blog.grospolina.net - botnet

NPD Nordhausen hacked

nospam@example.com (katsumi) — Mon, 24 Aug 2009 19:08:04 +0200

Webpräsenz des Kreisverbandes Nordhausen der NPD von Indonesiern übernommen

Für die Serie "gehackte Parteienhomepages" hat sich erfolgreich die NPD beworben.
Ein bösliches Individuum namens "Anggun Pradesi" aus Indonesien benutzt derzeit
die Homepage der NPD Nordhausen als Verteiler für bots.
Nachdem ich ja schon die FDP und die SPD zwischen hatte,
muss ich, weil ich ja unpolitisch bin, natürlich auch über diesen Fund auf unseren honeypots berichten.
Freundlicherweise können wir uns den Index anzeigen lassen.

playmobile$ wget http://www.npd-nordhausen.de/files//redaxo/
--20:02:12--  http://www.npd-nordhausen.de/files//redaxo/
           => `index.html'
Resolving www.npd-nordhausen.de... 83.243.58.156
Connecting to www.npd-nordhausen.de|83.243.58.156|:80... connected.
HTTP request sent, awaiting response... 200 OK
Length: 543 [text/html]
CODE:
playmobile$ cat index.html
....
<h1>Index of /files//redaxo</h1>
<ul><li><a href="http://blog.grospolina.net/files//"> Parent Directory</a></li>
<li><a href="ade.txt"> ade.txt</a></li>
<li><a href="admin/"> admin/</a></li>
<li><a href="idade1.txt"> idade1.txt</a></li>
<li><a href="idade2.txt"> idade2.txt</a></li>
<li><a href="includes/"> includes/</a></li>
<li><a href="index.txt"> index.txt</a></li>
<li><a href="topmenu.php"> topmenu.php</a></li>
....
playmobile$ wget http://www.npd-nordhausen.de/files//redaxo/index.txt
--18:54:28--  http://www.npd-nordhausen.de/files//redaxo/index.txt
           => `index.txt'
Resolving www.npd-nordhausen.de... 83.243.58.156
Connecting to www.npd-nordhausen.de|83.243.58.156|:80... connected.
HTTP request sent, awaiting response... 200 OK
Length: 4,558 (4.5K) [text/plain]

playmobile$ wget http://www.npd-nordhausen.de/files//redaxo/ade.txt
--18:52:56--  http://www.npd-nordhausen.de/files//redaxo/ade.txt
           => `ade.txt'
Resolving www.npd-nordhausen.de... 83.243.58.156
Connecting to www.npd-nordhausen.de|83.243.58.156|:80... connected.
HTTP request sent, awaiting response... 200 OK
Length: 53,181 (52K) [text/plain]

playmobile$ wget http://www.npd-nordhausen.de/files//redaxo/idade1.txt
--18:53:40--  http://www.npd-nordhausen.de/files//redaxo/idade1.txt
           => `idade1.txt'
Resolving www.npd-nordhausen.de... 83.243.58.156
Connecting to www.npd-nordhausen.de|83.243.58.156|:80... connected.
HTTP request sent, awaiting response... 200 OK
Length: 75 [text/plain]

playmobile$ wget http://www.npd-nordhausen.de/files//redaxo/idade2.txt
--18:53:47--  http://www.npd-nordhausen.de/files//redaxo/idade2.txt
           => `idade2.txt'
Resolving www.npd-nordhausen.de... 83.243.58.156
Connecting to www.npd-nordhausen.de|83.243.58.156|:80... connected.
HTTP request sent, awaiting response... 200 OK
Length: 2,160 (2.1K) [text/plain]

Continue reading "NPD Nordhausen hacked"

Mehr FastFlux Graphiken

nospam@example.com (katsumi) — Wed, 10 Jun 2009 09:35:14 +0200

Ich will euch hier mal einen kleinen Nachtrag bezüglich FastFlux in Form von ein paar Graphiken,
die ich von robtex.com "ausgeschnitten" habe, bieten.
Ich lasse diese mal unkommentiert:

loveliveportal.com shared

18.82.8.163 shared

Alle Graphiken sind nur Momentaufnahmen.
Ich hoffe ihr findet diese interessant!

Continue reading "Mehr FastFlux Graphiken"

MIT FastFlux Botnetz #2

nospam@example.com (katsumi) — Thu, 23 Apr 2009 14:10:17 +0200

Eigentlich wollte ich ja nur noch mal sagen, wirres hin oder her,
also ... ich wollte euch zeigen, dass die Sache mit dem Cambridge MIT FastFlux real ist.
Dann hab ich die Seite nimmer gefunden, wo zwei malware files dieser genannten IP zugeordnet werden.
Stattdessen hab ich das hier an der shell eingetippt:

[play@mobile]# dig blogginhell.com
; <<>> DiG 9.2.4 <<>> blogginhell.com
;; global options:  printcmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 2589
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 0

;; QUESTION SECTION:
;blogginhell.com.               IN      A

;; ANSWER SECTION:
blogginhell.com.        0       IN      A       18.58.7.93

[play@mobile]# whois 18.58.7.93
[Querying whois.arin.net]
[whois.arin.net]

OrgName:    Massachusetts Institute of Technology
OrgID:      MIT-2
Address:    Room W92-190
Address:    77 Massachusetts Avenue
City:       Cambridge
StateProv:  MA
PostalCode: 02139-4307
Country:    US

Ahhh... nun fällt es mir wieder ein! :)
Eine sehr schöne Seite ist die von dnsl.abuse.ch
Dort lässt sich einfach nach dem AS3 benannten autonomen System suchen.
Mit einem FastFlux Tracker für AS3.
Nun weiss ich auch woher das MIT so genau Bescheid weiss :p

Conficker_Hype - nächster Teil (#2)

nospam@example.com (katsumi) — Fri, 10 Apr 2009 14:12:56 +0200

Teil2:
Fortsetzung von: http://blog.grospolina.net/archives/43-Conficker_Hype-naechster-Teil-1.html
Robtex kann tolle Grafiken machen.
...inwieweit man den Grafiken und den Daten allgemein vertrauen kann, sei einmal dahingestellt.
Ich hab mir abgewöhnt weiter mails an solche Leute zu schreiben, ein Hinweis sollte reichen,
wie sich die Einträge in der robtex db durch nicht RFC konforme Nameserver beeinflussen lassen.
Nun aber die Bildchen:

Cambridge FastFlux1

Dort wollten wir aber gar nicht hin? Wir wollten doch über...
Wiedem auch sei, das hier ist eine ebenfalls schicke Grafik eines Knoten im Netzes:
wapcity

Insgesamt sieht das Netz dort sehr fein aus, da muss man mit der Zunge schnalzen ;)
Aber im allgemeinen kann ich nicht verstehen, warum 6 Nameserver benutzt werden.
Der freundliche Herr Euler sagt, wenn wir stattdessen nur 5 benutzen,
würden wir keine Pfade mehr haben, die ins Leere laufen.
Sofern praktisch alle benutzten IPs miteinander Brücken bauen mit Hilfe dieser lustigen NS-Rekursion,
in derer immer 6 neue Nameserver in der Zone sind, wobei das parent in der Delegation vermisst wird,
ich meine ich bin ja kein Mathematiker, aber ich halte das für einen Schwachpunkt dieses Netzes.
UND? Was ist jetzt passiert?
Ich schreib hier wirres Zeug über Königsberg und habe dabei vergessen,
was hier in der Überschrift steht.
Die lachen sich währenddessen mit Sicherheit kaputt über die Experten.
Alle forschen fleissig.
Leute, das ist business, die ganze Struktur ist nicht nur einem genialen Kopf entsprungen,
der mit Sicherheit viel Geld dafür kassiert hat, sondern vielen, die sich mehr oder weniger kennen, vielleicht gar nicht.
Wenn die Experten sich Personen hinter den Zweigen dessen, was sie als Verzweigung vermuten, vorstellen könnten,
dann könnten sich diese eventuell irgendwann mal ein Bild davon machen.
Wenn auch nur IHR Bild.
Ausserdem kann solch ein Projekt durchaus durch Eigendynamik beeinflusst werden,
und wenn ich selber nicht sagen kann, warum das nun so funktioniert hat,
aber wenn ich mich an gewisse Regeln und Vorgehensweisen halte,
wodurch dies reproduzierbar bleibt, und die Experten immer nur analysieren, was sie bekommen,
dann brauche ich mir niemals Sorgen zu machen, dass die "Experten der Analyse" auch jemals eine Struktur nur erahnen könnten.

und deshalb sagt kat:
Abschalten ;)

Conficker_Hype - nächster Teil (#1)

nospam@example.com (katsumi) — Fri, 10 Apr 2009 10:53:00 +0200

Tja, da gehen die sog. Experten hin und registrieren sich domains die der Conficker-Wurm anlegen wird,
um ein Update zu Verhindern, was ja eh aussichtlos erscheinen musste,
und dann geht der sucker hin und macht etwas vollkommen anderes.
Jede noch so falsche Information wird in diesen hype verwertet.
Bei den AVs, in den weblogs und .. überall.
Hat sich denn jemand mal die Mühe gemacht das gegenzuprüfen?
Nein? ...und der Rest der schreibenden Zunft macht was?
Abschreiben?
Nehmen wir einmal den Artikel auf Heise Security:
http://www.heise.de/security/Conficker-Wurm-laedt-jetzt-doch-nach--/news/meldung/136005
Dort beginnt es so: "Nach Angaben von..."
und das der Wurm aus Korea nachgeladen hat.
Dort wird verwiesen auf http://blog.trendmicro.com/downadconficker-watch-new-variant-in-the-mix/
und
http://countermeasures.trendmicro.eu/new-downadconficker-variant-spreading-over-p2p/
Aha.
Was lesen wir da?
Oh, unser sucker lädt auch eine Datei namens "fuck4.exe" von goodnewsdigital.com ?
Die erste Ip die mir angeboten wurde war tatsächlich in Korea beherbergt.
Mir ist aber auch gelungen, das "Massachusets Institut of Technology" damit in Verbindung zu bringen.
Wie das kann?

Continue reading "Conficker_Hype - nächster Teil (#1)"