personne puisse s'en servir, je remplace '*' par un 'x' et fourni le passwd.

Bref une fois l'upload terminé avec ark, j'ai totalement oublié de désactiver le user. Et bien sur celui a un mot de passe du style:

Code :

azerty
password
...

Bref j'ai fais mon noob et j'en ai payé les frais. J'ai donc bloqué le pool d'ip (chinoise étonant n'est ce pas).

Malgrès tout j'ai un petit cadeau pour nos amis les reverses de fou..

En fouillant un peu mon serv, dans le /tmp voici ce que j'ai pu trouver:

Code :

junky:/tmp# ls -l
total 180
-rwxrwxrwx 1 guest guest 39405 juil.  1 04:22 ktx-arm-nodns
-rwxrwxrwx 1 guest guest 94827 juil.  1 04:23 ktx-i686-nodns
-rwxrwxrwx 1 guest guest 38503 juil.  1 04:23 ktx-x64-nodns

Donc a vos IDA, et go reverse tt le bordel les gens ...

Dispo ici

Si des gens motivés pouvait faire un topic une fois les binaires reverses, ce serait super cool.

Junky,

[ark]

Ahaha génial

Thx pour le partage mec!

En tout cas ils ont frappé vite hein, parce que c'était il y a pas si longtemps notre échange de binaire :p

[Junky]

Le premier juillet ... :/

Le jour de l'upload des files.

[notfound]

Pourquoi tu as mis un passwd weak comme ça ? Mettre un passwd strong ça revenait au même non ?

[Junky]

Non mais clairement,

Juste j'ai fais mon noob!!! Et j'ai payé....

[Yttrium]

Quelques question, tu aurais pas ces fichiers ?
"
/etc/rc.d/rc.local
/etc/rc.conf
"

et sinon apparemment, c'est du botnet gérer par irc IP : 5.175.146.168

[supersnail]

Hum vais jeter un oeil (maintenant que j'ai fini de me battre avec mon js tout moche :>).

J'essaierai ptet de pondre un rapport un peu détaillé, en tout cas ça me permettera de me remettre au sport

[ark]

et sinon apparemment, c'est du botnet gérer par irc IP : 5.175.146.168

Plus precisement, sur ce serveur on retrouve un serveur IRC, qui sert de C&C. (ports 443 et 80, probablement pour bypasse des firewalls)

Et il se connecterais sur le channel #ktx. voilou, maintenant, je vais aller reverse ce truc de maniere plus pousse =)

[supersnail]

Bon au final, le malware sert juste à lancer des attaques de DDoS et download des fichiers depuis le web, le tout depuis un chan IRC ( #ktx ) sur le serveur mentionné par Yttrium, donc pas grand-chose d'intéressant techniquement à part des routines de parsing de commandes IRC de 3km de long en C et du garbage généré par cygwin (oui le truc a été compilé avec cygwin et c'est donc un PE qui a été balancé sur la bécane, ça montre bien le lvl des skids).

Après j'ai pas bien regardé mais il semblerait que y'ait pas d'authentification à part pour kill les bots donc si vous voulez f**tre le bins, let's go :>

Bref y'a pas assez de stuff pour faire un topic là-dessus imo.

Edit: c'est juste la version x86 qu'est du PE (suite à une rectification sur IRC)

[thxer]

Excellent les gars, pas le temps de participer mais funky à lire

[notfound]

Bouarf, en faisant un strings, t'arriveras à la même conclusion. Rien de bien fou