BotNetzProvider.de Ein Security Blog über Honig-Töpfe (honeypots) , Bots und Bitcoin

17Mai/103

IRC-Botnetz Monitoring

Ich habe meine Domain botnetzprovider.de wieder reaktiviert und schreibe nun dort ausführlich über IRC-Botnetz Monitoring.

Mein neuer Freund hat heute, so gegen 14Uhr angefangen, massiv im Internet zu scannen nach RFI (remote files inclusion) Lücken.
Dies ist natürlich nicht unentdeckt geblieben und meine Honeypots haben eine hohe Aktivität gezeigt.
Hier ein kleiner Ausschnitt aus meinen Honeypot logs:

[HIER ZUM WEITERLESEN]

Update: Bin ich davon auch betroffen? - live monitoring der IRC-c&c Server

Mit dem Namenarray des Bots abgeglichene und formatierte IP/Host Liste: HIER downloaden

veröffentlicht unter: Allgemein, Botnetz, Bots, Honeypot 3 Kommentare
11Mai/100

SSH-Angriffe mit Fail2Ban stoppen und melden – blocklist.de

Wer mit Fail2Ban z.B. SSH-Angriffe oder Einbruchsversuche via SMTP, FTP
oder über den Apache überwacht und automatisch sperren lässt, kann mit
dem Projekt von http://www.blocklist.de die Angreifer automatisiert den zuständigen Provider melden, damit diese die infizierten PC's/Server
überprüfen, bzw. den Kunden darüber in Kenntnis setzten.

Im Vergleich zu dem direkten Reporting von Fail2Ban, sendet blocklist.de
nur alle 24 Stunden bei erneuten Angriffen ein Report, wodurch die
Abuse-Departments nicht alle paar Minuten einen Report erhalten (was
sehr nerven kann). Die Abuse-Departments können die Reports zudem für
mehrere Tage aussetzten lassen, falls diese z.B. für die Bereinigung
mehr Zeit benötigen.

Als registrierter User, sieht man über seine Server eigene Statistiken
oder kann sich mit den anderen Servern vergleichen und auch die
IP-Adressen der Angreifer für eigene Firewalls der letzten 24 Stunden
herunter laden.
Die Reports werden in X-ARF (http://www.x-arf.org/) generiert, wodurch
die Reports automatisiert verarbeitet und einfach erweitert werden können.
Die Bounce-Mails werden automatisch ausgewertet und so veraltete
Abuse-Adressen angepasst oder auf Wunsch gegen bessere Adressen ersetzt.

Die Beispiel-Konfiguration
(http://www.blocklist.de/downloads/fail2ban.config.tar.gz) muss auf den
gängigsten Systemen nur in der jail.conf bei der Absender-Adresse von
"fail2ban@DEINE-DOMAIN" durch die eigene Absender-Adresse angepasst
werden und dann kann man den Server hinzufügen und reporten oder die Reports
weiterleiten.

veröffentlicht unter: Allgemein, Honeypot keine Kommentare
13Apr/100

googlesearchfoo.com

Ein neues kleines Projekt ist geboren:

googlesearchfoo.com

Wie ihr ja alle wisst, findet man bei Google alles mögliche, daher lohnt es sich mal vorbei zu schauen.
Auf der Webseite veröffentlichen wir alles abstruse und kuriose, dass wir bei Google mit einem Suchbegriff finden.

18Feb/104

Wir schreiben das Jahr 1984

"Keine einzige Partei im Bundestag will es, trotzdem wird es jetzt bald in Kraft treten: " (Zitat Spiegel Online)

1&1 schreibt zurecht: "Auferstanden aus Ruinen...."

Falls jemand Lust sich diesen Artikel mit etwas Musik zu versüßen hier ein kleiner Tipp von mir: [klick hier]

Es ist nun doch so weit, am Mittwoch den 17.Feb. 2010 wurde das Zugangserschwerungsgesetz vom Bundespräsidenten Köhler unterschrieben. Wir können uns auf dunkle Zeiten gefasst machen voll Zensur und Überwachung. Daher habe ich auch den Titel gewählt. [Info zum Titel]

Was kann nun passieren?
Zunächst einmal werden die Provider die Techniken dafür umsetzen müssen, Webseiten sperren zu können. Sollte dies implementiert worden sein, werden diese von Seiten des Staates eine Liste erhalten, welche Webseiten "gesperrt" werden sollen. Es wird den Zugriff aus die Webseite komplett blockieren indem man einfach ein "Stoppschild" einblendet und das weiter surfen verbietet. Dies soll uns vor gefährlichen Webseiten schützen, die z.B. Kinderpornographische Inhalte verbreiten.

Wer entscheidet welche Webseiten auf den Index kommen?
Das BKA wird diese Liste erstellen und an die einzelnen Provider (ISPs) verteilen. Ich hoffe sehr, dass das Übertragungsverfahren über einen sicheren Kanal läuft und die Liste nicht irgendwann auf Wikileaks oder ein BKA Beamter via Motorrad-Kurier den USB Stick vorbei bringt.

Was bringt die Zukunft?
Wir schreiben das Jahr 1984 und es ist düster. Das war der erste Schritt in die falsche Richtung. Wenn das BKA die Listen verwaltet, wer garantiert das dort nicht meine Seite drauf landet oder deine Webseite. Wer schaut dem BKA auf die Finger, dass diese Zensur nicht zu politischen oder wirtschaftlichen Zwecken ausgenutzt wird?

Wie kann ich sichergehen, dass ich unzensiert im Internet surfen kann?
Ich denke, alle die sich nur ein wenig mit dem Aufbau des Internets beschäftigt haben, stellen sich diese Frage erst gar nicht.
Aber ich werde trotzdem auf diese Frage etwas näher eingehen. Die Zensur wird sich höchstwahrscheinlich auf die vom Provider vorgegeben DNS Server auswirken. Das heißt, sollte man den DNS Server vom eigenen Provider nutzen, ist man der Zensur unterlegen.
Zwischenfrage: Deutscher Staat vs. Google INC.
Google hat es natürlich mal wieder geschickt gemacht, einen öffentlichen DNS Server zur Verfügung zu stellen. Die IP des Google DNS Servers ist: "8.8.8.8" (diese IP ist einfach zu merken)
An alle Experten: "Ich weiss, es ist möglich einen eigenen DNS Server aufzusetzen und/oder einen ausländischen zu nutzen.
Doch ich empfehle aus Bequemlichkeit den Google DNS Server, dieser ist in nur ein paar Klicks installiert für erfahrene PC Benutzer.

*** NEUHEIT *** FreeUrsula *** NEUHEIT ***
Alle die diesen DNS Server nicht selbstständig eintragen können, nicht die Flinte ins Korn werfen, habt Geduld.
Ich werde in den nächsten Wochen ein Tool (FreeUrsula) für Windows veröffentlichen, das dies automatisch macht. Eine einfache Installationsroutine führt einen durch den FreeUrsula Installationsprozess des DNS Servers. Am Ende erhält man eine Statusanzeige in der Windows Taskbar, die entweder Grün für "ich surfe ohne Zensur im Internet" oder rot "ich surfe mit Zensur im Internet" leuchtet. Durch einen einfachen Klick auf die Statusanzeige kann man von dem "zensierten Internet" in den "unzensierten Internet" Modus umschalten.
Der Name des Programms ist noch nicht definitiv festgelegt, vielleicht kommen ja ein paar gute Zusendungen von Euch 🙂

So viel für Heute.

Hier noch ein paar Musikalische Meisterwerke
[Lied]
--
thx for the phish

17Dez/090

[Honeystats.info] update

Wie ich gerade gelesen habe schreibt auch 1&1 über den "Htaccess Generator" von Honeystats.info

Hier nochmal mein Artikel zum Nachlesen: Hier

veröffentlicht unter: Allgemein keine Kommentare
25Nov/092

Botnetzbetreiber von BKA hochgenommen

Wir ich heute bei heise.de gelesen habe ist wieder ein deutscher Botnetzbetreiber geschnappt worden.
Die Razzia wurde nach einer einjährigen Observation eines deutschsprachigen Forums durchgeführt. Betroffen waren fast 50 Wohnungen in Deutschland und Österreich.
Das wars mit der "Elite Crew 1337" 🙂
Und so was schimpft sich echt noch "Elite". Jetzt helfen euch auch nicht mehr eure billigen Proxy.

veröffentlicht unter: Allgemein 2 Kommentare
29Okt/091

Conficker größte Bedrohung im Netz

Heute Nachmittag wurde von GMX und WEB.DE ein Artikel herausgegeben der besagt:

Conficker sei laut Experten die momentan größte Gefahr im Internet.

Was tut Conficker?

Nun im Moment tut der Wurm nichts weiter, als immer neue PCs zu infizieren. Wer hinter diesem Wurm steckt und wann er aktiv wird, das weiß allein der Programmierer des Wurms, der zum Leitwesen der Behörden auch weiterhin unbekannt ist.

Bisher schlummert Conficker in den Rechnersystemen und keiner weiß was passieren wird wenn der Wurm aktiv wird. Tatsache ist, dass der Wurm auch kein halt vor Behörden wie „Royal Navy, Bundeswehr oder Krankenhäusern.“ macht.

Was kann man gegen Conficker unternehmen?

Man findet ab heute, einen kostenlosen sofort Test für den Conficker-Wurm unter den Adressen:

http://scan.web.de
http://scan.gmx.de

Um einen Wiederbefall zu vermeiden, helfen die üblichen Maßnahmen. Das heißt, sein Anti-Viren-Programm immer auf den neuesten stand halten und regelmäßig einen kompletten Systemcheck durchführen. Auch gratis Anti-Viren-Programme können in der Regel Conficker inzwischen erkennen und beseitigen.

quellen:
http://de.wikipedia.org/wiki/Conficker
http://presse.web.de/de/unternehmen/presse/pressemitteilungen/9210902.html

veröffentlicht unter: Allgemein 1 Kommentar
20Okt/090

DSL Honeypot goes Botnetzprovider.de

Ich setze nun die Reihe fort mit den Berichten über meine HoneyPots.

Heute geht es um den DSL HoneyPot.
Ich habe mich gegen "nepenthes" entschieden, da ich einen anderen Weg einschlagen möchte.

Daher verwende ich einen HoneyPot, der es auch zulässt unbekannte Angriffe mit zu protokollieren und auszuwerten.

In der HoneyPot-Szene sollte "honeytrap" bekannt sein. Er zeichnet sich vor allem durch seine verschiedenen Einsatzmöglichkeiten aus.
Er ermöglicht es seinem Betreiber unbekannte Angriffe zu sammeln und auszuwerten. HoneyTrap emuliert verschiedene Dienste auf diversen Ports. Das schöne dabei ist, man kann dem Honeypot selber "response" einpflegen, die er zurück gibt, wenn der jeweilige Port angesprochen wird.

Doch das kann " "nepenthes"" auch, warum sollte man dann "honeytrap" verwenden?

Mir geht es um die undokumentierten Angriffe die "honeytrap" mit protokolliert. Gestern sind wieder verschiedenste Angriffe auf Ports jenseits von Port 1000 bei mir ein getrudelt.
Durch eine Echtzeit IRC Protokollierung, kann ich schon frühzeitige Angriffswellen erkennen und versuchen mehr über die Art des Angriffes in erfahrung zu bringen.

Des weiteren kann man, bei einer solchen Angriffswelle, gerne mal die "response" ändern und beobachten wie der Angreifer darauf reagiert.

Hier mal ein kleiner Logauszug von gestern:
Okt 20 02:59:15 [2009-10-20 02:58:22] 1433/tcp Connection from 219.148.108.143:3474 accepted.
Okt 20 02:59:17 [2009-10-20 02:58:25] * 1433/tcp 349 bytes attack string from 219.148.108.143:3474.
Okt 20 02:59:19 [2009-10-20 02:58:25] 1433/tcp Connection from 219.148.108.143:4080 accepted.
Okt 20 02:59:21 [2009-10-20 02:58:28] * 1433/tcp 349 bytes attack string from 219.148.108.143:4080.

Das wars zu dem DSL "honeytrap", ich werde euch auf dem laufenden halten, was meine HoneyPot Serie angeht.

veröffentlicht unter: Allgemein keine Kommentare
15Sep/090

KW 38 – Top 10 – RFI Patterns

//administrator/components/com_pollxt/conf.pollxt.php?mosConfig_absolute
/?sourcedir
/errors.php?error
/includes/functions_install.php//modules/vwar/admin/admin.php?vwar_root
//program/modules/mods_full/shopping_cart/includes/login.php?_SESSION%5Bdocroot_path%5D
//errors.php?error
/images/evil.php?
/index.php?body
/administrator/components/com_virtuemart/export.php?mosConfig_absolute_path
/enc/content.php?Home_Path

veröffentlicht unter: Allgemein keine Kommentare
7Sep/090

GreeSec.de IT Security

UPDATE: Die Firma GreeSec wurde leider aufgelöst

Nun ist es entlich soweit, die Firma steht.

Nach langem hin und her haben wir am 17.August.2009 die Firma GreeSec GbR (GreeSec.de) gegründet.

Wir nutzen unser HoneyPot System um Angriffe auszuwerten und zu analysieren. Nach einer gründlichen Analyse werden die Betreiber / Owner der jeweiligen Server / Systeme angeschrieben.

Sollten die Besitzer der Server / Systeme sich um das Problem nicht selber kümmern können, übernehmen wir gerne die Absicherung der Systeme.

Diesen Service bieten wir z.Z. an:
* Security Consulting
* Langfristige Wartung Ihrer Systeme
* Angriffsanalysen
* Bedrohungsanalysen
* Sicherheitsüberprüfung Ihrer Systeme
* Schnelle Hilfe bei akuten Sicherheitsproblemen

Besuchen Sie uns auf unsere Home Page unter GreeSec.de

veröffentlicht unter: Allgemein keine Kommentare
/* google like button API */