RMD sarcaxxo sur serveur FTPFermé

Question

Bonjour,
J'ai observé ces derniers jours que mon serveur ftp passaient au dictionnaire de mot de passe pendant que j'étais pas là. Quelle  honte! ^^
Pensant qu'il s'agissait d'un petit hackeur qui perdait son temps, j'ai voulu l'en informer en lui permettant alors l'accès à un certains dossier afin qu'il lise un petit message d'accueil fort sympathique! Mais j'ai remarqué qu'il s'agissait finalement d'un scan automatisé car à peine connecté au serveur,l'hôte distant envoie la commande :
-"RMD sarcaxxo" puis ce déconnecte.
je n'ai pas de dossier nommé sarcaxxo ,de plus les droits sont limités...

j'ai cherché sur google, apparement en France on en parle pas de sarcaxxo .Alors je lance le sujet sarcaxxo.si quelqu'un à des infos (s'il s'agit d'un ver,d'un simple scan ...)
(L'attaque vient d'une machine francaise de chez tiscali derriere proxy en chine pour moi.)

Sur ce ,bonne journée!

Bigbug · Answer

bonjour,
tout d'abord je dis vraiment MDR :D.
Parce que moi j'ai fait exactement la même chose et le "petit hacker" m'a mis comme toi "RDM  sarcaxxo" puis s'est déconnecter je ne sais pas se que c'est mais le mec est partit et n'est plus revenu...
Il n'a même pas lu mon petit message.... :(

psyko · Answer

la meme depuis :
IP address 218.239.223.85

Nom d'hôte:  	218.239.223.85
Adresse IP: 	218.239.223.85
Pays: 	Korea, Republic Of korea, republic of
Code de pays: 	KR (KOR)
Région: 	Seoul-t'ukpyolsi
Ville: 	Seocho
Code postal: 	
Indicatif tél.: 	+82
Longitude: 	127.0167
Latitude: 	37.4833

bigbug · Answer

Bonjour,
comment as-tus fais pour avoir autant de détail sur l'hôte ?
Personnellement j'utilise filezilla serveur, et je n'ai aucun renseignement de ce type.

psyko · Answer

Ce n'est pas "un petit hacker" mas un robot, ou plutôt un worm qui se balade sur la toile et tente d'effacer les traces d'un document compromettant.
Au début j'ai cru aussi a une personne physique et j'ai voulu m'amuser avec lui,
Mais quand je lui ai ouvert l'accés dans un honeypot, il a seulement tenté d'effacer un repertoire "sarcaxxo" et depuis plus de nouvelles.

Pour les infos, filezilla m'a donné l'adresse IP de la machine qui m'agressait (218.239.223.85).

et avec l'adresse IP, tu as toute les infos que tu souhaite, jusqu'au numéro de telephonne et adresse du FAI de la personne qui pirate.

Pour commencer, tu recherche "geolocalisation par IP" sur google,
normallement au début tu voit sur la carte de france où se situe l'adresse de ton fournisseur internet, mais apres tu peut donner une autre IP.

exemple :
http://www.urweb.info/geoip.php
http://www.ipcheck.fr/

Doc Robotnik · Answer

J'ai le même phénomène, un utilisateur tentai de se connecter au nom de Administrator, mais mon serveur est francais donc c'est administrateur, j'ai donc crée un Administrator juste pour lui pour observer ses intentions et voila ce que les logs on dit...

10/01/24 12:33:55, 14680, 60.191.0.157, , USER Administrator
10/01/24 12:33:57, 14680, 60.191.0.157, Administrator, 331 Password required for Administrator.
10/01/24 12:33:58, 14680, 60.191.0.157, Administrator, PASS ****
10/01/24 12:33:59, 14680, 60.191.0.157, Administrator, logged in.
10/01/24 12:33:59, 14680, 60.191.0.157, Administrator, 230 Vous etes maitenant conecter en tant que : Administrator
10/01/24 12:34:00, 14680, 60.191.0.157, Administrator, RMD sarcaxxo
10/01/24 12:34:00, 14680, 60.191.0.157, Administrator, remove directory '/sarcaxxo' -> 'C:\ftp\calisdepais\sarcaxxo' --> Access denied.
10/01/24 12:34:00, 14680, 60.191.0.157, Administrator, 550 "sarcaxxo": can't remove directory. No permission.
10/01/24 12:34:02, 14680, 60.191.0.157, Administrator, QUIT
10/01/24 12:34:02, 14680, 60.191.0.157, Administrator, 221 Connexion Ferme.
10/01/24 12:34:02, 14680, 60.191.0.157, Administrator, disconnected. (00d00:00:08)


Ce n'est jamais le même IP car je le bannis chaque fois.

psyko · Answer

C'est abusé, quatre ans que ça dure...
c'est un scanner ftp qui fait du bruteforce pour les mots de passe et teste la commande rmir
j'ai retrouvé son code sur le net et "sarcaxxo" est juste un nom écrit en dur dans le code pour tester la commande rmdir afin de trouver des failles dans les serveurs FTP.

le code source du vers est trouvable sur le net :
https://cert.uni-stuttgart.de

un petit extrait : dans le cas ou le programme a été appelé avec l'option "-C" = check rmdir command
     case 2:
	if (rm_dir != 0)
	  {
	    memset (buffer, 0, lbuffer);
	    sprintf (buffer, "RMD sarcaxxo");
	    if (send (sock, buffer, strlen (buffer), 0) == -1)
	      return -1;
	    memset (buffer, 0, lbuffer);
	    if (recv (sock, buffer, lbuffer, 0) == -1)
	      return -1;
	  }


Donc les gens qui on ces serveurs se sont soit fait piratés soit c'est eux qui font du bruteforce...

Doc Robotnik · Answer

J'ai même esaye de lui jouer un tour, j'ai crée un répertoire "sarcaxxo"  pour qui le supprime car je me suis dit cela doit etre un genre de script et si il l'efface il aurai réussi sa mission et passé a autre chose mais non ! il est revenu le lendemain encore pour l'effacé mais il n'étai plus existan bien sur. 

Ma 2e hypotèse serai que ce soie un virus puisque il a jamais le même IP, nous savons qu'il existe des virus qui envoie des pourriels a notre insue mais peutetre que c'est un virus qui fait un brute force sur des ftp, car même si je serai un hacker je n'y voirais pas l'utilité de laisser rouler un PC 24/7 pour esayer de supprimé un répertoire qui existe probablement meme pas dans tout les ftp du monde.

Bruno · Answer

Bonjour, 

J'aurrais une réponse a votre questionnement, depui plus d'un an, j'ai trouvé un virus qui s'était introduit sur un de mes serveur. J'ai copier le répertoire dans un fichier compresser pour touvé réponse à mes questions. 

Oui il sagit d'un logiciel qui tente de faire du "Brute force" sur les FTP, il a une liste de login et de mot de passe et conserve l'historique de ce qu'il tente de hacker. 

Voici les informations qui pourrait vous être utile à savoir qui tente de faire cela, ses informations était dans un fichier "Remote.ini"... les date sont de 2009 (au moment ou J'ai découvert le virus sur mon serveur). 

***************************Remote.ini*********************** 


[users] 

[variables] 
n0=%botnick [UW][BSIDE5] 
n1=%botchan #UNDER-WAREZ 
n2=%botpass Pmhr2ptoorYQk 
n3=%randread guio17 
n4=%channel #cocaine-city 
n5=%nowscan 
n6=%rdate 7R14ooted at - 26/09/2009 - 23:30:44 - o'cL0ck 
n7=%dater 26/09/2009 
n8=%p0rt 139 
n9=%thr34d 500 
n10=%i1 213 
n11=%i2 65 
n12=%Ascan on 

*********************************************************** 

Vérifier sur vos serveurs si vous n'avez pas un répertoire cahé par le système "c:\WinNt" qui contiendait un répertoire appellé "Lavan" 

Voici un autre fichier qui pourrait vous être utile à comprendre... 

***************************ir.conf*************************** 
user_nick [1HaLF] 
pidfile mybot.pid 
logfile mybot.log 
logstats yes 
logrotate weekly 
statefile mybot.state 
xdcclistfile WinMgnt.dll 
# 
#----------connection-------------| 
# 
connectionmethod direct 
# 
#-------------Chans---------------| 
channel #takeover -plist 10 
#-------------Nicks---------------| 
user_realname 1HaLF 
user_modes +i 
#--------------NAT----------------| 
slotsmax 5 
queuesize 20 
maxtransfersperperson 1 
maxqueueditemsperperson 2 
filedir c:\winnt\system32\kahol\logs 
restrictlist yes 
restrictprivlist yes 
restrictprivlistmsg WAIT FOR PUPLIC LIST. 
restrictsend yes 
respondtochannelxdcc 
respondtochannellist 
smallfilebypass 0 
downloadhost *!*@* 
lowbdwth 15 
overallmaxspeed 0 
overallmaxspeeddayspeed 0 
overallmaxspeeddaytime 9 17 
overallmaxspeeddaydays MTWRF 
adminpass EWNFmiqCztb8s 
adminhost *!*@r.a.g.e 
adminhost *!*@De.Lete.Screen 
adminhost *!*@1half.realm.owns.you 
adminhost *!*@*.dyn.optonline.net 
adminhost *!*@*.ameritech.net 
adminhost *!*@1half-realm.com 
uploadhost *!*@* 
uploaddir c:\winnt\system32\kahol\logs 
uploadmaxsize 0 
#-------------SRVS----------------| 
server irc.takeover1-half.com 6667 
server takeover1-half.com 6667 
********************************************************** 

Donnez moi des nouvelles si cela vous aide ! 
Bruno

Kasuo.k · Answer

J ai eu exactement la même chose avec un gars (ou un bot ) qui fut en un temps en Corée qui tente de se connecter à mon filezilla, ce matin il est en Allemagne, ça sent le proxy, son ip ce matin c 'est ca 78.46.72.204.
J'avais mis une règle de bannissement à  15 erreurs de password.
Puis j ai mis un compte administrateur sans password avec les droit en lecture sur un dossier contenant un message.
Il a lancé un petit RMD sarcaxxo et s 'est cassé.

(001039)03/03/2011 09:25:01 - (not logged in) (78.46.72.204)> Connected, sending welcome message...
(001039)03/03/2011 09:25:01 - (not logged in) (78.46.72.204)> 220 there is no administrator account on this ftp , stop to try
(001039)03/03/2011 09:25:07 - (not logged in) (78.46.72.204)> USER Administrator
(001039)03/03/2011 09:25:07 - (not logged in) (78.46.72.204)> 331 Password required for administrator
(001039)03/03/2011 09:25:13 - (not logged in) (78.46.72.204)> PASS ******
(001039)03/03/2011 09:25:13 - (not logged in) (78.46.72.204)> 530 Login or password incorrect!
Sending account settings, please wait...
Done sending account settings.
(001039)03/03/2011 09:25:31 - (not logged in) (78.46.72.204)> USER Administrator
(001039)03/03/2011 09:25:31 - (not logged in) (78.46.72.204)> 331 Password required for administrator
(001039)03/03/2011 09:25:42 - (not logged in) (78.46.72.204)> PASS *******
(001039)03/03/2011 09:25:42 - administrator (78.46.72.204)> 230 Logged on
(001039)03/03/2011 09:25:55 - administrator (78.46.72.204)> RMD sarcaxxo
(001039)03/03/2011 09:25:55 - administrator (78.46.72.204)> 550 Permission denied
(001039)03/03/2011 09:25:55 - administrator (78.46.72.204)> QUIT
(001039)03/03/2011 09:25:55 - administrator (78.46.72.204)> 221 Goodbye
(001039)03/03/2011 09:25:55 - administrator (78.46.72.204)> disconnected.

Trs80 · Answer

Bonjour,
Ca fait plusieurs années que "Sarcaxxo" fait ch... mon serveur FTP. C'est un bot qui cherche à récolter des login/mot de passe de serveurs FTP. Dès qu'il s'est connecté sur une machine il fait un RMD bidon, se déconnecte et cherche une autre machine.
Le source est sur https://cert.uni-stuttgart.de 
En analysant le source j'ai trouvé le moyen de le bloquer :
Dès qu'il reçoit le "230 LOGIN OK" il balance le RMD SARCAXXO et attend le "550 Permission denied" après quoi il quitte et cherche un autre serveur.
Mais si après son RMD SARCAXXO on lui répond à nouveau "230 LOGIN OK" il rebalance le RMD. On peut donc le faire boucler et l'empêcher de polluer d'autres machines.
J'ai écrit un petit logiciel qui fait office de serveur FTP bidon, il accepte n'importe quelle connexion et s'il voit la commande RMD SARCAXXO il répond 230 LOGIN OK (après un délai de 5 secondes, inutile de bouffer la bande passante). Je fais tourner ce logiciel sur une connexion qui n'a pas de ftp et je coince régulièrement des "Sarcaxxo" en les faisant boucler.  Si ça intéresse quelqu'un je fournis le programme et les sources. 
bon W.E.

RMD sarcaxxo sur serveur FTP

10 réponses

Discussions similaires

Newsletters