November 30th, 2009 §
Ein täglicher auf den ISC-Blog von SANS lohnt sich definitiv. Heute wurde auf dem ISC-Blog ein interessantes Skript, welches ein User auf einem Server gefunden hat, vorgestellt. Dieses Skript ermöglicht es über PHP eine verteile Bruteforce-Attake auf Wordpress-Blogs durchzuführen.
Das Skript bedient sich dazu der Möglichkeit unter PHP cURL zu nutzen.
cURL:
A free and easy-to-use client-side URL transfer library, supporting FTP, FTPS, HTTP, HTTPS, SCP, SFTP, TFTP, TELNET, DICT, FILE, LDAP and LDAPS. libcurl supports HTTPS certificates, HTTP POST, HTTP PUT, FTP uploading, kerberos, HTTP form based upload, proxies, cookies, user+password authentication, file transfer resume, http proxy tunneling and more.
Wikipedia
Es wurde nicht das komplette Skript veröffentlicht, sondern nur einige Code-Snippets. Wer das Skript haben möchte, sollte schnell anfangen zu programmieren 
Im ersten veröffentlichten Screenshot erkennt man eine Funktion, die 3 verschiedene Parameter erwartet. $ch ist dabei der Handle, der durch curl_init() erstellt wurde. Das ist im Ausschnitt nicht zu sehen. An diesen Handle werden nun alle erforderlichen Einstellungen angehängt und am Ende mittels curl_exec($ch) ausgeführt.
Parameter 2 und 3 ergeben sich logischerweise aus ihrem Namen.
Enthält die Antwort des Servers, also die zurückgelieferte Webseite, den Ausdruck “Log Out” war die Brute-Force Attacke erfolgreich. Das wird mittels
[...]
eregi(“Log Out”,$result)
[...]
überprüft.
Interessanter als die Nutzung von cURL in PHP ist die Möglichkeit, Seiten, die gecrackt werden sollen, in einer zentralen Instanz zu verwalten um verteiltes Cracken zu ermöglichen.
Zunächst holt sich das Skript aus einer zentralen MySQL-Datenbank 200 URLs, die gecrackt werden sollen und markiert diese in der Datenbank mit seiner persönlichen “colo_id”. Bricht das Skript nun aus irgendeinem Grund ab, holt sich das Skript die vorher markieren Einträge wieder aus der Datenbank und kann an der Stelle weitermachen, an der es abgebrochen wurde. Genau diesen Schritt stehen wir hier in diesem Screenshot:
Mittels “select url, site_type from site where colo_id=’$colo_id’” werden die Einträge aus der Datenbank geholt, an denen dieser “colo”, also dieses Skript, vorher gearbeitet hat.
Interessant ist auch die Möglichkeit, Passwortlisten zentral in einer Datenbank zu speichern und so allen Skripts zur Verfügung zu stellen.
Auf jeden Fall eine interessante und erwähnenswerte Idee, wie ich finde.
März 16th, 2009 §
In den letzten Tagen gab es einige Neuerungen im Blog. Vor allem gab es ein kleines Update der Blogsoftware und einiger Plugins. Das Update selbst hat eigentlich ziemlich problemlos funktioniert und sollte niemandem aufgefallen sein. So wie es halt sein muss
Für euch User haben sich im Grunde 2 Sachen geändert:
- Die Beiträge sind ab sofort über Permalinks ( http://www.it-blogger.net/kategorie/blogtitel) erreichbar. Das hat vor allem einen Vorteil: Google kann mit der URL mehr anfangen. Dass Google mit den alten Links (http://www.it-blogger.net?p=123) nichts anfangen kann war irgendwie klar.
- Unter den Beiträgen werden jetzt “Verwandte Artikel” eingeblendet. Finde das Feature auf anderen Blogs durchaus sinnvoll – deswegen hab ich es auch mal eingebunden!
In diesem Sinne: Einen schönen Abend!
März 11th, 2009 §
Die Bilder in den CeBit Artikeln…
[CeBit 2009] Der Besuch – Teil 1 / Vorträge
[CeBit 2009] Der Besuch – Teil 2 / Hardware
[Cebit 2009] Die neue Generation Netbooks
…sollten jetzt alle gehen. Es gab ein kleines s.g. Layer 8 Problem: Mich!
Viel Spaß mit den Bildern…
Februar 20th, 2009 §
Inzwischen ist Twitter vollständig in den Blog eingebunden. D.h. rechts im Menu wird ein Widget eingeblendet, welches die aktuellen Tweets anzeigt. Außerdem gibts nen Vogel der euch dazu verleiten soll mir im Twitter zu folgen ^^
Als Plugin habe ich die Twitter-Tools von Alex King genommen. Reichen (bisher) für meine Zwecke und man kann das Wichtigste einstellen. Es kann vor allem automatisch Tweets erstellen – d.h. ich muss das nicht manuell machen…
Außerdem gibts nen neuen Twitter-Button unter jedem Post. Ein Klick auf das gute Stück und ihr könnt den aktuellen Beitrag twittern!
Ich bin gespannt wie es läuft mit Twitter. Wenn jemand Vorschläge für Erweiterungen oder so hat kann er sich gerne bei mir melden
Februar 11th, 2009 §
Seit c.a. 1 Woche habe ich ein massives Kommentar-Spam-Problem. Nicht in allen Artikeln sondern nur bei einem einizgen. Wie dieser eine Artikel auf der Liste des Spam-Bots gelandet ist, weiß ich wirklich nicht. Jedenfalls hat dieser Spambot in einer Woche fast 100 Kommentare geschrieben. Das kommt manchen Bloggern mit Sicherheit wenig vor – im Vergleich zur Anzahl der Gesamtzahl der “echten” Kommentare sinds aber mehrere 100% Spam.
Momentan hab ich auch wirklich kein Bock ein Plugin zu installieren, was den Spam herausfiltert. Das bedeutet nur mehr Code auf dem Webserver… und mehr Code macht die Sache nur unsicherer.
Also als erste Reaktion habe ich den Spam-Bot (er kam ja immer nur von einer IP) per htaccess ausgesperrt:
deny from 194.8.74.155
Mein nächster Schritt war eine Mail an den Provider. Gut, also kurz nen whois angeworfen und folgendes Ergebnis bekommen:
inetnum: 194.8.74.0 – 194.8.75.255
netname: DRAGONARA-NET
descr: Dragonara Alliance Ltdcountry: GB
Schaut eigentlich nach einem seriösen Provider aus. Denkste. Erst hab ich mein Glück per ICQ versucht. Da wurde ich auf die abuse-Adresse verwiesen. Also kurz ne Mail hingeschickt mit der IP. Erstmal ohne access-log. Prompt kam ne Mail: Ohne access_log geht keine Abuse-Beschwerde. Also gut, Logs durchgekramt und inklusive Screenshot(!) hingeschickt. Das war Ende letzter Woche. Seitdem? Keine Reaktion. Nichts.
Mensch war ich naiv… ich dachte wirklich das interessiert nen Admin wenn einer seiner Server spammt. Ich würde jedenfalls nicht so ruhig bleiben…
Es scheint sich zudem um eine äußerst dumme Art des “spammius botus (lat.)” zu handeln. Das Ding versucht immernoch zu spammen – obwohl er inzwischen nur noch nen Access denied sieht.
Gestern kam es dann noch besser: 194.8.75.141 hat sich zu 194.8.74.155 gesellt.Tja zu zweit spammen macht wahrscheinlich mehr Spaß! 
Scheit als hätten wir es mit einem SPAM PROVIDER (dieser Backlink ist für Google) zu tun… schade. Also erstmal weiter über htaccess die IPs sperren. Irgendwann kommt dann vielleicht ein Plugin …
Januar 21st, 2009 §
Gestern kam hier der erste Spam-Kommentar vor. Was der Sinn dahinter ist, bleibt mir aber schleierhaft ^^
Normal will Spam ja Werbung machen. Hier ist das nicht der Fall.
Text:
SlAx8J <a href=”http://vewdufoosyni.com/” rel=”nofollow”>vewdufoosyni</a>, [url=http://dtfrwxzwzwnr.com/]dtfrwxzwzwnr[/url], [link=http://tjtnromvrwir.com/]tjtnromvrwir[/link], http://njufrthofosz.com/
URL:
http://vnxjwgjbihth.com/
E-Mail:
imsaiw@dabxec.com
Name:
epcktjmctgy
Im Kommentar sind inks zu Seiten die überhaupt nicht existieren. (Die URLs scheint mir eher aus einer Reihe Zufallsbuchstaben zu bestehen). Ebenso die angegebene Webseite und die E-Mail Adresse. Der Name ist auch völlig frei erfunden. Oder erkennt ihr im Namen epcktjmctgy einen Sinn?
Die IP kam aus der Türkei von einem ADSL-Anschluss.
Wahrscheinlich sollen die Kommentare einfach nur nerven. Warum jemand da seine wertvolle Zeit hineinsteckt verstehe ich absolut nicht… Naja was will man machen.
Die Pingzeiten zu der IP war übrigens miserabel. Teilweise war sogar die IP überhaupt nicht erreichbar. Wahrscheinlich war der PC grade a feste am Spams verschicken oder Kommentare posten