Bastelspass - 8

Als die Info zum neuen Release 0.1.2.17 rauskam und danach die Meldung, dass doch bitte alle upgraden sollen, damit sie schneller surfen können, wollte ichs ja erst nicht glauben. Tor war ja ein super Konzept, aber so richtig schnell und bequem konnte man seit nem Jahr nicht mehr damit arbeiten. Anscheinend ist das Netz zu populär geworden, um die steigenden Nutzerzahlen und deren höheren Bedarf an Bandbreite zu befriedigen.

Das kommt mir jetzt anders vor, seitdem ich die neue Version draufhab, funktionierts wie zu alten ISDN-Zeiten, aber auch nicht langsamer. Der erste Aufruf einer Seite braucht ein wenig, weil die Route dorthin erst gebildet werden muss. Aber wenn man die Route dann mal steht, gehts wirklich wie am Schnürchen. Der Einsatz von Werbefiltern empfiehlt sich natürlich auch hier. Sonst muss für jeden blöden Counter und Bannerverteiler eigens eine Route aufgemacht werden und das dauert dann.

Mal sehn wie langs anhält. Schnelleres Netz bringt ja mehr User mit mehr Bandbreitenbedarf, was zu langsamerem Netz führt. Es wird sich vermutlich bald bei mehr User und langsamen Netz einpendeln.

Vor ein paar Tagen hab ich den Quellcode eines trojanischen Pferdes gefunden und ein bisschen damit gespielt. Ich war echt überrascht, wie bequem diese Hackerei geworden ist.

Wenn das Ding gestartet ist, hinterlässt es nur noch ein unauffälliges

5480 pts/2    S      0:00 <defunct>

in der Prozessliste, verbindet sich zu einem IRC-Server und meldet sich dort in einem passwortgeschützten Channel an. Sein Nick dort ist ein zufälliger Name, falls der besetzt ist, wählt er einen anderen. Und dann hat man ein ganz normales Interface und kann mit ihm und seinen Kollegen auf den anderen befallenen Rechnern chatten. sogar eine Hilfefunktion hat er eingebaut (mein Text ist rot, "ACPMBBOX" heisst mein Trojaner):

Du sprichst jetzt in #test

ACPMBBOX (~RELHX@localhost) hat #test betreten  
!ACPMBBOX HELP
TSUNAMI  
  = Special packeter that wont be blocked by most firewalls
PAN   
  = An advanced syn flooder that will kill most network drivers
UDP     = A udp flooder
UNKNOWN    = Another non-spoof udp flooder 
NICK       = Changes the nick of the client
SERVER   = Changes servers
GETSPOOFS        = Gets the current spoofing
SPOOFS   = Changes spoofing to a subnet
DISABLE          = Disables all packeting
ENABLE            = Enables all packeting
KILL              = Kills the client
DIE               = Let's the client die slowly
GET  
  = Downloads a file off the web and saves it onto the hd
KILLALL        = Kills all current packeting
HELP           = Displays this
IRC   = Sends this command to the server
SH    = Executes a command


!ACPMBBOX SPOOFS 10.11.12
!ACPMBBOX SH ls -l

insgesamt 148
max  max  31059 2007-08-02 22:36 defunct
max  max  27964 2007-08-02 22:34 defunct.c
test test 27969 2007-08-02 22:34 defunct.c~
max  max  39312 2007-07-30 18:04 fullroot.txt
max  max   1682 2007-08-02 09:45 fullroot.txt.short

Wie man sieht, kann der Trojaner also auch ganz beliebige Shell-Befehle ausführen, eine Download-Funktion bringt er auch schon mit.

Als vollwertiger User mit Shell-Account kann man auf dem Rechner des Opfers schon richtig schön arbeiten. Man kann Mails verschicken, Homepages bauen, nach Dateien suchen und die irgendwohin versenden, Werkzeuge für weitere Hackversuche runterladen und von diesem Rechner aus weiter in andere Rechner eindringen.

Falls man es schafft, eine lokale Lücke im System zu finden und dort root-Rechte zu erlangen, hat der Trojaner noch ein paar Angriffstools dabei, um einen feindlichen Rechner mit Paketen zu fluten. das ganze natürlich nicht mit der richtigen IP-Adresse des Opfers, sondern mit einer ausgedachten (im Fall oben die 10.11.12.xxx). Die vier angebotenen Flutverfahren waren im Test allerdings nicht sehr wirkungsvoll. "TSUNAMI" klang so vielversprechen hat aber leider garnichts gemacht und "UNKNOWN" hat sein Zeitlimit nicht eingehalten. Aber dafür hat man ja eine ganze Schar von Trojanern, mit denen man sich im Chat unterhalten kann. Die Masse machts.

Die Verbreitung des Tools passiert über eine inzwischen bekannte und hoffentlich überall gepatchte Lücke in Confixx. Dort konnte man unter bestimmten Bedingungen PHP-Dateien von fremden Servern auf den Server des Opfers übertragen und dort ausführen. Diese PHP-Datei "fullroot.txt" hat dann ein C-Programm (eben dieses "defunct.c") ausgepackt und compiliert und ein paar Verzeichnisse durchprobiert, in der man diese Datei ablegen kann. Ich verwende Confixx zwar nicht, hab aber die Zugriffsversuche in den Logfiles verfolgt und konnte die Datei dann von Hand holen.

Die Motivation des Programmierers ist mir nicht klar. Spielkind, Chatkrieger oder echter Krimineller, alles ist möglich. Die Spur führt zu CS-Spielern in Franken, aber ganz sicher bin ich mir da nicht. Ich würde auch nichts allzu böses unterstellen. Jemand, der statt

        char key[]="SoUrCeD";

sowas schreibt

        key[4]=(key[6]=(key[5]='a'+4)-1^32)-1;
        key[0]=(key[3]=(key[1]='o')+3)-31;
        key[2]='X'-3;
        key[7]=0;

hat einfach Stil und Gefühl für sprachliche Eleganz. Sojemand kann kein schlechter Mensch sein!

PS: Ich würde ja gern den Quellcode veröffentlichen, aber leider geht das bald nicht mehr wegen § 202c. Dank unseres Gesetzgebers muss jetzt einfach jeder warten, bis er sich selbst einen Schädling eingefangen hat, bevor er ihn sich ansehen darf...

Ich hätte es ja nicht für möglich gehalten, aber man kann wirklich an einem Abend 4 GByte an einen einzelnen Idioten verschwenden, wenn der nur hartnäckig genug ist....

Um 19:05 ist der Typ das erste Mal aufgetaucht; Mit einem normalen Browser und hat sich die Seite angesehen.
Nach 20 Minuten erschien sie wohl als Spielobjekt für seine Hackertools geeignet und in den Logs tauchen so lustige URLs wie "/../../../winnt/repair/sam._" und "/club/data/.htpasswd". Offensichtlich irgendein Scanner, der auf bekannte Schwachstellen in Servern und Forensystemen sucht.
Das war nach ein paar Minuten auch vorbei und er hat angefangen alle verfügbaren Dateien abzusaugen. Nebenbei hat sein Tool noch weiter alle möglichen URLs ausprobiert: "/1/", "/puppy/", "/sex/"
So hat er insgesamt 7300 gültige URLs gesaugt und 20000 ungültige URLs ausprobiert.

So richtig in Fahrt ist er aber erst gekommen, als er auf ein geschütztes Verzeichnis (die Statistik) gekommen ist. Da hat sein Tool dann eine Stunde damit verbracht, 270000 Usernamen / Passwort-Kombinationen auszuprobieren: "00000", "Cumulus_Nimbus", "hitlersaveslives" ... Einige davon mehrfach, insgesamt waren es 570000 Zugriffsversuche.

Ich hab ihn halt dann gesperrt und jetzt gibt es eine neue Regel für den Paketfilter: Wer mehr als 1000 Einträge im Errorlog hinterlässt, der fliegt und darf erst morgen wieder mitspielen. Der Traffic ist auch nicht so schlimm. Ich brauche mein Transfervolumen, das ich pauschal zahle, eh nicht auf. Was übrig bleibt wird über den Monat verteilt an den Tor-Node verfüttert, der bekommt jetzt im Mai ein bisschen weniger, die anonyme Masse der Tor-User wirds nicht weiter merken.

Aber was motiviert diese Typen?

• Einen Webserver des gegnerischen Stammes zu defacen, also dessen Inhalte durch eigene kreative Änderungen zu ersetzen kann ja ganz lustig sein. Im einen oder anderen Fall kann man damit sicher in seinem Häuserblock Ruhm und Ehre gewinnen.


• Einen ssh-Zugang zu erobern ist immer nützlich. Man hat einen fremden Server, der einem nicht zuzuordnen ist und kann von dort aus weiterarbeiten. So ein Server ist ja vielseitig verwendbar und wenn man die Spuren verwischt, stell ichs mir in der Hackerbranche sehr nützlich vor, sowas zu haben.


• Einen ftp-Server kann man ganz toll zum Bunkern von Raubkopien verwenden.


• Einen aufgemachten Mailserver kann man bestimmt an Spammer verkaufen.


• Aus dem Verwaltungsteil eines Forums bekommt man vielleicht nette Passwörter, die die Leute woaders auch verwenden.


• Aus dem Backoffice-Teil eines online-shops kann man vielleicht die eine oder andere Kreditkartennummer abziehen.

Aber was um Himmels willen verspricht sich einer hinter einer passwortgeschützten Webseite? Ich kann mir nichts vorstellen, was man nicht woanders auch sehen könnte und Zugriff auf ssh und Mail hat der Typ nichtmal versucht. Dass hier weder Scheckkarten noch Zugangsdaten zu weiteren Rechnern liegen sollte ja klar sein. Die paar GByte und die 2 Stunden Zeit fallen auch auf der Gegenseite an, das muss sich doch irgendwie lohnen...

Inzwischen ist übrigens Ruhe. Der Hacker hat zwar trotz Sperre fleissig weiter rumprobiert, aber jetz ist er weg. In Michigan ist es jetzt 20 Uhr, vermutlich hat die Mutter den kleinen Kunden von Road Runner zum Essen gerufen.

Nachtrag 15.5: Heute kam die gleiche IP-Adresse nochmal vorbei (dachte garnicht, dass RR so langlebige IP-Adressen verteilt). Vermutlich zum Testen, ob mein Sperrscript was taugt....
Es funktioniert. 1532 Versuche hatte er frei, dann war Schluss. 55 Fehler pro Sekunde halte ich übrigens immer noch für etwas zu aggressiv, um einfach "nur mal zu sehn, ob man reinkommt".

Notiz für zukünftige Updates von PHP4 auf PHP5:

Wenn Wordpress statt ein Bild hochzuladen nur die Meldung "Konnte die Datei nicht auf die Festplatte kopieren" bringt, dann muss man die Variable upload_tmp_dir in der php.ini oder der Apache-Konfiguration definieren und dafür ein Verzeichnis anlegen, das innerhalb von "open_basedir" liegt.

open_basedir /home/www/schnipsel
upload_tmp_dir /home/www/schnipsel/temp

wäre da zum Beispiel eine gute Kombination.

In den letzten Wochen hat fast jeder der was auf sich hält eine geographische Sicherheitsanalyse des Internet vorgenommen. Symantec vermutet das Böse in den USA und China, McAfee rät vor einem virtuellen Besuch Rumäniens und der Tokelau-Inseln ab und selbst der bayerische Verfassungsschutz weiss, dass wir aus China über das Internet angegriffen werden.

Zeit, auch hier die Landkarten der Plagen des Internets zu präsentieren und dabei die Gelegenheit zu nutzen, einen Link auf meinen geographischen Webcounter zu hinterlassen. Der soll ja eines Tages vermarktet werden und warum nicht von den Grossen lernen...

Nach eingehender Analyse der letzten Woche haust der gemeine Computerwurm hauptsächlich in Europa, Westsibirien und im Nahen Osten. Dort stehen also die schlechtgepflegten Windowskisten und versuchen sich per Windows-Freigabe zu verbreiten.



Der etwas ausgefeiltere Wurm, der sich nicht über Freigaben verbreitet, sondern durch massenweises Ausprobieren von Passwörtern an ssh oder ftp auffällt, versteckt sich auffallend oft in China und Mittelamerika. Entweder haben die Leute dort viel grösseren Bedarf an Speicherplätzen im Web, grösseres Interesse an Unix-Servern oder die Windows-Ports kommen einfach nicht durch die Grosse Chinesische Firewall. Möglicherweise gibt es dort auch mehr Linux-Rechner, soweit ich weiss, gibt es ssh-Passwortratemaschinen eher für Unix als für Windows.



Zum Spamfilter fällt mir eigentlich garnichts ein. Das scheint einfach eine Karte der Computerdichte auf der Welt zu sein.



Insgesamt ist allerdings die ganze Welt nicht so lästig wie Deutschland und seine Nachbarländer. Das wird vermutlich zum einen daran liegen, dass in Europa einfach mehr Computer pro Quadratmeter stehen als in Asien, zum anderen viele Würmer benachbarte Adressen bevorzugen und hier ja nur an einem einzigen Server gemessen und gezählt wurde. Aber solange Hessen mehr Spam absondert als ganz Indien, gibt es eigentlich keinen Grund, Weltkarten mit Stecknadeln zu versehen.

Und besucht ruhig Tokelau, die Südsee scheint virenfrei!