Viss darīts caur ResHack

Pāris skrīni:
Orģināls

Modotais

Download: Orģīnālais
Download: Modotais

An American grand jury indicted a German and a Briton last Thursday, beginning the first American prosecution of hackers for distributed denial-of-service attacks. Axel Gembe and Lee Graham Walker are accused of intentionally damaging a computer system and conspiracy, charges that could lead to fifteen years in prison.

A distributed denial-of-service, or DDoS, attack occurs when a large number of computers simultaneously send massive information requests to another computer, leaving the target unable to handle the onslaught of traffic generated. This is often accomplished by a "botnet," or series of compromised computers acting like an army of robots locked in on their target.

The men were allegedly hired by Jay R. Echouafni, owner of home satellite dealer Orbit Communications, to take down the Web sites of two competing companies. The attacks were successful. Los Angeles-based WeaKnees was unable to operate for approximately two weeks, while Miami-based Rapid Satellite also suffered damages.

Gembe was apparently hired due to his extensive knowledge of computer viruses. He is thought to have developed several major computer viruses, including Agobot and Phatbot. German authorities also believe he stole the source code for the video game Half Life 2, but prosecutors were unable to press the case due to weak evidence.

Echouafni and his associate Paul Ashley were charged with the conspiracy in 2004. Ashley has already served a two-year prison sentence as part of a plea agreement, but Echouafni continues to evade law enforcement.

What's unique about the DDoS attacks in this case is the extent of damages actually suffered; the Federal Bureau of Investigation reports that WeaKnees estimates $200,000 in damages, with Rapid Satellite reporting "substantial" losses as well. DDoS attacks have been well known on the Internet for years but have generally been much smaller, resulting from personal vendettas or boring Saturday nights. Extended attacks with a commercial purpose such as those allegedly carried out by Gembe and Walker are considered much rarer.

This case reveals a significant gap between the development of Internet crimes and their prosecution. Botnets have been run on Internet chat servers since at least the early 1990s and similar tactics have been used against various types of Internet servers for over a decade. Nevertheless, the first U.S. indictments of hackers involved in such activity only occurred in October 2008.

In time, officials hope to understand the Internet better, become more adept at fighting cybercrime and close the gap between cybercriminals and cybercops.

--Brian Van Wyk

Image Source

<a href="http://www.itworld.com/legal/55611/two-europeans-charged-us-over-ddos-attacks">Read More...</a>

"A denial-of-service attack (DoS attack) or distributed denial-of-service attack (DDoS attack) is an attempt to make a computer resource unavailable to its intended users. Although the means to carry out, motives for, and targets of a DoS attack may vary, it generally consists of the concerted, malevolent efforts of a person or persons to prevent an Internet site or service from functioning efficiently or at all, temporarily or indefinitely. Perpetrators of DoS attacks typically target sites or services hosted on high-profile web servers such as banks, credit card payment gateways, and even DNS root servers."

http://en.wikipedia.org/wiki/Ddos

another quote from wikipedia for someone who wants mor detail on DNSSEC is "

The Domain Name System Security Extensions (DNSSEC) are a suite of IETF specifications for securing certain kinds of information provided by the Domain Name System (DNS) as used on Internet Protocol (IP) networks. It is a set of extensions to DNS which provide to DNS clients (resolvers):

• Origin authentication of DNS data
• Data integrity
• Authenticated denial of existence

It is widely believed that deploying DNSSEC is critically important for securing the Internet as a whole, but deployment has been hampered by the difficulty of:

1. Devising a backward-compatible standard that can scale to the size of the Internet
2. Preventing "zone enumeration" (see below) where desired
3. Deploying DNSSEC implementations across a wide variety of DNS servers and resolvers (clients)
4. Disagreement among key players over who should own the .com (etc) root keys
5. Overcoming the perceived complexity of DNSSEC and DNSSEC deployment"

http://en.wikipedia.org/wiki/DNSSEC

Steve talked about that the main domains have to all agree on this and implement it for it to work so they can be a party to sign a key, to confirm that site you are on is the site you want to be on not a fake site that has changed the url or infected you PC or even the DNS. So if all the party's agree it will be confirmed that the site you are on is the one you want.

For more info on DNS if you don't even know what a DNS is go to:

http://en.wikipedia.org/wiki/Domain_name_system

or read a small part of the site that might solve your answer.

"The Domain Name System (DNS) is a hierarchical naming system for computers, services, or any resource participating in the Internet. It associates various information with domain names assigned to such participants. Most importantly, it translates humanly meaningful domain names to the numerical (binary) identifiers associated with networking equipment for the purpose of locating and addressing these devices world-wide.

An often used analogy to explain the Domain Name System is that it serves as the "phone book" for the Internet by translating human-friendly computer hostnames into IP addresses. For example, www.example.com translates to 208.77.188.166."

Like I said the fallowing in "quotes" is from the site http://en.wikipedia.org/wiki/Domain_name_system.

For more info on DNSSEC go to the links I provided or go to: http://www.dnssec.net/.

Be safe, and secure on the web, with out it we wont have "E-bay" (http://www.ebay.com/)or "Amazon" (http://www.amazon.com/) LOL :).

Update time:2008.8.8
NetBot_Attacker VIP 5.1 Update
[+] When build server,you can select replace bits service or create new svchost service.
[+] Add keep-alive to communications framework.
[*] Undetect by antivirus software.

NetBot Attacker VIP Ddos
“NB Zombies” It is a section of Rat manages.DDOS pressure tests the system
Strong long-range functions of management, file management, the screen is controlled, long-range shell. process manages.
The greatest attack mode of the might, Syn association. Udp mix. Icmp flood. Tcp. erupts simultaneously. CC mutation. Wait.
Strong technical support. Serve the end and run and conceal. Pass the initiative defence. Pierce through the wall. Self-service FUD system

Download (par arhīva saturu kopš tā novilkšanas atbildīgs esi tu pats)

The Democratic Voice of Burma is once again under DDoS. This one has been seen before, and it’s unfortunate that it’s happening again. I’ve been digging for information and hope to have some to share soon. At present I don’t have anything I can share.

The second bit of political hacking are reports that defacements have shut down Iranian clerics’ Web sites. I don’t see any DDoS activity around this yet but we are seeing some defacements, some apparently on sites that run buggy OSS codebases, so it’s not surprising that they got owned.

Server IRC. Perche'?

Molti si chiederanno perché proprio un server IRC (quelli usati comunemente per chattare)... la spiegazione è semplice: il controllo. Per questi "cracker", avere a disposizione migliaia di router è inutile se non li posso controllare (o aggiornare) in modo univoco e veloce. Difatti la diffusione di questo "pacchetto" (passatemi il termine) è automatica. Quello che manca agli hacker è un modo per essere notificati delle nuove vittime e per controllare questi router, senza mettere a rischio la loro privacy e senza perdere troppo tempo. E il protocollo IRC è perfetto per questo scopo. Appena infettato, infatti, il programma si collega a questo server IRC, dando la possibilità ai cracker di mandare loro dei comandi. Sembra ovvio quindi che il server IRC girerà su qualche loro server, in modo da non poter essere loggati e/o bloccati. Sono pure entrato in uno di questi IRC Server, ma naturalmente i canali erano nascosti, e il funzionamento è predisposto in modo tale che curiosi come me trovino non poche difficoltà.

Ma perché tutto questo?

Molti si chiederanno del perché i cracker si sono presi questo disturbo. Posso rassicurare i lettori che (almeno nel mio caso) nessuno ha cercato di sniffare il traffico, quindi almeno la privacy è al sicuro (fortuna?). In questo momento mi vengono altri due usi comuni  per una rete di zombie router come questa:

• Un attacco del tipo DDoS (Distributed Denail of Service), ovvero reindirizzare tutti questi router per generare traffico/richieste verso un unico IP, in modo da rendere inaccessibile un determinato servizio (siti, computer, forum e chi più ne ha più ne metta). Avvolte queste reti vengono pure subaffittate per compiere questi lavoretti sporchi, rendendo bei soldi agli affittuari.
• Guadagnare con i servizi di "click & pay": immaginate 10000 computer che cliccano su un "banner"... il guadagno (anche se di pochi centesimi per click) crescerà nel giro di poche settimane. E la presenza di tanti IP non insospettirà i malcapitati gestori di questo genere di pubblicità, che non potranno neanche alzare obiezioni.

Naturalmente queste due sono solo supposizione, avendo difatto staccato subito il router dalla linea telefonica appena infettato, evitando di far infettare altri PC. Ho lasciato alcuni tecnicismi e altre prove (alcune  non mi hanno portato a niente) fuori da questo articolo, anche per non favorire script kiddies in erba :).

Contromisure

Questi programmi sono in grado di sfruttare le vulnerabilità dei router più comuni. Quindi l'unico modo per non diventare a propria volta delle vittime, è quello di aggiornare il firmware dei vostri dispositivi il più spesso possibile. Altri buoni consigli sono:

1. Cambiare la password di default del router.
2. Assicurarsi che il vostro router (o meglio la pagina di configurazione e i servizi telnet) siano accessibili solo dalla Lan interna e non dall'esterno.

Per come aggiornare il firmware e cambiare la password di default, fate riferimento al manuale del vostro router. Per verificare che il vostro router non sia accessibile dall'esterno, seguite i seguenti passi:

• Collegatevi al sito http://www.t1shopper.com/tools/port-scanner/
• Selezionate la spunta in corrispondenza di Telnet e Http (porta 23 e 80). Se volete potete selezionare anche le altre.
• Se qualcuna di queste porte risulta Open, allora dovete correre ai ripari: facendo riferimento al manuale del router dovete chiudere queste porte in modo che siano accessibili solo dalla LAN.

Se passate indenni questi test (e aggiornate costantemente il vostro firmware appena disponibile uno nuovo) dovreste stare tranquilli...
almeno per questi tipi di attacchi...
almeno finché qualcuno non scoprirà una nuova vulnerabilità del vostro router!
Alla fine, la prima regola della sicurezza informatica e che non si è mai al sicuro al 100 per 100.

Following Sarah Palin's email being hacked by the faceless internet group, anonymous, an image posted on 4chan has sparked concerns that the Fox News website will be attacked tonight at 5PM Eastern.

We'll see what happens. I'm definitely up for a little harmless destruction!

Source 1
Source 2

Well, that was fun... no, not really, but we're back from the dead like Steve Jobs. We've been getting DDoS'd since essentially the first day we originally came back. After killing a 1G connection, we decided to find a different solution. Since the world didn't end this week, we brought the site back using Wordpress.com as the new host. We now return to our regular blog shenanigans. Here's to another four years of beta!

Let’s step back to April/May 2007, Estonia and Russia found themselves amongst a dispute.  Estonia, a small country bordered by the Baltic Sea, removed a Soviet war monument from the center of the capital, Tallinn, to a military cemetery.This did not go over well, Russia decided to hit Estonian websites with BotNets performing DOS attacks, flood websites, and even deface the websites of a political party. Russia has never claimed responsibility for the attacks, but they were traced there and one person was charged for the crime.

So, Russia has shown that it has without a doubt, the capability to attack a nation over the net.What is the US doing to counter this? As we all know, the government really doesn’t tell us much about their more important projects, we have to wait for a “leak” or a stolen laptop to disseminate that information.What we do know is that the air force is constructing its own large BotNet, the 2008 Annual Threat Assessment of the Intelligence Community addressed a cyber threat for the first time, and the US Gov’t has participated in a few Red Cell/Blue Cell activities viewed as “practice” for a real attack.

Now that we know the past, I would like to make some predictions about the future. Have you been following what’s going on between Iran and the world, a dispute that started between Israel and Iran, then brought in the US, and now has spread worldwide over Iran’s nuclear program. If you’re reading this, I know you are following Russia vs. Georgia, but did you know that the US and Russia are beginning to spat over the dispute. Russia and Iran, however have been strangely friendly in some ways. This should raise some eyebrows. Is the US at risk of a cyber-attack from Russia? Yes. Will the two major worldwide disputes escalate and involve the US in possible more fighting or even a war? That is still up in the air. Right now, the world seems to be dealing with Iran with peaceful diplomacy, good move UN, and we have yet to see what will fully happen to Russia after they walked over Georgia. The current “peace” is refreshing, but how long will it last? I believe that a cyber-war would precede a major physical attack somewhere. All I can say is keep an eye out for major site shut-downs via DDOS attacks, or a few minor site defacements because it might be a precursor of more dangerous scenarios to come.

Da möchte ich gleich mal mit beginnen. Hoohead's Blog, einer meiner Lieblingsblogs war vor einigen Tagen nicht erreichbar. Allerdings lag dies nicht an DDoS, Unlust oder sonst irgendwelchen schlimmen Problemen. Hoohead war einfach nur zu blöd seinen Server zu finanzieren. Da ist so ein Blog mal schnell weg.

Ein weiterer Punkt für heute ist, dass ich Werbung machen muss. Denn trotz meiner starken veränderung,m die ich ja bereits erwähnt hab, höre ich immer noch extrem gerne Ska. Und hab mich jetzt mal im Skatoons Streetteam registriert. Das bedeutet für jede Aktion, dien ich für The Skatoons ausführe bekomme ich Punkte. Diese Punkte kann ich dann gegen verschiedene Präsente eintauschen.

Weiter hin habe ich auch noch ein Leben. In diesem werde ich heute abend mal wieder die Nachtschicht XL in Husum besuchen. Dies ist eine richtig nette Diskothek im Gewerbegebiet. Ich habe heute Fahrdienst, darf also nix trinken, was ich auch irgendwie überleben werde. Im Partydorf legt heute abend DJ Happy Hippo auf, das heißt, dass ich eh den halben Abend auf der Tanzfläche verbringen werde. Die billigeren Preise heute abend sind auch nur minimal herunter gesetzt. Ich werde mich dann heute abend von Energydrinks ernähren um wach zu bleiben und Power für die Tanzfläche zu sammeln.

Abschließend gibt es mal wieder ein Video. Diesmal sind es die Skatoons über die ihr euch freuen dürft.

1. Einleitung
2. SYN-Flooding
3. Ping of Death alias Large Packet Attack
4. Finger
5. Ping Flooding
6. Moderne DDOS Tools
1.) Einleitung
Eigentlich sollte das hier nur eine kleine Beschreibung des
Ping of Deaths werden, aber dann fand ich auch Interesse an
einigen anderen DoS Attacken (die zu dem Thema passen) und wollte
diese hier nicht unerwähnt lassen ( freut euch Zunge raus ). Da ich leider
keinen Text zum simplen Übersetzen fand, der meiner Meinung nach
alles Wichtige enthielt, entschied ich mich dafür eine Zusammenfassung
der DoS Attacken zu schreiben, die TCP/IP ausnutzen. (mehr oder wenigerAugenzwinkern
Eine DoS (Denial of Service) Attacke ist eigentlich eine Forderung
an einen fremden Rechner, die er nicht erfüllen kann oder bei
deren Erfüllung Probleme auftreten, die sich dann zu unseren Gunsten Augenzwinkern
auswirken. Oft bestehen diese Probleme darin, das der Fremdrechner
abstürzt oder für einige Zeit hängt. Meistens wird aber nicht nur eine
dieser Anforderungen gesendet, sondern Tausende, durch die Unmenge an
Daten wird versucht den Server zu überlasten. Dieser Effekt wird nun
versucht zu verstärken, in dem man noch einige Sicherheitslücken
ausnutzt.

2.) SYN-Flooding
SYN Flooding ist eine Attacke, die benutzt werden kann um einen Server
zum kurzweiligen hängen zu bringen, damit er keine anderen Verbindungen
mehr aufbauen oder annehmen kann. Diese Art der Attacke zum Beispiel
auch verwendet, um Shimomuras X-Terminal zu hacken (siehe Sequence
Number Guessing). TCP Pakete können mehrere Flags enthalten, die dem
Fremdrechner sagen, was man von ihm will. Eines dieser Flags ist das SYN
Flag. Wenn nur dieses Flag gesetzt ist, zeigt das dem anderen Rechner,
das man mit ihm eine Verbindung aufbauen will, worauf dieser mit TCP
Paketen, die die entsprechenden Flags (SYN+ACK) enthalten antwortet.
Diese SYN-Pakete kann man an jeden beliebigen Port eines Rechners
schicken, der von aussen Zugänglich ist. Man muss also für eine solche
Attacke wissen: IP des anderen und einen offenen Port. Nun schickt man
eine Menge SYN Pakete an den anderen Rechner. Dieser wird diese
speichern und eine Rückmeldung (SYN+ACK) schicken. Im Gegenzug
erwartet der Rechner nun wieder eine Meldung, um die Einleitung
der Verbindung zu vollenden (ACK). Wenn wir aber nun unsere TCP Pakete
so ändern das sie von einem nicht existierenden Rechner stammen, wird
der Zielrechner vergebens auf eine Rückmeldung warten. Nach einer
gewissen Zeit löscht er die SYN-Anfragen aber wieder aus seinen Speicher.
Das wäre kein Problem bei einem SYN-Paket. Wird ein Rechner aber mit
diesen bombadiert, dann füllt sich mit der Zeit sein Speicher und er
kann keine weiteren Pakete aufnehmen oder beantworten. Er geht einfach
davon aus, das wichtige Anfragen nocheinmal gesendet werden, wenn die
Masse der SYN-Pakete bearbeitet ist. Dadurch haben wir ihn also vom Netz
genommen, da er keine Antworten mehr gibt. Dies ist besonders
interessant bei Spoofing Versuchen, bei denen Trusted Systems ausgenutzt
werden, da man vorgibt, eine andere IP zu haben, schickt das Ziel
die Antworten auf unsere Anfragen an die Fake-IP, damit diese nicht
auf die Antworten reagiert, kann man diesen Rechner mit SYN-Flooding
aus dem Verkehr ziehen. Wer den Sourcecode für eine solche Attacke
sucht, findet den in Phrack 49 Artikel 7.

3.) Ping of Death alias Large Packet Attack
Diese DoS-Attacke hat den Namen Ping of Death nur daher erhalten, da
sich das kleine Programm ping, das bei jedem OS dabei ist besonders
gut dafür eignet diese Attacke durchzuführen. Die Auswirkungen der
Attacke sind recht unterschiedlich und hängen vom OS des Betroffenen
ab, sie reichen von kurzem hängen der Maschine bis zu kompletten
Absturz des Systems. Normalerweise testet man mit ping ob ein Server
noch am Leben ist, bzw wie gut die Verbindung steht. Man bekommt nach
einem ping gesagt, wie lange der Weg eines Paketes hin und zurück
gedauert hat. Man schickt also ein oder mehrere Pakete an einen
Zielrechner, der diese dann zurücksendet und jenachdem wieviel
Zeit zwischen Senden und Emfang verstrichen ist, weiß man ob die
Verbindung perfekt oder total am Ende ist. Die eigentliche Attacke
beruht aber wie gesagt nicht auf dem ping sondern auf einer Ausbeutung
des Internet Protokolls (IP). Wenn man einem anderen Rechner Daten
schickt, werden sie mit Hilfe des IP's in handliche, kleine Pakete
verpackt, die dann einzeln gesendet werden, und auf dem Zielrechner
mit Hilfe von IP wieder zusammengebastelt werden. Diese Pakete sind
maximal 65,535 (2^16-1) bytes groß, da der IP Header nur ein 16-bit
Feld für die Größe des Paketes vorgesehen hat. Der IP Header an sich
ist 20 bytes groß, wodurch uns noch ganze 65,515 bytes für sinnlosen
Datenmüll bleiben <g>. Da die Protokolle unter IP meistens nur noch
kleinere Pakete verarbeiten können (Ethernet kann nur 1500 bytes
gebrauchen) werden diese Pakete nochmals zerkleinert. Dann werden sie
an den Zielrechner gesendet, der sie dann wieder zusammenbastelt.
Zuerst baut es die IP Pakete zusammen, und dann die enthaltenen Daten.
Soweit der Normalfall, aber der interessiert in diesem Artikel nur am
Rande Zunge raus. Was passiert aber nun, wenn wir es schaffen, ein IP Paket zu
basteln, das größer als 65,535 bytes ist ? Es wird zerkleinert, an
den Zielrechner gesandt und der versucht nun das übergroße IP-Paket
wieder zusammenzusetzen. Dabei findet er aber heraus, das das Paket
größer als erlaubt ist und bekommt einen Speicherüberlauf, was ihn
arg ins schwitzen bringen kann (wie gesagt, je nach OS).
Soviel zur Attacke, aber was hat ping nun damit zu tun ? Ok, was macht
ping ? Es verschickt Pakete, deren größe man selbst bestimmen kann.
Unter Win95 und WinNT gibt es nun einen kleinen Fehler.
Per 'ping -l 65508 targethost' (auf der dos Kommando Ebene) schickt
man ein 65508 bytes großes Paket. Kein Problem, ist ja noch in der
akzeptablen Größe, wäre da nicht noch der 8 bytes lange ping header
und der 20 Bytes große IP header..
65,508 + 8 + 20 = 65,536 > 65,535
Dumm gelaufen, aber das eine Byte kann ausreichen. Dadurch kam das
Programm ping zur Ehre ein DoS-Tool zu werden. Diese Attacke kann
aber auch mit anderen Programmen durchgeführt werden, die dann
auch mehr als nur 1 byte überlauf erzeugen können.
Wobei dieser Bug auf den meisten Systemen behoben wurde und sich
auch nur noch das 'alte' Win95 Ping dazu eignet.

4.) Finger
Nein, hier wird nicht gefummelt,.. ;P
Diese Attacke hat zwar nicht allzuviel mit TCP-IP zu tun und ist 'etwas'
älter aber ich finde sie recht interessant. Finger ist ein brauchbares
Unix/Linux Tool, das man verwendet um Informationen über den User
einer E-Mail Addresse herauszufinden. Viele dieser Finger Varianten
(fast jedes Unix/Linux hat seine eigene) erlauben es, so zu tun, als
würde die Anfrage von einem anderen Server kommen. Normalerweise startet
man finger folgendermaßen:
finger SnakeByte@gmx.de
Wenn man aber das ganze durch einen anderen Server leiten will:
finger SnakeByte@yahoo.com@gmx.de
Wenn man nun aber folgendes probiert
finger SnakeByte@@@@@@@@@@@@@@@@@@@@gmx.de
werden lauter Prozesse angeleiert, die mächtig Bandbreite, Speicherplatz
und ähnliches fressen, also das ganze auf dem Zielrechner ausführen.
Es wird versucht durch den eigenen Sever, das finger Programm
anzusprechen, das wieder auf dem eigenen Server das finger Programm
anspricht, das... etc ;P

5.) Ping Flooding
Hier setzt man dem Zielrechner eine Menge an Ping Paketen vor, die er
alle zu beantworten hat. Das kostet ihn natürlich ne Menge an
Rechenzeit und Bandbreite. Da man die Ping Pakete aber selber schicken
muss lohnt es sich das ganze auf einer shell zu starten.
Unter Linux/Unix werden solange ping Pakete gesendet, bis der User
mit Strg+C abbricht, daher kann man einfach mit
ping -s hostip
ne Menge an Ping Paketen schicken unter Win9x / NT geht man auf
Start - Ausführen und gibt einige Male (15-20)
PING -T -L 256 <Zielip>
ein und der Zielrechner hat zu arbeiten.

6.) Moderne DDOS Tools
Das Problem beim fluten anderer Server ist, das diese meistens eine große Bandbreite
besitzen, die hier aufgeführten Attacken werden also voraussichtlich nur bei
Rechnern funktionieren, deren Bandbreite kleiner oder gleich eurer ist
Jedoch haben die meisten modernen DDOS (Distributed DOS) Programme es geschafft
dieses Problem zu lösen. Man installiert auf mehreren Rechnern Backdoors
( z.B. TRINOO, TFK, Stacheldraht ), diesen kann man nun per Client übermitteln,
welche IP sie mit welcher Attacke angreifen sollen. Dadurch erreicht man
einen Datenstrom, der wie man in der Vergangenheit bemerkt hat auch große
Server wie YAHOO lahmlegen kann.
So ich hoffe ich konnte euch ein bisschen die Welt des Denial of Services zeigen, und anschaulich machen