Archive for Mai 2009

 
 

Botnetzprovider – unter neuer Subdomain zu erreichen

Ich habe mich entschlossen den Blog auf eine Subdomain zu legen.

http://blog.botnetzprovider.de

Ab sofort ist der Blog nur noch unter dieser Adresse zu erreichen.

MIT- Fastflux II. […]Gedanken von einem guten Kollegen

Um das Rad nicht nochmal zu erfinden hier
Gruß an grospolina 🙂

IRC Nachrichten verschlüsseln

Eine einfache Methode ist „Fish“, den ich auch ganz gene esse ^^

Programme die unterstützt werden:
mIRC/irssi/xChat

Die Installation kann auf der Webseite nachgelesen werden.

Die Funktionsweise ist einfach; es werden 2 Paar Schlüssel ausgetauscht mit Hilfe vom guten alten Diffie-Hellman.
Dannach kann man verschlüsselt kommunizieren.

Vorsicht: Der Schlüsselaustausch ist nicht 100% sicher gegen MITM-Angriff. Denkt an die IRCops :); immer schön SSL benutzen und die Keys auf anderem Wege austauschen. (SSH/Truecrypt) oder was auch immer.

torpig/mebroot drive-by downloads erkennen via (z)grep

Für alle die Ihren Webspace durchsuchen wollen nach bösartigen IFRAMES hier ein kleiner String:
Dieser String ist gut für die meisten verschlüsselten Torpig/Mebroot IFRAMES.
SSH Zugang wird natürlich vorausgesetzt.
Im root Verzeichnis ausführen.

$ (z)grep -Rl 'function .(.){r="";for(i=0;i<..length;i++){if(..charAt(i)=="."){..="%"}else{..=..cha' *

Natürlich keine Gewähr auf 100% Trefferquote, da es sich dabei um einen statistischen Link handelt. Ich habe aus 42 JavaScript IFRAMES dieses Pattern gebastelt. Grep oder zgrep müsst Ihr entscheiden, je nach Dateien.

KW 18+19 – Top 10 – RFI Patterns

/errors.php?error
//appserv/main.php?appserv_root
//include/admin.lib.inc.php?site_path
/appserv/main.php?appserv_root
//mcf.php?content
/index2.php?x
///?_SERVER[DOCUMENT_ROOT] /ktmlpro/includes/ktedit/toolbar.php?dirDepth
/?sourcedir
/s_loadenv.inc.php?DOCUMENT_ROOT