Archive for Juni 2009

 
 

Botnetzprovider – RSS Feed – rennt wieder

Da ich nach der Umstellung auf die Subdomain „blog.botnetzprovider.de“ war der RSS Feed kaputt, doch jetzt sollte alles wieder normal rennen. Gruß Mike

KW 25 – Top 10 – RFI Patterns

/errors.php?error
//appserv/main.php?appserv_root
/?sourcedir
//include/admin.lib.inc.php?site_path
//phpAdsNew/view.inc.php?phpAds_path
//s_loadenv.inc.php?DOCUMENT_ROOT
//administrator/components/com_virtuemart/export.p…
/appserv/main.php?appserv_root
//contenido/includes/include.newsletter_jobs_subna…
/index2.php?x

Hulu.com auch in Deutschland Part II

Viele haben mich angeschrieben und gefragt wie man hulu.com auch in Deutschland verwenden kann?
Dieser Artikel baut auf dem ersten Hulu.com Artikel auf.

  1. Schritt – server in den USA kaufen –
    Man benötigt einen vServer / dedicated Server in den USA, oder eine amerikanische IP-Adresse. Es gibt zahlreiche Anbieter in den USA, die es uns ermöglichen einen Root/vServer zu kaufen. Am besten ist es wenn man sich mit mehreren Personen zusammen einen Server kauft, so sinken auch die monatlichen Kosten.

  2. Schritt – ssh installieren – tsocks installieren –
    SSH – sollte standardmäßig installiert sein.

  3. Schritt – Tunnel aufbauen – vpn vs ssh –
    Natürlich kann man nun ein OpenVPN auf den Server installieren und dann den gesamten Traffic Tunneln. Ich werde mich aber ssh und tsocks widmen hier.
    Nachdem wir alles installiert haben bauen wir einen ssh-tunnel zum US-Server auf.
    $ ssh -p 22 -D 9999  user@us-server.tld
    ( “ -p “ gibt den Port an auf welchem der SSH Dienst läuft, -D 9999 ermöglicht die Portforwarding zum Server)

  4. Schritt – tsocks konfigurieren –
    Die standard Konfiguration von tsocks sollte reichen, aber wir müssen der Port noch ändern:
    $ vi(m) /etc/tsocks.conf
    Dort ändern wir den „server_port“ auf den oben angegeben Port nach „-D 9999“ in unserem Fall „9999“
    Auch die lokale Server IP sollte angepasst werden unter „server = DEINE IP, z.B. 127.0.0.1“.

  5. Schritt – Firefox mit tsocks starten –
    Wichtig dabei ist immer den alle Firefox Fenster zu schließen, bevor man ihn mit tsocks öffnet.
    $ tsocks firefox

Jetzt werden sich einige fragen, warum nutzt er kein „FoxyProxy“ ein Add-On von Firefox was auch Proxys unterstützt?
Es ist ganz einfach, die Flash Videos von hulu.com werden nicht über den Proxy abgefragt, so dass es dort immer zu einem Fehler kommen wird, da du noch eine deutsche IP hast

Wenn einer Lust hat mir zu schreiben wie es unter Windows geht, werde ich es auch mit veröffentlichen. Putty unterstütz das Portforwarding.

Update: http://www.heise.de/newsticker/meldung/Hulu-sperrt-VPN-Nutzer-aus-2177626.html

Glastopf version 0.2.0 released

Wie ich gerade erfahren habe, ist eine neue Version von GlasTopf erschienen.

Hier kurz ein paar Informationen dazu:

Folgende neue Module wurden implementiert:

Twitter Modul: Wie schon berichtet verwende ich eine Schnittstelle zu Twitter um aktuelle Statistiken aus der Datenbank zu “tweeten”. Das Modul ist noch sehr statisch, aber das Prinzip steht und wird nun kontinuierlich erweitert. Aktuelle Zahlen aus der zentralen Datenbank können hier abonniert werden.

IRC Modul: Quasi identisch zum Twitter Modul, mit dem Unterschied, dass man hier die Daten direkt abrufen kann. Das Modul formt aus der Anfrage ein MySQL Query und Antwortet mit dem Ergebnis. Dies bedeutet, wir haben keine endlosen Zeilen mit einzelnen Log Einträgen, sondern klar definierte Anfragen mit kompakten Antworten.

LFI Handler: Irgendwann ist er verschwunden und hiermit hauch ich ihm neues Leben ein. Glastopf ist nun wieder in der Lage Locale File Inclusions zu behandeln. Ich erhoffe mir dadurch Zahlen um die Häufigkeit der unterschiedlichen Angriffsmethoden vergleichen zu können. Des Weiteren möchte ich nach Remote Code Execution (RCE) Angriffen Ausschau halten. Hierfür ist die Emulation von LFIs unerlässlich.

Splash Modul: Endlich ein schöner Output beim Starten des Glastopfs!

Änderungen an bestehenden Modulen:

DynDork Modul: Bisher wurde die dynamische Dork Liste live bei jeder Abfrage durch eine Suchmaschine generiert. Dies kann 1. zu Timeouts und 2. zu einer steigenden Belastung der Datenbank führen. Um dies zu umgehen, kann die Dork Liste nun in definierten Zeitabständen generiert werden.

Unter anderem habe ich mich an die Säuberung des Codes gemacht. Ich bin jedoch mit den Zeilenumbrüchen noch nicht ganz glücklich, mal sehen ob sich da noch was ändert.

Hacker schlagen zurück gegen Honeypots

Wir mussten mit Erschrecken feststellen, wie schnell die Hacker auf neue Honeypots reagieren können.

Was ist passiert?
Wir haben einen modifizierten „pbot“ abgefangen, welcher normalerweise als RFI genutzt wird.

Was hat sich geändert?
Prinzipiell ist der Aufbau des „pbot“ immer noch gleich/ähnlich geblieben, doch es wurde eine neue Funktion eingeführt. Diese neue Funktion erlaubt es dem Hacker gewisse Domains aus dem zu scannenden Bereich zu filtern.

Wie haben die Hacker das umgesetzt?
—code snip—
// hier werden die zu „sperrenden“ Domains eingetragen
$ignorelist = array(
'av.rds.yahoo.com/',
'xxxtz.com',
'xxxst.de',
'xxxy.com',
);

—snap—

// hier wird während des Scannens die Liste abgefragt
—-code snip—
foreach ($ignorelist as $v) {
if(substr_count($pesanlo,strtolower($v)) > 0) {

—snap—

Wie kann man ein Blacklisting verhindern?

Zunächst ist es wichtig die eingefangenen „pbot“ automatisch zu analysieren. Dadurch kann festgestellt werden, ob und in welcher Weise die Hacker die Domains blacklisten.
Wie wir feststellen konnten, blocken die Hacker nur auf Domain-Ebene, d.h. wir können einfach neue Domains in Umlauf bringen ohne gleich eine neue IP Adresse benutzen zu müssen. Leider bedeutet das auch im Umkehrschluss, dass wir wieder viel Zeit investieren müssen um die Domains bekannt zu machen. Indem wir unsere Honeypots den aktuellen Gegebenheiten anpassen, reagieren auch wir auf die von Hackern herbeigeführten Veränderungen.

Was bedeutet das für die Zukunft der Honeypots?

Wir deuten es als ein gutes Zeichen, dass die Hacker sich mit unserem Topf beschäftigen. Dies zeigt uns, dass sie unseren Honeypot als Bedrohung sehen, da sie viel Zeit investieren mussten um unser Netz zu analysieren.
In Zukunft wird es wichtig sein, ein großes und schnelll wachsendes Honey-Netz aufzubauen, um den Hackern nur einen kleinen Ausschnitt offen legen zu müssen. Somit sollten auch kleinere Rückschläge professionell und schnell gelöst werden können.  An alle Honeypot Betreiber, lasst euch davon nicht verärgern, sondern seht es als Herausforderung an weiter zu machen.
Wir werden auch nicht aufgeben …