» »

Kako hekerji napišejo virus in zakaj ?

Kako hekerji napišejo virus in zakaj ?

1
2
»

yeti ::

Tema se je izrodila do konca... samo se tole pripomnim.

BigWhale;
> A ti ves kaj je brute force? ;)

Seveda se boš kot "l33t uber hax0r" strinjal, da mi ne boš šel "brute forcat" rsa private keya, mar ne? :D

>potem se je izpisal na listi kot VIRUS... pa zasedel je nekaj deset KB pomnilnika :P

Koliko ga je bilo pa na disku, če smem vprašati?

Zgodovina sprememb…

  • spremenil: yeti ()

MihaFirst ::

pa se to se je verjetn na listi izpisal VIRUS, ker si ga ti tako poimenoval, a ne? :))

poweroff ::

Seveda se boš kot "l33t uber hax0r" strinjal, da mi ne boš šel "brute forcat" rsa private keya, mar ne?

Kaj ima tukaj tvoj private RSA key veze? Boš rekel, da je bil virus zašifriran z njim?
sudo poweroff

jype ::

kunigunda> V svetu racunalnistva je pa malce drugace. Tko kot ne mores reci, da je Linux samo tools.

Linux je jedro. Z jedrom si človek precej težko kaj pomaga, brez jedra pa ne more uporabljati orodij.

kunigunda> Orodja sluzijo nekemu namenu, hekerska orodja sluzijo torej namenu hekeriranja. Kdor mi pa z grepom,awkom in sedom sheka server, mu ga pa senkam.

Lahko kar poveš IP.

kunigunda ::

87.48.98.187

jype ::

Zdaj potrebujem samo še originalen dokument, podpisan od lastnika strežnika in njegovega ponudnika internetnih storitev, da dovoljuje varnostno analizo, potem pa se lahko lotim.

Pri delu s strežnikom se lahko omejim na uporabo programov sed, awk in grep, ter netcat za omrežno povezljivost. Za analize na svojem računalniku seveda lahko uporabljam poljubne tehnike in orodja, sicer bo trajalo predolgo.

kunigunda ::

netcat ni bil stvar dogovora kukr se spomnm

jype ::

In zato sed ni hekersko orodje?

Lepo te prosim. Saj verjamem da ti rad klikneš search and replace ko je treba v shellcode zamenjati kakšno sekvenco z drugo, ampak sed to super opravi.

Verjamem, da znaš v "notepadu" gledat HTTP response, ampak s tr, awk in grep komot pohopsaš ven vrstice, ki jih želiš videt.

kunigunda ::

glede na to da sed, awk in grep uporabljam vsak dan vsaj 15-20 let na vseh moznih platformah unix/linuxov, bom kar dobro vedel, kako ga uporabljati. Klikam pa zelo nerad....

jype ::

Na podlagi česa so torej sed, grep, awk in tr izključeni iz opisa "hacker's tools"?

Saj lopata je tudi lahko "murder weapon", kajne?

kunigunda ::

Ne recem da se ne da uporabiti. Vendar ne za direktno hekanje. Npr. za predelavo sniffov (ceprav sem si pcap analyzer raje pac sam naredil) pride vcasih prav. Ampak nic vec, kot ls in ostala solata.
Zato ga ne bi uvrscal v hacker tools. Ampak to je stvar religije, taka je pac moja. Kle se lohka kregamo okoli besedne semantike in podobno. Kot si sam omenil, je nc pac eden izmed takih toolov,
kar da ven, si pa potem pomagas z razno greparijo

Edit: typos

Zgodovina sprememb…

  • spremenilo: kunigunda ()

jype ::

Ja, jasno, stvar semantike. Ampak ker jaz pod besedo "hacker" razumem človeka, ki raziskuje tehnologijo, so vse našteto potem logično hacker tools :)

kunigunda ::

Zal je hacker v letu 1980 pomenilo cisto nekaj drugega kot danes. Se se spomnim, ko ni bilo knjig, pa se je znanje nabiralo na entuziasticnih poizkusih...

yeti ::

Matthai: Kaj ima tukaj tvoj private RSA key veze? Boš rekel, da je bil virus zašifriran z njim?

In še za piko na i, se je v temi, ki ze davno nima nobene veze z virusi, našel poleg smrkavcev in super l337 hax0rjev še eden,
ki sicer pojma nima kaj je kontekst, ve pa kaj je rsa, vzame iz vsakega (nepovezanega) konteksta nekaj besed in naredi
odličen boršč... dober tek >:D

Se distanciram od te teme, sploh mi je žal da sem se oglasil... verjetno sem tule edini cez 15...

poweroff ::

In še za piko na i, se je v temi, ki ze davno nima nobene veze z virusi, našel poleg smrkavcev in super l337 hax0rjev še eden,
ki sicer pojma nima kaj je kontekst, ve pa kaj je rsa, vzame iz vsakega (nepovezanega) konteksta nekaj besed in naredi
odličen boršč... dober tek
Se distanciram od te teme, sploh mi je žal da sem se oglasil... verjetno sem tule edini cez 15...


Glej, prosim pojasni kaj si mislil s tem, ne pa da se umikaš kot užaljena nevesta.

Če pa govorimo o napadu na RSA je pa seveda direketen napad precej neumen. Obstajajo boljši načini, recimo napad na strojno opremo (tempest) ali vhodne enote (primer Scarfo), pa tudi kleptografija (vrivanje napadalčevega tajnega ključa v javni ključ žrtve).

Sei pa ti napisal, da "Prejsnji teden mi je en mali smrdljivcek šel brute forcat ftp. Hmm, how nice... niti toliko ni imel v glavi, da bi videl da gre authentifikacija preko sslja in da tam itak nima kaj brute forcat.".

Še enkrat te vprašam: kaj ima veze bruteforcing in avtentikacija preko SSLja? A misliš, da https strežnikov ni mogoče brute forcat in če da, zakaj ne?
sudo poweroff

poweroff ::

Pa še to te prosim, da mi poveč, kaj je to brute force napad (oz. njegova izvedenka dictionay napad, ki jo navadno uporabljajo hekerji). Da vidimo, če sploh razumeš o čem govoriš.

Po mojem mnenju brute force napad o katerem govoriš ti (če te prav razumem) nima nikakršne zveze s SSL in RSA.
sudo poweroff

yeti ::

Matheus: Pa še to te prosim, da mi poveč, kaj je to brute force napad (oz. njegova izvedenka dictionay napad, ki jo navadno uporabljajo hekerji). Da vidimo, če sploh razumeš o čem govoriš.
Po mojem mnenju brute force napad o katerem govoriš ti (če te prav razumem) nima nikakršne zveze s SSL in RSA.

A da ne? Ce imam narejeno autentifikacijo ftpja preko sslja (pop. ftps) in imam client public keye (ja imam vec userjev) fiksno zapisan na serverjevi strani ki noče sprejeti drugega, kaj dobim (buzzwordi; certifikati, authenticated connection,...)? :D Ne bockaj se no :D

Zgodovina sprememb…

  • spremenil: yeti ()

yeti ::

Matheus: A misliš, da https strežnikov ni mogoče brute forcat in če da, zakaj ne?

O seveda se jih lahko... ce gre samo za secure connection... ce pa uporabis clientov public key na serverju za preverbo ali ima client pravi private key, postanejo pa stvari rahlo "nevzdržne", potem bi bilo pa treba "brute forcat" private key :) In dozdeva se mi, da bi bil v tem primeru klik boljša tarča kot "me and my poor friend me" ;)

Zgodovina sprememb…

  • spremenil: yeti ()

poweroff ::

OK, to je pa seveda druga zgodba (s certifikati). Tukaj običajen bruteforcing res ne deluje najbolje :D
sudo poweroff

jype ::

Matthai> Tukaj običajen bruteforcing res ne deluje najbolje

Ah, povsem enako dobro deluje, le da moraš bruteforcat uporabnika, ne pa strežnik :)

yeti ::

Matthai: OK, to je pa seveda druga zgodba (s certifikati). Tukaj običajen bruteforcing res ne deluje najbolje :D
(koncno mi je ratalo napisati tvoj nick pravilno ;) )

Ne ista zgodba je. rsa. Vsa razlika je samo ali server dovoli, da se mu ob handshaku public key poslje ali ne. Certifikat
sem omenil samo zato ker je to trenuten buzzword, gre pa za ena in isti šmorn.

Sicer pa da bomo "politično korektni", da se tudi server brute forcat, pač poskušaš in poskušaš in poskušaš in... :D
(ce se po cistem nakljucju prej snort ne odloci da te ne mara in poslje ipfwju eno kratek srckan in vsesplosno uporaben
parameter... add deny...)

Zgodovina sprememb…

  • spremenil: yeti ()

BigWhale ::

Yeti je premalo natancno specificiral njegov nacin avtentifikacije. Avtentifikacija preko ssl-a, je se vedno lahko samo z geslom in brez osebnega certifikata.

Tam je brute force enako dobrodosel, kot pri plain text geslih.

BigWhale ::

> Koliko ga je bilo pa na disku, če smem vprašati?

Virusa? Pojma nimam. Ogromno za takratne case, saj je bil preveden z Borlandovim C++. :))

MrBrdo ::

Zelo dobro se da naučit če pišeš kakega trojančka.. Je zabavno in poučno za začetek.. Trojančki so nasploh lahko kdaj tudi zelo uporabni poleg tega da se ob izdelavi veliko naučiš.. Viruse pa če mene vprašaš pišejo samo tisti ki delajo to zarad ega (se jim zdi fajn če je njihov virusek opažen). Lahko maš tut kake koristi od tega če maš veze (kake viruse ki spamajo nekateri s tem tudi dobro služijo).
MrBrdo

MrBrdo ::

yeti: ce govoris o bruteforcanju SSH serverja bi to trajalo forever ker so pavze vmes med poskusi (na serverju). že tako prek neta bruteforcat je skor nemogoce razen ce mas tam 5-crkovni passwordi, kaj vec pa bi trajal ze tako dolgo da vprasanje ce se splaca.. kolko jaz vem to ponavad samo exploitajo, nisem se slisal da bi su kdo bruteforcat pass.. lazje kak exploit prek kakega drugega servica ce ne gre prek ssh, pa potem elevation of privileges pa mas potem itak shadow file pa raje to bruteforcas\wordlist ce bi ze rabu met password
MrBrdo

Zgodovina sprememb…

  • spremenilo: MrBrdo ()

poweroff ::

NHi čisto res. Ravno konec lanskega leta so se eni slovenski script kiddiji spravili bruteforcat ssh povezave na tak primitiven način.

Seveda pa lahko rečeš iptables, da naj poveča "timeout" v primeru določenega števila neuspešnih poiskusov.
sudo poweroff

yeti ::

BigWhale: Yeti je premalo natancno specificiral njegov nacin avtentifikacije. Avtentifikacija preko ssl-a, je se vedno lahko samo z geslom in brez osebnega certifikata.

He he, ne ni premalo natancno, ce ti ne razumes. www,google.com -> RFC SSL, RFC TLS, RFC RSA. Oz. da ti prihranim, ce bi sel zadevo sesuvat preko brute forcanja, bi imel v igri 2048 - 4096 biten kljuc, ki se za povrh se pocasi preverja = zadeva bi se lokalno trajala predolgo!


MrBrdo: yeti: ce govoris o bruteforcanju SSH serverja bi to trajalo forever ker so pavze vmes med poskusi (na serverju). že tako prek neta bruteforcat je skor nemogoce razen ce mas tam 5-crkovni passwordi, kaj vec pa bi trajal ze tako dolgo da vprasanje ce se splaca.. kolko jaz vem to ponavad samo exploitajo, nisem se slisal da bi su kdo bruteforcat pass.. lazje kak exploit prek kakega drugega servica ce ne gre prek ssh, pa potem elevation of privileges pa mas potem itak shadow file pa raje to bruteforcas\wordlist ce bi ze rabu met password

He he, zakaj mislis da sem dal "ta zelenega" smileya na konec ;) Dejstvo je, da brute forcajo lahko. Probavajo uganit private key :D :D :D Moznost uspeha lahko zaokrozimo na nula. Vendarle pa to lahko naredijo. Sicer pa včasih lamerjem z poskusanjem gesel celo rata. Folk si daje (to si zagotovo ze kje videl ) za geslo npr. username123. Ni ravno tezavno uganit.

Zgodovina sprememb…

  • spremenil: yeti ()

MTm2H37rqt7B ::

Dajte fantje no... nocem umret od solz:) Drzite se topica btw, je bolj zabavno :D

kunigunda ::

Mathai, iptables nimajo veze z loginom, niti ne vejo ce je uspesen ali ne. SSL bruteforcanje lahko preprecis edino na osnovi konekcij, tko da iptablesu reces, da jih na minuto dovolis najvec 1 connection z istega hosta.
Ce se to preseze, pa cakas n-minut.

yeti ::

Me bos popravil? ;)

Na temo pa pozabi, je ze davno izgubljena...

Zgodovina sprememb…

  • spremenil: yeti ()

jype ::

Ali pa parsas log z majhno skripto in postavis iptables rule po n neuspelih poskusih prijave.

Pa, btw, yeti, ssh dictionary napadov je še danes ogromno.

kunigunda ::

Ce imas iptables seveda na isti masini, sicer je ze "solatarstvo"...

BigWhale ::

> ce govoris o bruteforcanju SSH serverja bi to trajalo forever ker
> so pavze vmes med poskusi (na serverju). že tako prek neta
> bruteforcat je skor nemogoce razen ce mas tam 5-crkovni passwordi,
> kaj vec pa bi trajal ze tako dolgo da vprasanje ce se splaca..

Spustit en word list skozi en server ni noben problem. Saj ne delas ene konekcije na server ampak jih naredis 1000 recimo...

Vsekakor traja, se strinjam, ampak ni pa nemogoce.

---

yeti,

> He he, ne ni premalo natancno, ce ti ne razumes. www,google.com

Ti dejansko ne zastopis, da imas lahko ssl komunikacijo med ftp clientom in serverjem, pa se vseeno lahko delas password guessing in bruteforcas zadevom ali pa se samo delas neumnega?

Ti si rekel, "da bi videl da gre authentifikacija preko sslja in da tam itak nima kaj brute forcat.".

yeti ::

Bigwhale: Ti dejansko ne zastopis, da imas lahko ssl komunikacijo med ftp clientom in serverjem, pa se vseeno lahko delas password guessing in bruteforcas zadevom ali pa se samo delas neumnega?

"Matheus: A misliš, da https strežnikov ni mogoče brute forcat in če da, zakaj ne?

O seveda se jih lahko... ce gre samo za secure connection... ce pa uporabis clientov public key na serverju za preverbo ali ima client pravi private key, postanejo pa stvari rahlo "nevzdržne", potem bi bilo pa treba "brute forcat" private key :) In dozdeva se mi, da bi bil v tem primeru klik boljša tarča kot "me and my poor friend me" ;)"

client in server SE NE RAZUMETA. nič kar dobi client nazaj ne more dekriptirat.

Zgodovina sprememb…

  • spremenil: yeti ()

poweroff ::

kunigunda:

$IPTB -A INPUT -p tcp -s 193.xxx.xxx.xxx -m state --syn --state NEW --dport 22 -m limit --limit 1/minute --limit-burst 1 -j ACCEPT
$IPTB -A INPUT -p tcp -s 193.xxx.xxx.xxx -m state --syn --state NEW --dport 22 -j DROP


A bo? 8-)
sudo poweroff

jype ::

Mal nerodno in precej neučinkovito.

iptables -N SSHSCAN
iptables -A INPUT -p tcp --dport 22 -m state –state NEW -j SSHSCAN
iptables -A SSHSCAN -m recent –set –name SSH
iptables -A SSHSCAN -m recent –update –seconds 300 –hitcount 3 –name SSH -j DROP

Malo bolje.

Še bolje je "failed logins" parser.

kunigunda ::

A ti sploh ves kva si napisu Matthai. To kar sem ti jaz govoril. Stimas bandwidth na port 22. Nima veze z loginom.

poweroff ::

V bistvune bandwith, pač pa število novih connectionov v določenem času. Ampak ja, se razumemo.
sudo poweroff
1
2
»


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

Facebook več sto milijonov gesel hranil v besedilni obliki

Oddelek: Novice / Zasebnost
319865 (7114) MrStein
»

Slovenska policija aretirala domnevnega pisca Maripose (strani: 1 2 3 4 5 )

Oddelek: Novice / Varnost
22171830 (51032) #000000
»

Steam pohekan, potencialno odtujeni uporabniški podatki

Oddelek: Novice / Varnost
377253 (4860) MrStein
»

Razbijanje gesel z GPU je realnost (strani: 1 2 3 )

Oddelek: Novice / Varnost
10230394 (24825) MrStein
»

Hekerji (strani: 1 2 3 )

Oddelek: Programiranje
13313163 (4608) darkolord

Več podobnih tem