Sebuah file paket debian di infeksi backdoor ? - Printable Version +- Indonesian Back|Track Team (https://www.indonesianbacktrack.or.id/forum) +-- Forum: Attacker Zone (https://www.indonesianbacktrack.or.id/forum/forum-169.html) +--- Forum: Malware - Malicious Software (https://www.indonesianbacktrack.or.id/forum/forum-151.html) +--- Thread: Sebuah file paket debian di infeksi backdoor ? (/thread-3536.html) |
Sebuah file paket debian di infeksi backdoor ? - zee eichel - 08-20-2012 Kemungkinan adanya penyusupan backdoor dengan berbagai metode ternyata memungkinkan untuk file debian. Perlu hati-hati karena penyusupan dengan backdoor yang memiliki berbagai tipe bahkan membuka remote shell aktif linux pada linux server dengan kompetibel terbaru sekalipun... Ane jalan-jalan ke google ketemu script sh ( bash ) sederhana yang mampu membuat backdoor sekaligus mengeskusi listener multi handler dari metasploit. Jika kita melihat POC : 1. Jalankan script dalam bentuk sh ( chmod +x atau chmod 777 ) 2. Isikan opsi2nya sangat mudah bro :d [attachment=30] 3. Proses backdoor akan terbentuk dengan sendirinya ... [attachment=31] 4. Meterpreter akan terbuka dengan sendirinya ketika si korban melakukan penginstallan paket debian = [ dpkg -i ] Ane ujicoba dengan 2 server ( ip publik ) - jenis operating system linux ubuntu server x32 12.04 [attachment=32] Analisa script : Unpack proses ... dpkg -x [ nama file ] [output] ini digunakan agar backdoor dapat di masukan tanpa terlihat file control di copy untuk membuat paket baru. Code: dpkg -x $tmpdir/$package* $workdir Pembuatan backdoor dengan MSPAYLOAD .. hmmm payload,ip(LHOST) dan port(LPORT) .. kyknya ini pembuatan standart backdoor Code: if [ "$choice" -eq 1 ]; then Post-install (postints) script di bangun dari sini Code: echo "#!/bin/sh" > $workdir/DEBIAN/postinst Untuk itu ane lampirkan codingan dan ini sumber asli ... tested sih work 100% .. mungkin nnti kita update untuk cara menjaga atau mengecek debian file maintainer Kesimpulan : 1. Jangan pernah mengambil paket file dari suatu repo yang tidak di percaya dan tidak jelas 2. Periksalah terlebih dahulu kemana dia menginstall paket debian tersebut ( dpkg -x ) 3. Pasang antivirus dan berbagai software malware analisys lainnya. Contoh debian paket yang di pakai pada percobaan kli ini saya tambahkan sebagai attachment .. mari kita posting hasil malware analisanya disini original post & code / author http://pastebin.com/f769fc3de (08-24-2012, 05:04 AM)iKONspirasi Wrote: btw untuk yang masih mengalami error dalam menjalankan skrip ini coba dilihat dulu di source filenya ada folder: Original post : http://zico-ekel.com/sebuah-file-paket-debian-di-infeksi-backdoor/ RE: Sebuah file paket debian di infeksi backdoor ? - permana - 08-20-2012 Keren om dari hasilnya bisa langsung full access gitu , alias dapat room yang keren nya lagi , di forum langsung bisa upload file skarang , hehehe RE: Sebuah file paket debian di infeksi backdoor ? - betefive - 08-20-2012 ini berfungsi di kernel tertentu ya om? RE: Sebuah file paket debian di infeksi backdoor ? - renzrawk - 08-20-2012 waduh gmn dong om ? ada cara antisipasi nya gk yah om ? RE: Sebuah file paket debian di infeksi backdoor ? - zee eichel - 08-20-2012 (08-20-2012, 11:10 PM)permana Wrote: Keren om kebetulan eskutornya root om , jadi keinget ama rulles 1 secure software di linux " do not running this with UID=0 user (08-20-2012, 11:20 PM)betefive Wrote: ini berfungsi di kernel tertentu ya om? seluruh jenis kernel menurut ane om .. ane tes di kernel 3 (08-20-2012, 11:21 PM)renzrawk Wrote: waduh gmn dong om ? ada cara antisipasi nya gk yah om ? nah itu ada artifaknya (attachment .zip ) .. coba kita bahas bareng2 RE: Sebuah file paket debian di infeksi backdoor ? - betefive - 08-20-2012 wah seram ini bash, hahaha ane coba dlu om, agak menyimpang dkit, mw nanya, kernel yg jarang tembus exploitasi kernel brapa y om? RE: Sebuah file paket debian di infeksi backdoor ? - Junior Riau - 08-20-2012 bingung om,,ane masih cetek di linux X_X RE: Sebuah file paket debian di infeksi backdoor ? - zee eichel - 08-20-2012 (08-20-2012, 11:38 PM)betefive Wrote: wah seram ini bash, hahaha sebenarnya esploitasi2 langsung sudah gak mempan di kernel2 terbaru .. tapi kernel2 dengan exploitasi backdoor by user trigerring masih vulrn baik di kernel terbaru RE: Sebuah file paket debian di infeksi backdoor ? - mrs.geena - 08-20-2012 Quote:1. Jangan pernah mengambil paket file dari suatu repo yang tidak di percaya dan tidak jelas Om gimana caranya mendefenisikan sebuah repo yang tidak dipercaya dan tidak jelas? apakah sebuah repository harus ada standarisasi juga yg harus dipenuhi sehingga nantinya bisa dikatakan dipercaya dan jelas om? RE: Sebuah file paket debian di infeksi backdoor ? - renzrawk - 08-20-2012 kalo pake antivir ngaruh gak yah om ? kaya avast linux gitu om ? |