Archive for April 2009

 
 

KW 17 – Top 10 – RFI Patterns

//modules/xfsection/modify.php?dir_module=
//index.php?option=com_dbquery&Itemid=&mosConfig_absolute_path=
/binaries/log/errors.php?error=
//contenido/includes/include.newsletter_jobs_subnav.php?cfg[path][contenido]=
/administrator/components/com_cropimage/admin.cropcanvas.php?cropimagedir=
/?sourcedir=
//components/com_flyspray/startdown.php?file=
//administrator/components/com_virtuemart/export.php?mosConfig_absolute_path=
///administrator/components/com_virtuemart/export.php?mosConfig_absolute_path=
//include/write.php?dir=

[glastopf] Stand der Entwicklung

Was ist der Glastopf?
Der Glastopf ist ein in python geschriebener Webhoneypot.
Er baut darauf auf, dass die RFI scanner google dorks benutzen.
Anfragen an den Glastopf werden in einer Mysql-Datenbank abgelegt,
erfolgreich heruntergeladene Skripte werden mit dem Dateinamen der MD5-Summe auf der Festplatte gespeichert.
Die Rückgabe an den Angreifer wird über ein leicht zu erweiterndes parseline Modul erreicht.
Sofern die Rückgabe auf Gefallen stösst, erhalten wir auch die nachgeladenen Skripte.
Ein einfach zu bearbeitendes Webinterface ist eine weitere Komponente.
Selbstverständlich ist der Glastopf als experimentelle Software zu sehen.

Wo kann man den glastopf herunterladen?
Für das Glastopf-Projekt gibt es eine subversion-Verwaltung.
Zudem stehen tarballs zur Verfügung.
In den svn branches findet Ihr zusätzlich eine funktionsreichere Version des Webinterfaces als auch einen unstable und testing-Zweig des Honigtopfes.
Bitte besucht http://trac.1durch0.de/trac/wiki/GlastopfDocumentation.
Dort findet Ihr auch kurze Anleitungen zur Installation auf debian, winXP und OS-X.


Wer mithelfen kann
Mithelfen kann eigentlich jeder, der sich für diese Themen interessiert.
Feedback ist immer erwünscht.
Jeder, der den Glastopf probiert, sollte Rückmeldung geben.
Es steht jedem offen, ein Ticket im Trac zu erstellen.

Mehr Infos  hier

Offizielle Webseite

Conficker – FastFlux <--> MIT ?

+++++++++++ NEWS ++++++++++
Das Conficker Netz ist doch größer ist als man annahm.
Es sind Institute davon betroffen, die „wahrscheinlich“ 🙂 davon keine Ahnung haben.
Unbestätigte Quellen zeigen auf, dass das MIT (Massachusetts Institute of Technology) teil des FastFlux Netzes ist.
Der Conficker nutzt genau dieses FastFlux Netz um zu kommunizieren und sich zu verbreiten.
Weitere Informationen folgen.

++++++++++++++++++++++++++

KW 16 – Top 10 – RFI Patterns

/index.php?body=
/index.php?dirDepth=
/skin/zero_vote/ask_password.php?dir=
/doc/faqsupport/samplefaqsupport.php?path%255Bdocroot%255D=
/includes/mailaccess/pop3.php?CONFIG%5bpear_dir%5d=
/index.php?content=
/lostpasswd.php?env%5binclude_prefix%5d=
/errors.php?error=
//index.php?option=com_dbquery&Itemid=&mosConfig_absolute_path=
/components/com_sitemap/sitemap.php?mosConfig_admin_path=

Heise Meldung: Conficker-Wurm lädt jetzt doch nach

Nach Angaben von Trend Micro hat der Wurm Conficker.C (respektive Downad) jetzt doch begonnen, Updates nachzuladen – allerdings nicht über die von vielen beobachteten Webseiten, sondern über seine Peer-to-Peer-Funktion. Darauf gestoßen waren die Experten durch die Beobachtung des Windows-Temp-Ordners und des Netzwerkverkehrs eines infizierten Systems. Anders als Conficker.A und .B kann Version .C mit anderen infizierten Systemen ein P2P-Netz etablieren und so weitere Programme nachladen und Befehle entgegennehmen. Laut Trend Micro ist der P2P-Betrieb jetzt in vollem Gange.

In diesem Fall holte sich das untersuchte System sein verschlüsseltes Update von einem P2P-Node in Korea und installierte es. Damit verwandelt sich der Wurm laut Trend Micro in die E-Variante, die neue Eigenschaften aufweist. Unter anderem versucht sie auf einem System alle Spuren zu verwischen, in dem sie etwa bisherige Registry-Einträge löscht und fortan mit zufälligen Dateinamen und Dienstnamen arbeitet. Zudem öffnet der Wurm nun den Port 5114 und lauscht mit einem eingebauten HTTP-Server auf Verbindungsanfragen. Zusätzlich nimmt er Verbindungen mit den Domains myspace.com, msn.com, ebay.com, cnn.com und aol.com auf, um zu testen, ob eine Verbindung ins Internet besteht.

Der Wurm soll sich nur noch über die Windows-Sicherheitslücke verbreiten. Nach Angaben von BitDefender blockiert die neue Variante nicht nur den Zugang zu den Web-Seiten der Antivirus-Hersteller, sondern auch den Zugriff auf kürzlich angekündigte Web-Seiten mit Removal-Tools, welche die vorherigen Versionen des Conficker-Wurms beseitigen konnten. Davon betroffen ist laut BitDefender schon die Tool-Seite von BitDefender (http://bdtools.net) sowie Internetseiten anderer Anbieter.

Laut den Analysen soll sich Downad/Conficker in der neuesten Fassung aber am 3. Mai 2009 deaktivieren. Ob er bis dahin ein neues Update zieht, ist unklar. Zudem haben die Virenspezialisten vereinzelte Verbindungen zu Domains beobachtet, die in Verbindung mit dem Botnet Waledac stehen. Auch Symantec hat ähnliche Beobachtungen gemacht. Eine vom Conficker heruntergeladene Datei (484528750.exe) soll den Bot Waledac enthalten haben. Bislang wollen sich aber weder Trend Micro noch Symantec näher zu der Verbindung von Conficker und Waledac äußern.

heise Security bietet eine zentrale Übersichtsseite mit den wichtigsten Informationen zum Windows-Wurm Conficker. Die Seite enthält Links zu Tests, die eine Infektion diagnostizieren können, darunter auch eine neue heise-Security-Seite mit einem noch weiter vereinfachten Test. Zudem finden Sie dort Links zu Reinigungstools und Netzwerk-Scannern. Ebenso findet sich dort eine Übersicht über die wichtigsten Heise-Meldungen zu Conficker, beginnend mit dem Microsoft-Patchday, an dem die von Conficker genutzte Sicherheitslücke erstmals bekannt wurde.
(c) Heise.de

Angriffe auswerten und weiterleiten

Dieser Artikel ist veraltet und wurde daher gelöscht.