Уводим шеллы через SHWARK

Сегодня расскажу вам увлекательную историю давно минувших дней, про менеджер шеллов - SHWARK.

Вы наверняка видели этот софт (shwrk.ru):

Это скриншот одной из самых ранних версий. Потом функционал наполнился еще кучей самых разных свистелок, перделок и свистоперделок.

Что мне действительно нравилось - это поиск дополнительных доменов. Польстило, что обфускация делалась на основе моего кода.

Я некоторое время поизучал софт со сниффером, а потом забросил. Какие-то моменты в работе софта смутили меня своей нелогичностью (сейчас это уже неважно).

А потом появилась функция проверки mail() на шелле.

Меня удивило, что шеллы чекались на то, отправляется мыло или нет, однако нельзя было задать где-либо в настройках, на какое мыло слать тестовое письмо.

Как-то странно, не находите?

Я вновь достал сниффер и увидел, что есть pop3s трафик. Это тебе не ебучий http, просто так не поснифаешь. Выбрал не самый лучший, но всё же рабочий метод, для того, чтобы отснифать пасс:

Захожу на мыло, и вижу просто неимоверную кучу писем. Как во входящих, так и в спаме. Содержимое каждого письма - адрес шелла. Ну просто клондайк какой-то.

В какой-то момент на mail.ru ящик заблокировали и авторы перенесли его уже на rambler, а письма после проверки отправки мыла удалялись. Пароль остался тот же. Я настроил почтовый клиент, что позволяло успевать сохранять мыльники до того, как они будут удалены.

Продлилось это всё больше полугода.
Мыльники крутятся, шеллы мутятся:

Очевидно, что адреса шелла недостаточно, нужен еще и пароль. Тут помогла тулза для чека шеллов. Небольшая доработка (4 дня ебли с потоками, в потоке пота и собственной крови) и чекер стал брутфорсером. 2/3 шеллов успешно ломались атакой по небольшому словарю (root, toor, pidor, jopa...).

Где пасс не подходил, можно было попробовать найти один из возможных бекдоров на том же сайте.

Бекдор 1:

Бекдор 2:

В принципе можно было чекать на эти два бекдора вообще любые домены. Пробовал и выхлоп был, но это занимало слишком много времени (а спайсовая ломка не позволяла долго ждать).

Как итог - примерно 15к шеллов, за вычетом дублей, повторов и т.д.

Уверен, что до этой темы допер не только я, так как доступы быстро дохли, а на тех что оставались живыми, появлялось огромное количество стороннего говна.

В те стародавние времена, когда происходили сии эпические события, я пытался связаться с автором софта, но чот не вышло. А потом уже было лень, да и проблема в новых релизах была решена.

P.S. Помимо мыльников с адресами шеллов бывали и такие послания (читать с подобающей интонацией):