El mejor Upload / Backdoor para ocultar en servidores.

Pues, ¿te a pasado que quieres un upload.php pero que no sea visible para todos?

Pues he programado una pequeña puerta trasera del tipo (upload.php) que no es rastreable por anti-virus etc etc etc ….

Básicamente lo que quise fue crear un archivo .php que al acceder se pareciera a una pagina de error de apache. (error 404). De esta forma cualquiera podría confundirse con el error original de (no hay ningún archivo aquí).

Incluso lo hice tan real, que si notas la imagen con cuidado aparece el nombre del archivo que se esta tratando de buscar. (para que se vea lo mas real posible al error original 404 de apache.

Ahora bien, ¿donde esta el upload?, facil, lo he ocultado mediante a una variable _GET llamada up.

Diciendole al .php (si se encuentra la variable GET > up, entonces muestrame el upload.

Ejemplo:

De esta forma se vera el contenido real del archivo.

Ademas agregue un input para enviar comandos Linux con la funcion shell_exec de PHP. También lo puedes usar con cualquier nombre que tu quieras,

ejemplo:

Ttrata de usar nombres no descriptivos para el nombre del archivo, esto es para que no te lo borren o ubiquen tan fácil.

Tiene un par de variables cifradas en eval-base64 para que no sea detectado por anti-virus en el servidor donde se encuentre.

Espero que te guste mi pequeño script. El mejor upload.php / backdoor.php para ocultar en tus servidores hackeados.

Para DESCARGAR AQUI

Desinfectando, Borrando o Limpiando Archivos de AdWare!

Pues, uno de mis clientes le hackearon su sitio web, de hecho no solo el sitio web, si no TODOS los sitios que tenia alojados en el servidor 🙁

El script que colocaron, fue un AdWare, el cracker usaba su sitio web para realizar infinitas redirecciones hacia otros sitios mostrando publicidad de terceros. de esta manera el cracker estaba ganando una millonada con el servidor de mi cliente.

¿cual fue mi trabajo?, obviamente salvarlo de una catástrofe, tanto el servidor como las bases de datos, ya que el cracker también incluyo un código maligno dentro de las bases de datos, algo como lo siguiente.

y

Voy hacer honesto con esto, aunque es normal ver este tipo de script en sitios que son infectados, mi primera impresión fue: “que criminal código”.

El código esta en CharCode. El cual puedes decifrar (decodear o decodificar) si usas un servicio viejo como: http://jdstiles.com/java/cct.html, Es un tipo de cifrado eval javascript por así decirlo.

En el caso de las bases de datos, para quitar el código lo único que se hace es descargar la base de datos, o tabla que este infectada con el código y editar con un software de edición de texto, (recomiendo notepad++), Luego le dan a Buscar al código maligno y luego reemplazan todo el resultado por un “espacio” en blanco por ejemplo, y listo, guardan y subes nuevamente la base de datos.

Para el caso de los archivos infectados, he allí el problema. Ya que para lograr esto lo debes hacer vía SSH, y si tienes una cuenta de cpanel o de revendedor, es probable que esto no sea para ti, en este caso te recomiendo solicitar soporte de segundo o tercer nivel a tu Centro de Datos o proveedor de Hosting.

Ahora vamos al código maligno en los archivos, para esto he encontrado que todos los archivos estaban infectados con este código:

Esto se ejecutaba el sitio via http, esto lo encontre dentro de los “javascript” (*.js) del sitio.

Asi que lo primero es Buscar con el comando, grep, 

Mi primera consulta fue algo como:

Para explicar el codigo, el comando, Al indicar -ri donde con el argumento “r” conseguimos que la búsqueda se realice dentro de todos los ficheros existentes en el propio directorio y en todos los subdirectorios internos, y el argumento “i” ignora todas las mayusculas/minúsculas.

Obvio que obtuve un montón de resultados.. Pero un servidor infectado completamente es un poco tedioso de limpiar, sobretodo cuando todos los archivos están infectados, (OJO, antes todo el proceso de limpieza ya había securizado el servidor, osea borrado los accesos por donde el cracker accedió).

Mi pregunta era ¿de que forma iba a solucionar limpiar todos estos archivos? No iba a pasar mi vida limpiando archivo por archivo, para esto he conseguido formular mi propio script con el comando .find y sed quieres me hicieron la vida facil.

Mi pequeño script fue el siguiente.

Para explicar esto, Cambiamos el texto AdWare por un espacio, en todos los ficheros *.js (solo javascript pero puedes colocar solo “*”) a partir de la ruta ./ (root) de forma recursiva.

Puedes simplificar esto solo a que se busque el código maligno en tu carpeta www, html o vhosts también cambiando el / por * posicionado en la carpeta que va a buscar el código.

En mi caso quedo de esta forma:

De esta forma, eliminaras el código maligno de todos tus archivos.

Esta es la forma mas fácil y sencilla para lograr limpiar tus archivos de algún código malicioso que haya afectado tu servidor / sitio web.

 

Espero que te haya gustado,

Feliz día para limpiar tu servidor 🙂

Modulo Licensing Manager de WHMCS decodificado y sin licencia!

Pues una de mis capacidades con ingeniería inversa es lograr decodificar archivos pero ademas lograr hacer que el código funcione también.

en esta ocasión he logrado decodificar (decoded) un grandioso modulo que para el que lo conozca le podría sacar muchisimo provecho. Hablamos de nada mas y nada menos que de “Licensing Manager” o “Software Licensing” o también en español “Manajador de Licencias” de WHMCS.

Que para quien lo conozca es un software de pago de WHMCS. El mismo tiene un costo en su pagina web de nada mas y nada menos que: $99.95.

Demasiado caro para mi gusto, un software que probablemente puedo programar con los ojos cerrados después de entenderlo. Pero que solo por hacerme el mas inteligente que la gente de WHMCS he decido en otras palabras “crackear, nullear o piratear el código” simplemente para demostrar de que mis habilidades son mucho mejores que la de ellos. (ojo, soy  hacker informático, no cracker, aunque tengo habilidades de cracking también que obtuve con pasar de los años).

Para los que no lo conozcan con este software, (manajador de licencias) podrias crear un plugin, modulo, hook, script, incluso una plantilla (theme), y agregarle una licencia y venderla en tu sitio web whmcs, de esta manera el software podria manejar los periodos de vencimiento de la licencia del software que vendiste, como actualizaciones del modulo entre otras funciones que podrías aprovechar.

Hablemos ahora del software, el software es la ultima version hasta hoy publicada de WHMCS. Siendo esta la versión 3.1 del software.

El código esta comentado en varias secciones para que pueda funcionar correctamente en WHMCS. (ya que de otro modo solicitaría licencia para su uso).

Dejo captura del software funcionando en mi Hosting.

Y asi mas o menos se vería el Modulo funcionando, y Aquí otra captura de parte del código ya crackeado (comentado).

Para Descargar el modulo, por favor haz clic aquí: Download Licensing Manager 3.1 Decoded and Nulled WHMCS

Script SHELL para generar respaldos de archivos y bases de datos via SSH

Bueno, para comenzar a dar un poco de historia al blog, me toco un cliente que me solicito, cambiar su Panel de Control Plesk, por Webmin, luego de hacer esto me pidió configurar los backups (respaldos de bases de datos y archivos de los sitios web), he allí donde encontré el problema, webmin por alguna razón tenia algún problema al generar backups. (asumo que son problemas de permisos locales) ya que por SSH y FTP si me dejaba crear el backup. Aunque era un backup en formato que desconozco. (es un backup propio que genera webmin con sus configuraciones. Por cuestiones de tiempo no me puse a leer la documentación para entender como desglosar el backup y sacar por un lado los archivos y por otro lado las bases de datos, asi que me puse manos a la obra y genere un pequeño script en shell bash para generar los backups.

Entonces para seguir con el tema, Mi pequeño script hace lo siguiente:

  • Obtiene la fecha actual para luego agregarla en el nombre de los backups quedando de esta manera: * all_databases_2018-09-17.sql | files_2018-09-17.tar.gz
  •  Crea una carpeta en el directorio /root del servidor llamada backups y da permisos 777
  • Comprime el directorio completo /var/www (con todos los sitios web que esten dentro)
  • Crea una copia de TODAS LAS BASES DE DATOS CREADAS EN EL SERVIDOR hasta ese dia (dia que se ejecuta el script)
  • Busca archivos viejos en solo esa carpeta (o backups viejos despues de 7 dias y los borra para no consumir mucho en el servidor)

Por supuesto, que esto no es mas que un script en shell, que debes copiar y guardar como backups.sh, luego proporcionar permisos al archivo con:

Ademas recuerda agregar esto como una tarea “cron job” en tu servidor para que se ejecute a diario.

Espero que les sirva. 🙂 Salu2..

 

¡Hola mundo! – Ohh shit!!

Después de años de desperdiciar el tiempo,  hacer mil proyecto, trabajar con mil personas de todo tipo, he decidido que es hora de re-abrir mi Blog.

En el cual estaré publicando temas relacionados a desarrollo web, programación, técnicas hacking (que me encantan mucho), algunas cosas sobre los proyectos que voy haciendo, hosting, configuración de servidores dedicados entre otras cosas que se hacer.

La idea de mi blog es ir guardando una copia sobre mis conocimientos, pero que ademas también le sirva a alguien mas para resolver algunos de los problemas que me voy encontrando por el camino, que a medida que voy resolviendo los voy publicando, problemas que se encontraran de seguro en el mundo del desarrollo y la configuración de hosting. Pero que ademas, iré publicando algunas de mis técnicas sobre hacking, las cuales me encanta explicar.

Ojo, que no me apuro, tengo años que no publico absolutamente nada, así que tenedme paciencia para los post.

Si realmente quieres saber mas sobre mi, te invito a ingresar en mi perfil de freelancer, el cual dejo aqui.

De igual forma a medida que pueda iré dándole mayor forma al blog, para ir subiendo mas informaron sobre mi y mis medios de contacto.

(este blog lo cree en 10 minutos, a las 3:00 AM del dia 09/09/2018 luego de terminar una larga jornada de trabajo ayudando a un cliente. me estaba quedando dormido.) mas tiempo me tomo en escribir este texto.