BotNetzProvider.de Ein Security Blog über Honig-Töpfe (honeypots) , Bots und Bitcoin

14Jul/091

Anti-Sec Hackergruppe

"Die öminöse Gruppe Anti-Sec macht weiter von sich Reden. Die von einigen Sicherheitsspezialisten für unverzichtbar gehaltene Politik der "Full Disclosure" bei Schwachstellen arbeite nur der Sicherheitsindustrie in die Arme, klagt die Gruppe im Rahmen ihres Hacks des US-Bildhosters Imageshack am vergangenen Wochende an. Die vollständige Offenlegung mit Veröffentlichung von Exploits diene nur dazu, Schreckenszenarien zu malen, um Leute zum Kauf einer Firewall, Antiviren-Software und der Beauftragung von Auditing-Dienstleitstungen zu bringen." (c) Heise.de

So weit spricht Heise davon, aber haben wir davon zu halten?

Die Jungs und Mädels von Anti-Sec versuchen mit allen Mitteln, sich in der Szene bekannt zu machen. Der Hack von Imageshark war sauber durchgeführt worden, doch was hat das ganze bezweckt?
Wollten Sie uns nur sagen: "Seht her, die Offenlegung von Exploits ist nicht der richtige Weg?"

Meiner Meinung nach, ist das der falsche Ansatz. Es wird so viel kriminelle Energien in diese Hacks gelegt, dass man dieses Talent lieber dafür verwenden sollte, das Internet sicherer zu machen.
Es ist wichtig, dass jeder die Möglichkeit hat, schnell und effektiv auf neu erkannte Sicherheitslücken zu reagieren.
Dazu ist es nun mal nötig Exploits und Sicherheitslücken gesammelt vor zu finden. Also können wir froh sein, das milw0rm wieder online ist.
Ich sehe es auch als problematisch an, dass es "Skript-Kiddies" leicht gemacht wird, Exploits schnell und effektiv anzuwenden.
Doch die komplette Einstellung der Offenlegung der Exploits kann ich nicht befürworten.

10Jul/091

Milw0rm.com ist wieder online

Update: 10.Juli.09 18:31 Milw0rm ist wieder online.

Leider müssen wir jetzt, auf eine gute und oft besuchte Webseite verzichten.

Milw0rm.com ist offline.

Grund für die Abschaltung?
Der Autor der Webseite hat geschrieben, dass er keine Zeit mehr für das Projekt hat und dass seine Exploits dadurch verzögert veröffentlicht werden, was nicht in seinem Sinne ist. (link)

Was für Alternativen haben wir jetzt?
Es bleibt uns immer noch "Packet Storm" , inklusive Twitter 🙂 u.a.

veröffentlicht unter: Allgemein 1 Kommentar
7Jul/090

Französischer ADSL Provider blocked Deutsche IP Ranges

... aus bestätigten Quellen habe ich erfahren, dass der französische ADSL Anbieter http://www.Free.fr ganze IP-Ranges aus Deutschland auf DNS Ebene blockt.

Arcor grüßt alle Franzosen 🙂

stopschild

Was kann man dagegen unternehmen?

Für alle Franzosen die doch gerne mal wieder auf deutschen Webseiten surfen wollen, empfehle ich:

Home

Die Franzosen mal wieder... unsere Lieblingsnachbarn.

16Jun/090

Botnetzprovider – RSS Feed – rennt wieder

Da ich nach der Umstellung auf die Subdomain "blog.botnetzprovider.de" war der RSS Feed kaputt, doch jetzt sollte alles wieder normal rennen. Gruß Mike

15Jun/090

KW 25 – Top 10 – RFI Patterns

/errors.php?error
//appserv/main.php?appserv_root
/?sourcedir
//include/admin.lib.inc.php?site_path
//phpAdsNew/view.inc.php?phpAds_path
//s_loadenv.inc.php?DOCUMENT_ROOT
//administrator/components/com_virtuemart/export.p...
/appserv/main.php?appserv_root
//contenido/includes/include.newsletter_jobs_subna...
/index2.php?x

15Jun/094

Hulu.com auch in Deutschland Part II

Viele haben mich angeschrieben und gefragt wie man hulu.com auch in Deutschland verwenden kann?
Dieser Artikel baut auf dem ersten Hulu.com Artikel auf.

  1. Schritt - server in den USA kaufen -
    Man benötigt einen vServer / dedicated Server in den USA, oder eine amerikanische IP-Adresse. Es gibt zahlreiche Anbieter in den USA, die es uns ermöglichen einen Root/vServer zu kaufen. Am besten ist es wenn man sich mit mehreren Personen zusammen einen Server kauft, so sinken auch die monatlichen Kosten.

  2. Schritt - ssh installieren - tsocks installieren -
    SSH - sollte standardmäßig installiert sein.

  3. Schritt - Tunnel aufbauen - vpn vs ssh -
    Natürlich kann man nun ein OpenVPN auf den Server installieren und dann den gesamten Traffic Tunneln. Ich werde mich aber ssh und tsocks widmen hier.
    Nachdem wir alles installiert haben bauen wir einen ssh-tunnel zum US-Server auf.
    $ ssh -p 22 -D 9999  user@us-server.tld
    ( " -p " gibt den Port an auf welchem der SSH Dienst läuft, -D 9999 ermöglicht die Portforwarding zum Server)

  4. Schritt - tsocks konfigurieren -
    Die standard Konfiguration von tsocks sollte reichen, aber wir müssen der Port noch ändern:
    $ vi(m) /etc/tsocks.conf
    Dort ändern wir den "server_port" auf den oben angegeben Port nach "-D 9999" in unserem Fall "9999"
    Auch die lokale Server IP sollte angepasst werden unter "server = DEINE IP, z.B. 127.0.0.1".

  5. Schritt - Firefox mit tsocks starten -
    Wichtig dabei ist immer den alle Firefox Fenster zu schließen, bevor man ihn mit tsocks öffnet.
    $ tsocks firefox

Jetzt werden sich einige fragen, warum nutzt er kein "FoxyProxy" ein Add-On von Firefox was auch Proxys unterstützt?
Es ist ganz einfach, die Flash Videos von hulu.com werden nicht über den Proxy abgefragt, so dass es dort immer zu einem Fehler kommen wird, da du noch eine deutsche IP hast

Wenn einer Lust hat mir zu schreiben wie es unter Windows geht, werde ich es auch mit veröffentlichen. Putty unterstütz das Portforwarding.

Update: http://www.heise.de/newsticker/meldung/Hulu-sperrt-VPN-Nutzer-aus-2177626.html

22Mai/092

Botnetzprovider – unter neuer Subdomain zu erreichen

Ich habe mich entschlossen den Blog auf eine Subdomain zu legen.

http://blog.botnetzprovider.de

Ab sofort ist der Blog nur noch unter dieser Adresse zu erreichen.

veröffentlicht unter: Allgemein 2 Kommentare
21Mai/092

MIT- Fastflux II. […]Gedanken von einem guten Kollegen

Um das Rad nicht nochmal zu erfinden hier
Gruß an grospolina 🙂

21Mai/090

IRC Nachrichten verschlüsseln

Eine einfache Methode ist "Fish", den ich auch ganz gene esse ^^

Programme die unterstützt werden:
mIRC/irssi/xChat

Die Installation kann auf der Webseite nachgelesen werden.

Die Funktionsweise ist einfach; es werden 2 Paar Schlüssel ausgetauscht mit Hilfe vom guten alten Diffie-Hellman.
Dannach kann man verschlüsselt kommunizieren.

Vorsicht: Der Schlüsselaustausch ist nicht 100% sicher gegen MITM-Angriff. Denkt an die IRCops :); immer schön SSL benutzen und die Keys auf anderem Wege austauschen. (SSH/Truecrypt) oder was auch immer.

13Mai/090

torpig/mebroot drive-by downloads erkennen via (z)grep

Für alle die Ihren Webspace durchsuchen wollen nach bösartigen IFRAMES hier ein kleiner String:
Dieser String ist gut für die meisten verschlüsselten Torpig/Mebroot IFRAMES.
SSH Zugang wird natürlich vorausgesetzt.
Im root Verzeichnis ausführen.

$ (z)grep -Rl 'function .(.){r="";for(i=0;i<..length;i++){if(..charAt(i)=="."){..="%"}else{..=..cha' *

Natürlich keine Gewähr auf 100% Trefferquote, da es sich dabei um einen statistischen Link handelt. Ich habe aus 42 JavaScript IFRAMES dieses Pattern gebastelt. Grep oder zgrep müsst Ihr entscheiden, je nach Dateien.

/* google like button API */