Grazie a un amico(s3rg3770) ho definitivamente scoperto come sono entrati sul mio sito.
Nuovi dettagli dopo il fix per evitare lamer :)
[ubuntu/linux]PSAD: Individuare Port Scanner :)
aprile 12th, 2010 by clshack
Breve introduzione da wiki :D :
Il Port Scanning è una tecnica informatica utlizzata per raccogliere informazioni su un computer connesso ad una rete stabilendo quali porte siano in ascolto su una macchina.
Letteralmente significa “scansione delle porte” e consiste nell’inviare richieste di connessione al computer bersaglio (soprattutto pacchetti TCP, UDP e ICMP creati ad arte): elaborando le risposte è possibile stabilire (anche con precisione) quali servizi di rete siano attivi su quel computer. Una porta si dice “in ascolto” (“listening”) o “aperta” quando vi è un servizio o programma che la usa.
Il risultato della scansione di una porta rientra solitamente in una delle seguenti categorie:
aperta (accepted): l’host ha inviato una risposta indicando che un servizio è in ascolto su quella porta
chiusa (denied): l’host ha inviato una risposta indicando che le connessioni alla porta saranno rifiutate (ICMP port-unreachable).
bloccata/filtrata (dropped/filtered): non c’è stata alcuna risposta dall’host, quindi è probabile la presenza di un firewall o di un ostacolo di rete in grado di bloccare l’accesso alla porta impedendo di individuarne lo stato.
Il Port Scanning rivela informazioni dettagliate che potrebbero essere usate da un eventuale attaccante per preparare facilmente una tecnica mirata a minare la sicurezza del sistema, pertanto viene posta molta attenzione dagli amministratori a come e quando vengono effettuati port scan verso i computer della loro rete.
Un buon amministratore di sistema sa che un firewall ben configurato permette alle macchine di svolgere tutti i loro compiti, ma rende difficile (se non impossibile) la scansione delle porte, ad esempio implementando meccanismi di accesso selettivo basati sul port knocking.
Alcuni dei programmi che permettono di effettuare diversi tipi di port scan sono Nmap e hping.
Ho evidenziato la parte più importante :D
Ubuntu, è ormai la distribuzione linux più usata per la sua semplicità e potenza => debian based :D
Perciò sempre più spesso si formano web server casalinghi con ubuntu server.
More…
[ddos attack]Siege,rendere spiacevole la giornata di un SysAdmin
aprile 12th, 2010 by Phosphore
È una delle tecniche di attacco più vecchie e allo stesso tempo più efficaci per far cadere un sito web:Il “Distributed Denial of Service Attacks” ovvero il DDOS.
Passano gli anni ma la sua forza non conosce ostacoli anzi, grazie allo sviluppo delle botte, si è addirittura rafforzato.
ClsHack ne aveva parlato diverse volte, nominando slowloris, ma ora vi spiegherò nel dettaglio come funziona…
More…
PyLoris 3.0: for testing a Denial of Service (DoS) attack
aprile 10th, 2010 by clshack
Avevo già parlato di Pyloris qui:
Pyloris,l’evoluzione in python di slowloris
Che è giunto alla versione 3.0.
In breve, pyloris è un tool per provare se un web server, come ad esempio apache è configurato opportunamente per resistere ad attacchi denial of services.
Nessun web server se non aggiornato/ configurato correttamente e o protetto da firewall/script/programmi che riescono a fermare questi attacchi è vulnerabile.
Dal sito ufficiale:
“PyLoris is a tool for testing a web server’s vulnerability to Denial of Service (DoS) attacks. It uses the Slowloris method; by using all available connections web servers cannot complete valid requests. Supports SOCKS, SSL, and all HTTP request methods.”
Ad esempio il server web della mia scuola :(
Queste sono le nuove caratteristiche di pyloris 3.0:
- Tkinter GUI
- Scripting API
- Inteligent Thread & Exception Handling
CMS Explorer: Analizza i CMS e cerca BUG
aprile 9th, 2010 by clshack
CMS Explorer è un ottimo tool per analizzare, esplorare un cms supportato dal programma.
CMS Explorer è stato progettato per rivelare i moduli, plugin,
componenti e temi che un sito web con un determinato cms “monta”.
CMS Explorer può esserci davvero utile per la ricerca di bug nel nostro cms.
CMS Explorer, sfrutta anche il sito di osvdb per recuperare relative informazioni sulla versione del prodotto usato e le sue relative vulnerabilità.
Dopo, al massimo potete anche utilizzare il mio exploit finder :)
CMS Explorer attualmente, supporta questi cms:
- Drupal
- WordPress
- Joomla
- Mambo
ClsHack.it torna operativo :)
aprile 9th, 2010 by clshack
Dopo casini vari, si ricomincia a scrivere, stavolta non più da solo, ma in compagnia.
Sto pensando a qualcosa per proteggere il mio wordpress però non so il wp-sentinel del grande evilsocket non mi può proteggere del tutto visto che da quello che ho capito purtroppo non sono i plugin vulnerabili e quantomeno il template.
Va beh comunque sia tutto ok.
Un grazie a tutti quelli che hanno continuato a seguirmi nonostante i casini successi.
Che dire allo stronzo che mi ha defacciato, umm beh sono qua :D
Non mi arrendo…
Ciao a tutti ci si sente :)
A te che defacci ?
marzo 25th, 2010 by clshack
Bla non sei italiano :P
ehehe comunque clshack chiude un po’ :P
Post EDIT:
Cronaca:
Da quello che ho intuito è andata così:
Alle 2.57 mi arriva una mail da wordpress => mio , (io era a letto eheh) in cui ce scritto che la password del mio utente, è stata resettata con successo.
E questo è impossibile… => bug in wordpress..
E’ impossibile che la mia password, venga cambiata senza il link di conferma e ne venga impostata un’altra senza la mia convalida.
Comunque dopo che hanno avuto la nuova password, si sono loggati, hanno cancellato la index dal pannello di controllo di wordpress e ci hanno copiato dentro il codice della blackshell.
Dalla Black Shell hanno cominciato a caricare altre 3 shell membre.php, r57i.php ed r57.php e file come firefox.exe.
Alle 2 del pomeriggio, cambio la password della mia email, => non si sa mai che avessero quella, e modifico la index del sito.
Alle 3, mi ritrovo la password cambiata ancora, con la relativa mail che il cambiamento della password è avvenuto con successo e di nuovo la php black shell.
Alle 4, mi ritrovo il sito ok, con il template un po’ manomesso, con all’interno un codice adsense generato il 20 marzo da un account francese.
Attendo i log da netsons, ma dubito che me li daranno.
Solo da li posso capire cosa hanno sfruttato.
In tanto chiudo per un po’ a causa di questo =>
http://www.figcvenetocalcio.it/documenti/Settore%20Giovanile%20e%20Scolastico/Comunicati/2009-2010/Com_N57.pdf
:D
E poi devo finire un po’ di lavori ;)
Grazie a tutti e tornerò presto :D
YASAT:Yet Another Stupid Audit Tool
marzo 23rd, 2010 by clshack
Tutti parlano di linux come un sistema insuperabile nell’ambito della sicurezza.
Purtroppo, linux se mal configurato, o meglio anche i software come apache,php se mal configurati su linux, possono creare varie falle di sicurezza, sopratutto in server di hosting ecc.
Che cos’è YASAT o Another Stupid Audit Tool ?
More…
Fimap: Scanner LFI(Local File Inclusion ) and RFI(Remote File Inclusion)
marzo 22nd, 2010 by clshack
Recentemente, mi è stato chiesto che tipo di scanner utilizzassi per cercare vulnerabilità di tipo RFI e LFI , io risposi che il miglior scanner siamo noi.
Purtroppo però non possiamo provare pagina per pagina, potremo inciampare in qualche svista ecc per questo esistono tool come Fimap che fanno tutto in automatico.
Innanzi tutto, per chi non sapesse cosa sia una LFI o una RFI, ecco quanto segue da wikipedia:
RFI o Remote File Inclusion, o RFI, nell’ambito della sicurezza informatica indica una vulnerabilità che affligge i servizi web con uno scarso controllo delle variabili arrivate da un utente, in particolare le variabili GET e POST.
La vulnerabilità si manifesta quando una pagina da includere viene passata per una variabile non controllata.
Local file Inclusion è una vulnerabilità sfruttabile grazie alle funzioni include(), include_once(), require(), require_once() di php o altri linguaggi dove non opportunamente filtrato il “file da includere” è possibile includere un file interno alla macchina come ad esempio /etc/passwd (se si parla di sistemi Unix based)
Vi rimando a google per ulteriori approfondimenti ;)
More…
