irc.raza-mexicana.org puerto 30003
La siguiente historia es verídica. Los nombres han sido cambiados para proteger la seguridad de los protagonistas. Los nombres de dominio y sus respectivos IPs también fueron cambiados. Quiero agradecer a nul0ts por su valiosa ayuda. sin el esta historia no hubiera sido posible, siempre serás bienvenido y apreciado en raza nul0ts
Fecha : Miércoles 28 de Mayo de 2003 las 21 horas con 50 minutos
Lugar: un servidor irc muy muy lejano en lo mas under del internet
Session Start: Wed May 28 21:50:59 2003
Session Ident: #razamex
[21:50:59] * Now talking in #razamex
[21:50:59] * Topic is '[17:31:06] <qw3rt1> ahora que para articulos chingones
los de Fatal [17:31:16] <qw3rt1> a ese wey si le doy un beso en su pipi'
[21:50:59] * Set by Yield on Wed May 28 18:55:03
[21:50:59] -irc.raza-mexicana.org- *** Notice -- DeadSector (~guest@2AFBD132.9797C07C.30ED0294.IP)
is now a network administrator (N)
Era una noche como cualquier otra, los presentes discutían de las mismas cosas cotidianas:
[21:51:00] <Fatal> Y por eso son mejores los ataques stackd based que
los non-stacked based
[21:51:03] <Fatal> Lero lero.
[21:51:04] <wireless> no. todo depende de cuanto tengas en memoria para
trabajar. no siempre se puede hacerlo a tu manera
Estemm, bueno, eso lo invente para hacer mas verídica la historia, los verdaderos logs decían esto:
[21:51:00] <Fatal> Eliminan a Cruz Azul de la Libertadores
[21:51:03] <Fatal> Lero lero.
[21:51:04] <wireless> si
La gente seguía entrando e integrándose a la platica como siempre discutiendo nuevas ideas, compartiendo nuevos conocimientos :
[21:53:54] * RaW (RaW_III@1BB959E8.9C31793A.2DAA616.IP) has joined #razamex
[21:54:39] * RaW (RaW_III@1BB959E8.9C31793A.2DAA616.IP) Quit (Quit: )
[21:58:36] * Darksource (darksource@274A3C1.431590DC.47E3F80A.IP) has joined
#razamex
[21:58:59] <wireless> hola Darksource
[21:59:05] <Darksource> hola wireless
[21:59:06] <wireless> quien dijo quake?
[22:00:57] <Fatal> Aguanten.
[22:01:10] <Fatal> Dejenme instalo unas librerias.
[22:09:55] <Xy-Out> y la rata??
[22:10:08] <Xy-Out> ALGUIEN INVOQUE A LA RATA
[22:15:22] <Fatal> Listos?
[22:15:32] <wireless> casi termino de cenar
[22:15:40] <a_d_mIRC> a veces medio apendejados, pero aqui andamos
Todo parecía que la noche seria como cualquier otra, pero algo que nadie esperaba estaba a punto de suceder muahahahaha ( risa macabra )
[22:45:41] -irc.raza-mexicana.org- *** Notice -- Client connecting on port
30003: nul0ts (~mexican@148.266.257.14)
[22:45:41] * nul0ts (~mexican@3ED5C0B7.E1DA74A9.A3EEB7F.IP) has joined #razamex
Nadie sospechaba que algo inesperado iba a suceder, mucho menos yo, cuando en mi pantalla salió una línea que decía:
[22:50:00] <nul0ts> se supone que http;//midominio.org es vulnerable al exploit chunked encoding ya lo mande
Y no paso nada, nosotros seguíamos tratando asuntos avanzados.
[22:50:01] <a_d_mIRC> como explicatias en esta situacion el ser ninja
y el ser samurai???
[22:50:13] <DeadSector> eres un pendejo sin cerebro. no eres mas bruto
porque te faltaron golpez en tu niñez. yo no hice nada pero me di cuenta
la primera vez que use el quad que algo andaba mal. pero tu por mas que te chingaban
lo seguias agarrando
[22:50:31] <a_d_mIRC> AAJJAJAJAJAJAJAJJAJAJA
[22:50:56] <Lolito> Ni madres, te vacie la bfg mas de 5 ocasiones y no
te pasaba nada.
nul0s seguía insistiendo
[22:52:17] <nul0ts> pinche exploit no funciono!
[22:57:02] <nul0ts> porque no funciono el exploit
[22:57:07] <nul0ts> el server sigue como sin nada
[22:57:59] <DeadSector> http;//midominio.org <-- porque usaste ;
[22:58:30] <nul0ts> segun el retina scanner ese server es vulnerable
[22:59:30] <brotoloco> Qu epedo
[22:59:34] <DeadSector> retina no puede comprobar muchas cosas . tambien
depende como lo tengas configurado. muchas pruebas no las hace porque sabe que
puede tumbar el server
[22:59:44] <nul0ts> mta
[23:00:02] <nul0ts> entonces ese server no es vulnerable??
[23:00:17] <DeadSector> y aparte no sabemos ni que exploit estas usando
[23:00:22] <DeadSector> o de que estas hablando
[23:00:30] <DeadSector> o que server es
[23:00:31] <DeadSector> etc
[23:00:51] <nul0ts> estoy usando este exploit
Pasaron 1 minutos 20 segundos y parecía una eternidad. no decía que exploit estaba usando y la gente se aburría esperando
[23:02:11] <brotoloco> uh..
[23:02:26] <psy2> 8===================================D
Y al fin, después de una larga espera de 3 minutos 11 segundos contesto
[23:03:02] <nul0ts> http;//packetstormsecurity.nl/0207-exploits/apache-chunk.c
[23:03:24] <nul0ts> use este
[23:03:34] <brotoloco> he que pedo
[23:03:34] <brotoloco> con los partidos
[23:03:42] <nul0ts> porque creen que no funciono
[23:03:43] <nul0ts> ??
[23:03:51] <brotoloco> porque es anti kiddie
[23:04:02] <brotoloco> tiene sus travas para que no cualquiera lo compile.
[23:04:29] <nul0ts> lo compilo Duck
[23:04:41] <brotoloco> nul0ts: y tu no ?
[23:04:44] * Yield (~yield@2C8B3CF3.C1EF8A8F.61D3A90F.IP) has joined #razamex
[23:04:45] -irc.raza-mexicana.org- *** Notice -- Yield (~yield@2C8B3CF3.C1EF8A8F.61D3A90F.IP)is
now a network administrator (N)
[23:05:09] <nul0ts> no porque no tengo el gcc
[23:05:38] <nul0ts> porque creen que no funcino?
[23:05:39] <DeadSector> nul0ts: no te quiero dar kill. ya leiste el exploit
lo que dice?
[23:05:45] <DeadSector> leelo por favor
[23:06:23] <nul0ts> ya lo lei
[23:07:39] <DeadSector> sepa pepa nul0ts . yo no se.yo no uso linux y
no tengo experiencia con xploits de linux
[23:08:01] <brotoloco> nul0ts: Como te compilaron el exploit y luego tu
usaste ese ejecutable en tu b0x ???
[23:09:13] <nul0ts> #/mnt/hda1/Linux/a.out midominio.org
[23:09:15] <brotoloco> si ese ejecutable te lo compilaron con alguno nix
que no es igual al tuyo, seguro que no correra. eso es logico
[23:10:13] <nul0ts> si lo ejecuta bien
[23:10:37] <Yield> orion:/home/yield/kde-src # ./apache-chunk midominio.org
[23:10:37] <Yield> Apache-Chunk.c By bob. [www.dtors.net]
[23:10:37] <Yield> ---[+] Looking up host : midominio.org.....
[23:10:37] <Yield> ---[+] Connecting...
[23:10:37] <Yield> ---[+] Sending...
[23:10:37] <Yield> ---[+] Sent!
[23:10:39] <Yield> juar XD
[23:11:24] <nul0ts> eso mismo me sale
[23:11:41] <brotoloco> ??
[23:11:44] <brotoloco> jaj
La gente trataba de explicarle
[23:11:51] <brotoloco> sera porque no es vulnerable ?
[23:11:54] <Yield> esta parchado
Pero seguía con dudas
[23:11:58] <nul0ts> mta pinche scanner
[23:12:05] <brotoloco> :P
[23:12:07] <nul0ts> y segun me marco 22 servers
[23:12:09] <nul0ts> vulnerables
[23:12:35] <brotoloco> ...
[23:12:54] <brotoloco> jaja yo ya estuviera g-lineado de por vida.
Yieldo amablemente trataba de explicarle a su nuevo padawan
[23:12:59] <Yield> eso se llama falso positivo
[23:13:07] <nul0ts> y porque los marca
[23:13:08] <nul0ts> ?
Yieldo nuevamente trataba de explicarle a su nuevo padawan
[23:13:10] <DeadSector> porque solo checa versiones en reply y no intenta
joderlos para verificar. puedes configurarlo para que lo haga
[23:13:17] <brotoloco> checa las vers
[23:13:18] <Yield> otra vez nul0ts
[23:13:19] <Yield> eso se llama falso positivo
[23:13:53] <nul0ts> ah ok
[23:13:57] <nul0ts> ahora entiendo
Aquí fue donde ya no pude aguantarme, algo dentro de mi gritaba que le diera kill o kline o joderlo de alguna manera, que buscara info de su familia de sus amigos o enemigos y que destruyera su vida, la de sus amigos y la de sus parientes, que era mi deber borrar todo rastro de su existencia, pero la parte amable y débil de mi me dijo que solo debería jugarle una broma.
Nada de lo que va a suceder fue planeado, he ahí lo hermoso de lo que sucedió.
[23:14:19] <DeadSector> nul0ts y para que no haya malentendidos y luego
digan que te jodi a la mala. te aviso que estoy mandando email a contactos de
midominio.net . no quiero problemas legales. si no digo nada me estaria haciendo
complice tuyo
[23:14:32] <DeadSector> solo mandare logs de irc
[23:14:41] <DeadSector> sin ips ni nada
[23:14:51] <nul0ts> no wey no le paso nada
Ja. no tenia idea que ese era solo el comienzo
[23:15:09] <DeadSector> solo lo que vi en este canal. no mandare info
de whois ni nada de eso
[23:15:15] <nul0ts> ok
De seguro pensó "pos ya que" y estoy seguro que nunca se imagino lo que estaba a punto de suceder. La gente le seguía explicando, yo había pasado esa etapa y estaba haciendo whois al dominio
[23:15:47] <brotoloco> checa los headers. de cada httpd Talvez lo alteraron
o ta parchado y se quedo con la misma version pero parchadito. Y no le hace
nada ese DoS
[23:16:46] * brotoloco a cenar
[23:17:33] <Yield> nul0ts mejor aprende a usar linux, aprende a compilar
programas, aprendete el software que hay y despues tratas algo mas avanzado
Aquí ya tenia listo mi segundo programa de irc con nuevos datos. solo tenia que preparar a nul0ts
[23:17:35] <DeadSector> wow. que hora es en españa ? no mames.
ya me contestaron el email. un tal carlos terront. quiere saber el ip de este
server y el puerto para conectarse
[23:17:46] <DeadSector> vergas
[23:17:49] <DeadSector> no le voy a contestar
[23:17:53] <nul0ts> no wey
[23:17:53] <nul0ts> please
[23:17:55] <Yield> rola su mail
nul0ts ya se empezaba a preocupar, por las prisas tampoco pude avisarle a mis compañeros de mis planes, pero el momento había llegado. Entré con un nuevo nick “cterront” .
[23:18:45] <DeadSector> a que jijo de su madre. me esta amenazando
[23:18:51] * cterront (~midominio@1F4C2367.5F3D5C6D.76096087.IP) has joined
#razamex
[23:18:57] <cterront> buenas noches
[23:19:06] -irc.raza-mexicana.org- *** nul0ts (~mexican@3ED5C0B7.E1DA74A9.A3EEB7F.IP)
did a /whois on you.
[23:19:06] <cterront> quien me mando el log?
[23:19:15] <DeadSector> yo
[23:19:20] <nul0ts> :S
[23:20:19] <nul0ts> !
[23:20:39] <DeadSector> pero era juego
[23:20:41] <DeadSector> era broma
[23:21:09] <cterront> mira muchacho. para mi no es broma. estas hablando
de mi trabajo
[23:22:07] <DeadSector> quise mandar email a midominio.net fue un simple
error. no estes chingando
[23:22:12] <DeadSector> ademas tus leyes no nos afectan
[23:22:33] <Yield> y mientras no hayan existido daños no hay problema
[23:23:03] <cterront> pero estoy checando logs y alguien trato de atacar
mi server justo en el momento que me llego el email
[23:23:14] <DeadSector> pero es concidencia. ya te dije
[23:23:21] <DeadSector> yo quise mandar a midominio.net
[23:23:23] <DeadSector> o com
[23:23:27] <DeadSector> no me acuerdo el link exacto
Hasta este momento nadie sospechaba que era yo, con la excepción de yield . pero también me seguía la corriente, estos son logs de canal privado con yield. cuando le escribí en privado a nul0ts pensé que se daría cuenta quien era
[23:19:32] <cterront> que pedo?
[23:19:39] <nul0ts> ?
[23:19:48] <nul0ts> k paso
[23:19:51] <cterront> estas jodiendo mi server?
[23:20:26] <nul0ts> yo? por que lo dices ?
Y con yield
[23:20:07] <DeadSector> ya la cague. puto autooline
[23:20:30] <Yield> te hizo whois?
[23:20:51] <cterront> si
[23:20:53] <cterront> damm
[23:20:56] <cterront> deja ver si todavia se la cree
[23:21:03] <Yield> entonces si la calabazeaste
Mientras tanto en canal publico seguíamos fingiendo
[23:23:57] <Yield> pega el IP del supuesto atacante y te digo si alguien
de aqui lo tiene
[23:24:07] <cterront> pues yo tambien estoy mandando email al encargado
de seguridad. en este momento hablara por telefono con su isp. vale mas que
me entregues el ip de nul0ts o tambien tendran problemas
[23:24:36] <Yield> pero pega tu el log del atacante y vemos si coincide
[23:24:39] <cterront> si no lo hacen se estan convirtiendo en complices.
les cerraran su irc server en un abrir y cerrar de ojos
[23:24:59] <cterront> quiero que me entreguen a nul0ts. lo exijo
El pobre nul0ts no decía nada. ya queria llorar, solo mandaba privados a yield y a mi con cosas como
[23:21:42] <DeadSector> [23:21:23] <nul0ts> no mams wey dale kill
[23:21:49] <Yield> juar
[23:22:00] <Yield> me voy a ahogar con la cena
[23:25:03] <Yield> [23:25:12] <nul0ts> no wey no se lo des porfavor
[23:25:38] <DeadSector> [23:21:55] <nul0ts> porfavor
[23:25:54] <Yield> no mames, queria cenar tranquilo, me ahogo de risa
Y en canal publico seguía la acción
[23:25:21] <DeadSector> mira. en buena onda. ya te dije que era broma.
nadie te quiso hacer daño
[23:25:29] <Yield> primero pega el IP de tu supuesto atacante y te digo
si coinciden, de ser asi pos ya te lo llevas
[23:26:03] <cterront> 148.266.257.14 <-- (si era el ip real de nul0ts
[23:26:10] <DeadSector> ese no es
[23:26:12] <DeadSector> te chingaste
[23:26:32] <DeadSector> nul0ts is connecting from *@200.543.274.45 <--
ip ficticio
[23:26:36] <Yield> eip, no coincide
[23:26:47] <cterront> buscare ese ip en logs tambien
[23:26:53] <cterront> pero estoy seguro que fue uno de ustedes
[23:27:18] <Yield> nel, no fue nadie de aqui
[23:27:43] <cterront> miren. no voy a batallar. este es mi trabajo. no
voy a dejar que unos chamaquitos me vengan a chingar.en este momento se esta
investigando y en un rato mas varias cuentas estaran suspendidas incluyendo
su servidor irc
[23:28:12] <Yield> nel no mames, en buena onda, no fue nadie de aqui
[23:28:16] <cterront> y para terminar quiero que quede algo bien claro
[23:28:33] <cterront> nul0ts pon atencion a lo que voy a decir
[23:28:39] <cterront> me estas leyendo?
[23:28:45] <nul0ts> si
Pobre wei. no le quedaba otra que seguir negándolo
[23:28:51] <cterront> mira esto
[23:28:52] <nul0ts> no tiene caso
[23:28:53] <nul0ts> no fui yo
[23:29:12] * cterront is now known as huele_a_caca
[23:29:18] * huele_a_caca is now known as Dead
[23:29:24] <Dead> no te asustes wei
[23:29:26] <nul0ts> ?
Después de eso los demás presentes que se habían quedado muy calladitos explotaron en risas
[23:29:27] <wireless> juar!
[23:29:30] <a_d_mIRC> jajajajajajajajajajajaja
[23:29:31] <nul0ts> no mams!
[23:29:32] <Yield> JAJAJAJAJAJAJAJAJAJA
[23:29:34] <DeadSector> XD
[23:29:36] <wireless> jajajajajajaja
[23:29:39] <nul0ts> !!!
[23:29:44] <DeadSector> era broma wei
[23:29:45] <a_d_mIRC> JAJAJAJAJAJAJAJAJAJAJAJAJAJAJAJAJAJAJAJAJAJAJAA
[23:29:47] <Yield> oh cielos
[23:30:00] <nul0ts> pta pinche estomago
[23:30:07] <Yield> yo huelo a caca pero por la risa
[23:30:08] <wireless> JAJAJAJAJAJAJAJAJA
[23:30:22] <DeadSector> ay dios. estoy llorando de la risa
[23:30:57] <nul0ts> no mamn
[23:31:00] <Yield> yo tuve que escupir el bocado de la cena o me ahogaba
[23:31:03] <DeadSector> jajajajaj
[23:31:15] <DeadSector> ay wei. no lo vuelvo a hacer
[23:31:23] <wireless> JAJAJAJA
[23:33:00] <nul0ts> no mams senti
[23:33:06] <nul0ts> bien culero en el estomago
[23:33:10] <DeadSector> XD
[23:33:18] <wireless> juar!!
[23:33:24] <brotoloco> JAJAjaja
[23:33:35] <nul0ts> no mams wey
[23:33:38] <brotoloco> nul0ts: asno
[23:33:40] <brotoloco> XD
[23:34:16] <nul0ts> cayate pendejo ya me voy aparte de la fiebre senti
bien culero
Y así termina la historia de nul0ts y sus experiencias con exploits. Para los newbies que quieren aprender en servidores ajenos espero les sirva de ejemplo. NO LO HAGAN.
Pero unas cosas deberíamos platicarlas. Si alguien sabe algo de leyes en México que nos diga si puede suceder o no.
Si vemos que alguien entra a chat y relata actos ilegales deberías delatarlo?
Te haces cómplice si te quedas callado?
Podrían tener problemas los que están conectados y no dicen nada?
Deberían estar públicos los IPs de usuarios para evitar problemas
legales?
Ustedes perderían su empleo o irían a cárcel para proteger
a alguien que esta haciendo cosas ilegales?
Si le explicas a nul0ts como funciona un exploit y el hace algo ilegal con esa
información eres culpable?
Son demasiadas preguntas y me gustaría discutirlas, están todos invitados a irc.raza-mexicana.org puerto 30003 ahí serás siempre bienvenido .
Nos vemos.