SSH2 Brute Force 2012

[nym3ny]

EDIT: PENTRU SCANERUL DE BRUTE FORCE NUMAI MA CONTACTATI PE MESSENGER CA NU O SA VA MAI DAU ACCEPT, AM VANDUT SURSA. PENTRU A LUA LEGATURA CU CEL CARE SE OCUPA ACUM DE PROIECT DATI ADD PE MESS LA ID: ihackyourmindandsoul, SAU E-MAIL: ihackyourmindandsoul@yahoo.com .

tar zxvf s2.tgz

cd s2

screen

./scan_mic x.x

sau

./mass x

ctrl + a +d (pentru a iesi din screen )

screen -r ( pentru a reveni in screen )

in vuln.txt vin login in nobash.txt nologins.

Informatii utile:

./ssh2 ip port user pass , pentru a testa functia de checker de la bruter.

Daca ai un server cu mai multe ip-uri creezi in folderul cu scanerul : "interface.txt" si in el pe cate un rand adaugi ip-urile, si scanerul va lua de acolo circular ip-urile astfel sistemele de protectie anti brute force nu vor mai putea bana serverul din care folositi arhiva.

Optimizare de thread-uri ( fork-uri ) daca ai luat o clasa cu prea putine ip-uri si ai setat un nr prea mare de thread-uri acest numar va fi automat redus astfel incat sa nu floodezi acele ip-uri.

La logine iti salveaza pe serverul tau si /etc/passwd in fisierul cu scannerul "etc-passwd.txt", astfel vei putea sa iti maresti passfile-ul.

De asemenea nu prinde acele ip la care merge orice combinatie de user si pass sau care te lasa sa bagi user si orice pass.

Edit: In urma mesajelor de pe privat am marit timeout la 5 secunde arhiva este la acelasi link.

Edited April 23, 2012 by nym3ny

[Zaoane]

Fisierele vuln.txt si nobash.txt se creeaza automat dupa terminarea scanarii?

In scan.log am aparut cateva ip-uri, dar mai departe scanerul nu mai misca si l-am lasat cateva minute bune. E ceva in neregula?

Edited April 9, 2012 by Zaoane

[nym3ny]

Nu e nimic in neregula, in vuln.txt si nobash.txt se strang pe masura ce le prinzi, si iti apar si pe consola.

Ca sa vezi daca e cu adevarat mort, iesi din screen si dai: ps x, si vezi daca nu iti ruleaza multe procese sshd atunci e o problema la el, desi daca ai ip-uri in scan.log nu ar trebui sa fie nici o problema.

Te rog revin-o cu reply si spune daca ai reusit sau nu.

Edited April 9, 2012 by nym3ny

[nym3ny]

New Update

Daca scanul este intrerupt din motive diverse ( a luat kill , a fost serverul restartat ... ) nu se pierde nimic, intri in directorul cu scanu dai decat ./ssh2 250 si incepe de unde a ramas. Astfel nu va mai incerca iar combinatiile de dinaintea opririi.

Am adaugat optiunea de a scana si pe alt port decat 22, ./ssh2 <max fork> <port>. Se poate edita "mass", "scan" si "scan_mic" inlocuind "22" cu alt port, si adaugarea la linia: ./ssh2 250 cu: ./ssh2 250 port.

Aceste modificari au fost facute in urma mesajelor primite in privat.

[p3rversul]

danke !

[88fingers]

Ne poti spune si noua la ce foloseste linia asta?

www.t0ma.ro ssh2_log/verify.php OK This product has expire.

Mersi

[Caracal]

Ti-am dat un mesaj privat in legatura cu portul la care nu mi-ai raspuns. Inteleg ca nu poti sa faci public codul sursa?

[nym3ny]

@88fingers are un sistem de update ca in momentul cand scot alta versiune sa anunte. E vreo problema?

[Zaoane]

Ieri o functionat bine, in 10 min am gasit si cateva nologine.

Azi am mutat scaneru pe un virtualbox si primesc urmatoarea eroare:

root@bt:~/s2# sudo bash ./scan_mic 72.5

scanner

- by nym3ny

./scan_mic: line 18: ././pscan2: Permission denied

[+] Done.

./scan_mic: line 20: ./ssh2: Permission denied

scan_mic: no process found

root@bt:~/s2# whoami

root

[gogusan]

chmod +x coisan

[Zaoane]

Fenc iu gogusan, am pornit uzina

[nym3ny]

@Zaoane am uitat sa dau chmod +x * inainte sa o arhivez.

[Caracal]

# ./ssh2 74.54.XXX.XXX XXXX abc abc
nobash -> abc abc 74.54.XXX.XXX
#

# ./ssh2 216.139.XXX.XXX XXXX XXXX XXXXX
#

Am testat functia de checker cu 2 ip-uri pe care le stiu ca unul este nologin (primul) si ca unul merge (al doilea).

La cel care merge nu arata nimic, nu creaza nici un fisier in plus. La nologin imi arata nobash -> si creaza fisierul nobash.txt unde il si trece. Asa trebuie?

[nym3ny]

nu, nu asa trebuie, si la al 2lea trebuie sa iti arate -> ip... , probabil nu merge bine netul pe serverul pe care incerci, timeout-ul este setat 3.

[Caracal]

Ai dreptate. Am luat arhiva pe alt server si imi arata cum spui tu, dar:

1918846 Apr 10 06:29 ssh2

1923370 Apr 10 19:19 ssh2

Difera dimensiunile...

L.E.: Cred ca ai dreptate. Am luat arhiva iar pe serverul "problema" si acelasi lucru se intampla.

Ma gandesc ca daca gaseste ceva bun, face aceeasi faza, nu-mi arata.

Edited April 10, 2012 by Caracal

[nym3ny]

da, am scris pe site ca am adaugat niste chestii noi la ea cum ar fi treaba cu portul pt brute nu doar pt checker

[nym3ny]

e clar de la server, numai scana din serverul ala, sau cel putin nu pe clasa pe care e acel ip

L.E.: Cred ca ai dreptate. Am luat arhiva iar pe serverul "problema" si acelasi lucru se intampla.

Ma gandesc ca daca gaseste ceva bun, face aceeasi faza, nu-mi arata.

[colindek]

danke

[Caracal]

E foarte interesant bruterul, cu multe optiuni fata de ce circula acum ceva ani pe mIRC, dar cred ca trebuie marit timeout-ul....

[nym3ny]

astept mai multe pareri, credeti ca e nevoie sa ridic timeout-ul la 5 sec?

[nym3ny]

In urma mesajelor de pe privat am marit timeout la 5 secunde arhiva este la acelasi link.

[88fingers]

@88fingers are un sistem de update ca in momentul cand scot alta versiune sa anunte. E vreo problema?

De ce nu functioneaza daca am adaugat:

[root@fed64 s2]# cat /etc/hosts

127.0.0.1 localhost localhost.localdomain localhost4 localhost4.localdomain4

::1 localhost localhost.localdomain localhost6 localhost6.localdomain6

127.0.0.1 www.t0ma.ro

127.0.0.1 t0ma.ro

[root@fed64 s2]# ./ssh2 100 22

Sa inteleg ca fara a verifica "update-ul" asta programul nu functioneaza? Mie mi se pare suspecta toata tarasenia, mai mult am vazut ca ai ascuns acuma linukul ala in sursa. Eu am impresia ca acolo primesti tu ceea ce scaneaza cei care folosesc bruterul asta. Daca ma insel astept dovezi pertinente. Cel mai ok ar fi sa postezi sursa, asa ar fi cel mai corect daca tot esti binevoitor si vrei sa imparti munca cu colegii de forum.

Cativa dintre noi poate l-am putea imbunatatii chiar.

Seara buna

[Caracal]

De ce nu functioneaza daca am adaugat:

[root@fed64 s2]# cat /etc/hosts

127.0.0.1 localhost localhost.localdomain localhost4 localhost4.localdomain4

::1 localhost localhost.localdomain localhost6 localhost6.localdomain6

127.0.0.1 www.t0ma.ro

127.0.0.1 t0ma.ro

[root@fed64 s2]# ./ssh2 100 22

Sa inteleg ca fara a verifica "update-ul" asta programul nu functioneaza? Mie mi se pare suspecta toata tarasenia, mai mult am vazut ca ai ascuns acuma linukul ala in sursa. Eu am impresia ca acolo primesti tu ceea ce scaneaza cei care folosesc bruterul asta. Daca ma insel astept dovezi pertinente. Cel mai ok ar fi sa postezi sursa, asa ar fi cel mai corect daca tot esti binevoitor si vrei sa imparti munca cu colegii de forum.

Cativa dintre noi poate l-am putea imbunatatii chiar.

Seara buna

Dupa ce ai adaugat t0ma.ro in hosts, poti sa faci si un "ssh2_log/verify.php" in /srv/www/htdocs sau unde ai tu setat DocumentRoot. In verify.php pui v1.1. Cred ca ar trebui sa mearga asa...

[nym3ny]

Sa imbunatatesti ce o sa faci tu, iar cine vrea il foloseste si cine nu NU!

Cat despre ce primesc eu, primesc decat multumirea ca flux nu vinde ceea ce are el acolo pe sute de euro ca alea nu sunt programe de atatea sute de euro.

Daca nu verifica update-ul da nu merge!

[88fingers]

Bine amice cum spui tu, eu mi-am facut datoria

O seara faina