##################################################################################
##################################################################################
Si la anterior entrada no sabía como empezarla, era porque estaba dándole vueltas en como culminar la siguiente. El novato, nos dio un respiro al publicar una pista “el código fuente de los estilos”, que encontramos en los logs capturados por Ardamax. Ahora solo nos quedaba encontrar al “hackabrón” que hizo públicos sin saberlos, todos esos archivos robados del servidor.
Se me ocurrió una estúpida idea de las mías... bajarme TODA la página web, a uno de mis discos duros ¡Claro! ¡No tengo permiso para entrar a ningún sitio privado! ¿Pero y si todos los datos importantes son públicos?
El principal problema, es que el hostin baneó mi IP. Supongo que no les haría tanta gracia como a mí, que un desconocido cree tantas conexiones a su servidor, pero no le dan tanta importancia a lo que otros albergan en él.
No tuve que moverme demasiado, para dar con algo que llamó mi atención.
(Recorté las fotografías... a ellas le gustan grandes pero a nosotros no)
Es irónico encontrarse a una de las personas infectadas por el keylogger, con una sesión de FTP abierta en el servidor donde se alojan los archivos robados y en otra ventana el hostin. Pero sin duda lo más gracioso, es encontrarse el servidor donde estaba colgado el ejecutable con extensión COM y la dirección de dicha persona enviándose el correo así mismo.
Bueno, supongo que son cosas que pasan, uno juega con fuego, hasta que se infecta de su propio troyano y se termina robando a uno mismo ¡miren el lado bueno! ¡la ley no castiga los auto-robos!
El tema es que dando vueltas por las imágenes, vi que era un tipo que más o menos sabía lo que se hacía, pues para no dejar rastros en muchos de sus movimientos, se le ocurrió una idea más fantástica aun que la mía, instalar Deep Freeze, pues esperemos que congelase el estado del sistema antes de instalar el sever del Keylogger, sino estamos apañados.
Hablo asegurando que esta siguiente fotografía, aun ser de un sitema diferente, era consciente del servidor robado, pues también existe una imagen, donde se visita dicho dominio desde este.
Casi asusta, pero cada uno es libre de dedicarse a lo que quiera, unos venden Ford Scorts otros mujeres Escorts...
Decidí pasar de las fotos obscenas, a los ficheros HTML en busca de más porno, aunque para suerte de esta entrada, también encontré su propia contraseña de Hotmail, donde el presunto “hackabrón” se reenvió el ejecutable infectado “hackeandose” de nuevo.
El decimal 64 en Assci, pasó hace mucho tiempo a ser la @, aunque el 6464, puede ser debido al parkison informático.
Si seguimos jugando, seguro encontraremos más cosas divertidas...
Pero seguro que nada importante ya ven.
PD: ¡No quiero que ahora se pongan todos como locos a borrar los ficheros de sus Ardamax! ¡No sin antes pasarme las capturas de pantalla!
Saludos 4n4les! ;)
Man Es Genial Lo que haces ! Saludos !
ResponderEliminarGracias dy juan! =)
ResponderEliminarTe llevo leyendo un tiempo y alucino contigo cada vez más. Menudo crack estás echo. De los mejores blogs que he visto tratando este tema...
ResponderEliminarSigue así!!! Saludos!!!
Buenas byhanzo! me alegro que te guste el blog! cada vez que leo vuestros comentarios, me dais más ganas de seguir publicando las pocas ideas que se me cruzan de vez en cuando, sin los lectores este blog no sería nada :)
ResponderEliminarSaludos!
me encanta este blog podrias hacer algo de cumloder ya que he visto que no tiene el apache actualizado pero soy bastante newbie y no se explotar la vulnerabilidad
ResponderEliminarpodraiz incluir una sección para principiantes, yo conozco los keylog como el ardamax y otros escan de vulnerabilidades como set, pero a veces haciendo pruebas nos marcan distintos errores que no sabemos como continuar. saludos
ResponderEliminarCreo que en ese aspecto hay mucha información en la red... sobretodo foros como el de indetectables o hackxcrack te pueden echar una mano en esos temas.
Eliminar