Blog de Omar. Como lo prometido es deuda, estoy tratando de escribir ms seguido en el blog. Dejando de lado el tedioso proceso de documentacin de los proyectos que estoy realizando, dejando de lado el calor infernal que nos asfixia en Lima durante este verano y dejando de lado la pereza dominical que me invade cada fin de semana que me estoy atreviendo a escribir un nuevo post en el blog. Patch For Fifa 07 With Transfers. Antes de comenzar, es casi un requisito leer el post anterior donde habamos revisado algunas tcnicas backdoors que ahora vamos a utilizar Backdoors en Linux Parte 0. Google Hacking y backdoors. Hay algunos backdoors que son fcilmente de ubicar a travs de algunas tcnicas de Google Hacking, por lo general estos archivos son utilizados porque son empaquetados y estn listos para ser utilizados. Los ms comunes son los famosos C9. PHP, C1. 00. PHP, R5. PHP y todas sus variantes. De hecho es muy fcil encontrar servidores que han sido vulnerados y cuyos sysadmins aun no han advertido del hacking ocurrido sobre sus servidores. Ok y si son tan buenos backdoors que todos utilizan, cul es el problema GET y son muy evidentes cuando se revisan los logs, es decir, un administrador de sistemas puede notar algn movimiento extrao al llamar a un archivo que normalmente no forma parte de la aplicacin. De hecho hay dos 0. El conde de Aranda pas a ocupar la presidencia del Consejo de Castilla a raz del motn de Esquilache. El motn haba finalizado gracias a las concesiones. Prlogo Sea Newton Para Henry, que prolong varios aos la redaccin del libro, llenndolos de alegra como tu abuelo escribi una vez, en. A travs de la evaluacin de los logs del servidor Esto se podra hacer manualmente, es decir buscar archivos clsicos utilizados como backdoors, AQU una lista de los ms utilizados. Existen herramientas que automatizan la revisin de los archivos de eventos en busca de palabras tpicas de un evento de hacking. Una herramienta muy interesante para analizar logs de un servidor APACHE se llama LORG y encuentra todo tipo de ataques realizados al servidor. Pueden encontrar mayor informacin del proyecto LORG en el siguiente enlace AQU. Yo lo instal para probarlo y ver si detectaba un backdoor muy conocido como el C9. PHP y no lo identific, realic algunos ataques manuales de Inyeccin de Cdigo SQL y funcion muy bien, aqu si detecto el ataque, les dejo algunas grficas para que vean como funciona. A travs de scripts que revisan los archivos tipo PHP en busca de funciones maliciosas en el servidor, es decir, funciones que no deberan ser utilizadas normalmente, por ejemplo, funciones EVAL, SYSTEM, EXEC, etc etc. Al final lo que hace este script es buscar funciones dentro de los archivos y nos muestra un resumen de los archivos que ha encontrado con informacin de posibles puertas traseras. Existen varias herramientas que hacen esta revisin Neopi Enlace AQU De manera personal debo decir que este script realizado en Python no me gusto mucho, me mostraba muchos falsos positivos a pesar de que utilic los diferentes mecanismos de deteccin, a pesar de eso pueden probarlo y sacar sus propias conclusiones. PHP SHELL Detector Enlace AQU Este es mucho ms simple de utilizar, basta copiar los archivos en el directorio raiz de nuestro apache y ejecutarlo desde el browser. Me gust porque detect los backdoors que haba colocado en mi servidor de prueba. Serena Marco Loving Touch. Lo recomiendo totalmente, aqu les dejo unos printscreen de los resultados obtenidos, en la imagen se puede observar como detect un archivo PHP ofuscado y el clsico C9. PHP. Otro mecanismo para detectar los backdoors es buscar de manera manual funciones maliciosas. De manera manual Pues, es como si tuviramos que buscar un string en unos archivos que estn en determinada carpeta. Hookworm Un backdoor muy silencioso. Todas las tcnicas arriba mostradas para detectar puertas traseras son las ms bsicas y seguro funcionan muy bien pero si queremos esconder algn backdoor hay muchas formas interesantes de poder hacerlo y obviamente sin que alguien pueda advertir de su presencia. Voy a detallar los pasos para tener un backdoor en el servidor, aunque primero voy a detallar un escenario para que se comprenda mejor Escenario Un atacante tiene acceso a travs de SSH a un servidor Linux ya que obtuvo la contrasea, un patrn de contrasea utilizado por el administrador de servidores para todos los servidores de la organizacin. El atacante sabe que el acceso a travs de SSH solo es posible desde la red LAN de la empresa y que slo el puerto TCP8. Apache se encuentra expuesto a Internet. Adems, cabe la posibilidad que el administrador de servidores restrinja el acceso al puerto SSH a ciertas direcciones IP por lo que es imperativo dejar un backdoor que cumpla con tres 0. ROOT,  sea accedido desde Internet y que adems sea lo mas sigiloso posible para pasar desapercibido. Pasos a realizar 1. Crear y compilar un archivo escrito en C para obtener un ejecutable. Configurar el SETUID para que se pueda ejecutar con permisos de ROOT. Modificar un archivo el servidor web, de preferencia un archivo PHP que ya existe y aadir la siguiente lnea 3. Si reparan en el archivo PHP creado en el paso 0. HTTP, en este caso las cookies. Estas cookies recibidas son ejecutadas en el sistema operativo para acceder a cierta informacin. Lo nico que nos falta es poder ejecutar comandos con privilegios de ROOT. Es aqu donde entra el paso 0. C y configurado el SETUID podemos obtener estos permisos. Nada complicado por si lo notan, slo que sigiloso ya que no son enviadas a travs de GET o POST. A. Entonces creamos el archivo en C y lo compilamos para tener un ejecutable. Esto ya lo hicimos en un anterior POST donde est mejor explicado, puedes leer el detalle AQUB. Desde un navegador web en donde podamos modificar las cabeceras HTTP y colocar un valor en el cookie. Podramos haber utilizado BURP SUITE o el TAMPER. Yo he utilizado el Burp Suite que se me hace ms fcil de utilizar. C. Ahora si ejecutamos comandos de manera conjunta con el backdoor que hemos dejado podemos pasar a convertirnos en ROOT y ser felices tan slo una vez mas. Finalmente, podramos reemplazar la funcin SHELLEXEC   con la funcin EVAL  de PHP para que pueda pasar ms desapercibido todava. Esto lo haremos en el video para no alargar mas el POST. Hasta pronto. Pd Este POST comenz a escribirse el domingo 2. Febrero de 2. 01. Marzo, me estoy haciendo viejo para escribir en el blog. Saludos. Popularity 7 Post Relacionados.