Forums ZATAZ Liste Community Blog

Forums ZATAZ Liste Community Blog http://www.zataz.com/forum/index.php?autocom=blog Liste Community Blog Syndication Thu, 25 Mar 2010 02:17:22 +0100 dbancal@zataz.com (Forums ZATAZ) IP.Blog 60 <![CDATA[ZATAZ'Blog - Exclusive: Nasa Pirated ... Again]]>
Several Web sites belonging to NASA have been compromised in recent days, via SQL injection. Vulnerabilities that can allow, for example, to extract a database and other sensitive information. An attack was announced by a ###### "gray hat" web. A Lebanese who calls himself on the canvas, Idahc. One of the compromised servers, which has still not been corrected, is a division of Langley Research Center. The curious ###### web, may still end up with a complaint of piracy in the image of Gary McKinnonhttp://www.zataz.com/news/19682/Gary-McKin...ra-extrade.html, the "hunter" extra-terrestrial who will be extradited to the U.S. to pirating in 2001, several servers U.S. state, including systems for NASA. A case that does not seem to worry more than that "pirates" and other "hackers" who, as shown in our second screenshot, especially love playing with the machinery of the National Aeronautics and Space Administration at the risk of ending up in the constellation judicial of Uncle Sam.]]> Sun, 27 Dec 2009 14:06:00 +0100 <![CDATA[ZATAZ'Blog - Al Jazeera : Sms / Mms Channel Dangerous]]> Exclusive: After the telephone subsidiary news site Al Jazeera, here come the website itself with the possibility of spammers all subscribers the option SMS / MMS channel information of Qatar.

Imagine. An attacker could send hundreds of thousands of members of the SMS option Site Info Al Jazeera any data: image, malicious code, false information ... How ? An open door was discovered in the server application that manages the platform established by the international chain. We will not give details.

Pending the correction, "pirate" could distribute multimedia content to all mobile customers and subscribers of Aljazeera, several hundreds of thousands of members. This multimedia platform uses ua solution that allows the news channel of Qatar, through various services such as Aljazeera Mobile, contacting customers and subscribers on their mobile informing them of the latest news: Breaking News, Political News, Special Sports Events, TV Program Alerts, Weather, etc.. In short it is a solution for the dissemination and presentation of multimedia content adapted for different systems and devices: (GSM, GPRS, EDGE, UMTS, CDMA, 1xRTT, CDMA 1xEV-DO / Internet / iPod / etc.)

Contacted several times by ZATAZ.COM, it seems that our letters are parties to surf in the desert of Qatar. Please note that the Embassy of Qatar in Paris, has remained all too silent to our pleas. This is the second issue of XXL size discovered in the constellation of sites Al Jazeera. None has yet been corrected! The first concerns the mobile phone option.]]> Sun, 27 Dec 2009 13:56:18 +0100 <![CDATA[ZATAZ'Blog - Exclusive Zataz - Hacker Vedetta Busted]]>
In the hands of Vendetta, more than 280.000 customers id and passwords. Vendetta pointed out having found a fault in the modem-navigator Bbox2 of Belgacom, what was not case. FAI gave evidence felt sorry. The Judge Leroux who took the file in hand and asked the bloodhounds of Federal Computer Crime Unit (Federal Detective police force - FCCU ) of Brussel to take responsibility for affair.

On November 30th, Vendetta had to diffuse all stolen information. Except that Vendetta had given no more news.

ZATAZ.COM has just learnt that on wednesday, dec. 2nd, at 5:30 am, the computer hacker was stopped by the policemen of the FCCU.

20 years, the student in computer science live in Ganshoren. He would have confessed facts. During house search, proof of several other piracy being discovered.

The pirate is in prison.]]> Wed, 02 Dec 2009 16:59:00 +0100 <![CDATA[ZATAZ'Blog - Exclusive: Vulnerabilities For Al Jazeera Mobile Telecom]]> Exclusive: A fault of size XXL discovered in the management system of telephone operator of the chain of Arab satellite information, Al Jazeera.

An English version is offered for - arabophones. From this firm of information follow several subsidiaries, among which the one who interests us Al Jazeera Mobile today. International entity devoted to the mobile telephony, set up in October, 2003, in collaboration with Al Majaz Télécom.

An anonymous reader of ZATAZ.COM informed us, last October, about an important and serious vulnerability aiming at the part mobile telephony of Al Jazeera [Look]. « It is therefore from this small box of matches that comes all this din » the Egyptian president Hosni Moubarak in 2001 had a good time. Today, the baby limps with match should think of answering our numerous electronic mails of alerts [HaideD 204] that we sent her so that she can correct and protect her customers.

We have proof that mails were received definitely. Acknowledgements of receipt were announced to us following our alerts but without any suite. We therefore decided to pass by the embassy of Qatar, to Paris, to hope to see this fast set up correction.

We shall not explain, definitely hollowing-out, how to achieve all the customers, that it is French, English, Australian or from Qatar. What the writing{editorial staff} of ZATAZ.COM can say is because the exploitation of this vulnerability allows a pirate or an attacker to compromise the system, and to achieve, recover, and change extremely confidential data. Al Jazeera is classified as one of the most influential five marks in the world.]]> Tue, 01 Dec 2009 22:28:00 +0100 <![CDATA[Eric Romang Blog - Iis5 & 6 Ftp Stack Overflow Zeroday]]> Kingcope a diffusé, aujourd'hui dans la journée, sur la mailing-list Full Disclosure, un 0Day visant IIS 5 et 6 par le biais du service FTP intégré dans IIS de Windows 2000. Ce 0Day à plusieurs comportements :

- pour IIS 5 sous Windows 2000, l'exploit fournit un accès shell au serveur permettant de le compromettre, mais requiert une authentification quelconque (par exemple anonymous, client d'oeil à Damien ....), et que l'utilisateur FTP puisse créer un répertoire. Difficilement exploitable en anonymous

- pour IIS 6 sous Windows 2003, l'exploit permet d'effectuer un déni de service (DoS) sur le serveur web, rendant celui-ci inaccessible. (va y avoir du DoS dans l'air).

Code

#Microsoft Internet Information Server 5.0/6.0
#FTP Server Remote Stack Based Overrun
# IIS 5.0 FTPd / Remote r00t exploit
# Win2k SP4 targets
# bug found & exploited by Kingcope, kcope2<at>googlemail.com
# Affects IIS6 with stack cookie protection
# August 2009 - KEEP THIS 0DAY PRIV8

Pour se protéger de ces tentatives d'exploitation, biensûr ne donner un accès FTP qu'à des utilisateurs de confiance.

Il est aussi possible de détecter cette attaque par le biais de l'IDS Snort avec la règle VRT : (ftp_telnet) FTP command parameters were too long

Code

SITE KSEXY‰âÚÞÙrô[SYIIIIIIIIIICCCCCC7QZjAXP0A0AkAAQ2AB2BB0BBABXP8ABuJIKLJHPDC0C0C0LKG5GLLKCLEU
BXEQJOLKPOEHLKQOQ0C1JKG9LKGDLKC1JNP1IPLYNLLDIPD4C7IQIZDMC1IRJKL4GKQDFDC4CEJELKQOQ
4C1JKCVLKDLPKLKQOELEQJKLKELLKEQJKK9QLFDDDHCQOFQL6CPPVE4LKPFP0LKG0DLLKBPELNMLKBHEX
MYJXLCIPCZF0CXL0LJDDQOCXJ8KNMZDNPWKOJGBCBME4FNBED8CUGPFOE3GPBNBECDQ0D5D3E5D2Q0CGC
YBNBOCGBNQ0BND7BOBNE9CGGPFOQQPDG4Q0FFQ6Q0BNBED4Q0BLBOCSE1BLBGCBBOCEBPGPG1BDBME9BN
BIBSCDCBE1D4BOCBCCGPBWE9BNBOBWBNGPFOG1QTQTC0AAVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVV
VVVVVV

]]> Mon, 31 Aug 2009 23:20:00 +0200 <![CDATA[RacKhaM's linK HeaveN - Darknet Surfers]]>
D4rKn3T¤SurF3rS My offensive youtube channel.
]]> Sun, 30 Aug 2009 04:34:00 +0200 Eric Romang Blog - Dnsrecon, Yet Another Dns Informations Gathering Tool DNSRecon, outil développé en ruby par Carlos Perez (aka Darkoperator), développeur pour le projet MetaSploit et membre de la team PaulDotCom, est tous comme Fierce, ou DNSEnum, un outil de récupération d'informations par le biais des DNS.

Tous comme DNSEnum, DNSRecon effectue une récupération par le biais des "reverses lookup" d'adresses IP. Mais à la différence de DNSEnum qui va découvrir de part lui même les réseaux associés à un nom de domaine, il faut spécifier à DNSRecon une adresse IP de départ et une adresse IP de fin pour la récupération des "reverses lookup". Cette option est intéressante, car DNSEnum, dans un certain sens, ne nous laisse pas le choix des réseaux à scanner, tandis que DNSRecon nous donnera cette liberté.

Code

ruby dnsrecon.rb -r adresse_ip_de_depart adresse_ip_de_fin serveur_de_dns_alternatif

Une fonctionnalité que par exemple DNSEnum, ou Fierce, n'ont pas est la récupération d'information automatique sur tous les TLD associé à un nom. DNSRecon va automatiquement regarder si un nom de domaine existe pour un certaine liste de TLD, et fournir directement le ou les adresses IP associées. Il est possible facilement de rajouter des TLD à DNSRecon en modifiant le code (par exemple, DNSRecon n'intègre pas le TLD .lu dans sa liste)

Code

     82     "com", "org", "net", "edu", "mil", "gov", "uk", "af", "al", "dz",
     83     "as", "ad", "ao", "ai", "aq", "ag", "ar", "am", "aw", "ac","au",
     84     "at", "az", "bs", "bh", "bd", "bb", "by", "be", "bz", "bj", "bm",
     85     "bt", "bo", "ba", "bw", "bv", "br", "io", "bn", "bg", "bf", "bi",
     86     "kh", "cm", "ca", "cv", "ky", "cf", "td", "cl", "cn", "cx", "cc",
     87     "co", "km", "cd", "cg", "ck", "cr", "ci", "hr",     "cu", "cy", "cz",
     88     "dk", "dj", "dm", "do", "tp", "ec", "eg", "sv", "gq", "er", "ee",
     89     "et", "fk", "fo", "fj",     "fi", "fr", "gf", "pf", "tf", "ga", "gm",
     90     "ge", "de", "gh", "gi", "gr", "gl", "gd", "gp", "gu", "gt", "gg",
     91     "gn", "gw", "gy", "ht", "hm", "va", "hn", "hk", "hu", "is", "in",
     92     "id", "ir", "iq", "ie", "im", "il", "it", "jm", "jp", "je", "jo",
     93     "kz", "ke", "ki", "kp", "kr", "kw", "kg", "la", "lv", "lb", "ls",
     94     "lr", "ly", "li", "lt", "lu", "mo", "mk", "mg", "mw", "my", "mv",
     95     "ml", "mt", "mh", "mq", "mr", "mu", "yt", "mx", "fm", "md", "mc",
     96     "mn", "ms", "ma", "mz", "mm", "na", "nr", "np", "nl", "an", "nc",
     97     "nz", "ni", "ne", "ng", "nu", "nf", "mp", "no", "om", "pk", "pw",
     98     "pa", "pg", "py", "pe", "ph", "pn", "pl", "pt", "pr", "qa", "re",
     99     "ro", "ru", "rw", "kn", "lc", "vc", "ws", "sm", "st", "sa", "sn",
    100     "sc", "sl", "sg", "sk", "si", "sb", "so", "za", "gz", "es", "lk",
    101     "sh", "pm", "sd", "sr", "sj", "sz", "se", "ch", "sy", "tw", "tj",
    102     "tz", "th", "tg", "tk", "to", "tt", "tn", "tr", "tm", "tc", "tv",
    103     "ug", "ua", "ae", "gb", "us", "um", "uy", "uz", "vu", "ve", "vn",
    104     "vg", "vi", "wf", "eh", "ye", "yu", "za", "zr", "zm", "zw", "int",
    105     "gs", "info", "biz", "su", "name", "coop", "aero" ]

Code

ruby dnsrecon.rb -tld zataz serveur_de_dns_alternatif

De nouveau, tous comme DNSEnum ou Fierce, DNSRecon propose une récupération d'informations "brute force" par le biais d'un fichier contenant tous les sous-domaines que vous désirez tester. Malheureusement, comme Fierce, DNSRecon ne propose pas une mise à jour du fichier contenant tous les sous-domaines qui auraient pu être découverts par les autres options de DNSRecon.

Code

ruby dnsrecon.rb -b zataz.com dns.txt serveur_de_dns_alternatif

Une autre fonctionnalité de DNSRecon est la récupération d'informations basée sur les entrées NS, entrées SOA et entrées MX associées au nom de domaine cible.

Code

ruby dnsrecon.rb -s zataz.com serveur_de_dns_alternatif

Une tentative de transfert de zone est aussi possible par le biais de DNSRecon, tous comme pour DNSEnum ou Fierce.

Code

ruby dnsrecon.rb -axfr zataz.com

]]> Sat, 22 Aug 2009 22:57:00 +0200 Eric Romang Blog - Metagoofil, Analyse De Métadonnées Oubliées Metagoofil, développé par Edge-Security, permet la récolte d'informations par le biais des documents disponibles sur Internet.

Metagoofil se chargera d'extraire les "métadonnées" de différents types de documents (pdf ,doc, xls, ppt, odp, ods), d'un nom de domaine cible, disponibles sur Internet. Pour ce faire, Metagoofil va interroger Google, et utilisera les options de recherches avancées du moteur de recherche pour cibler les extensions de fichiers (filetype:pdf site:zataz.com, par exemple).

Les options de Metagoofil sont les suivantes :

Code

usage: metagoofil options

    -d: domain to search
    -f: filetype to download (all,pdf,doc,xls,ppt,odp,ods, etc)
    -l: limit of results to work with (default 100)
    -o: output file, html format.
    -t: target directory to download files.

    Example: metagoofil.py -d microsoft.com -l 20 -f all -o micro.html -t micro-files

Comme vous pouvez le voir, Metagoofil propose de filtrer les documents cibles desquels seront recupérés les métadonnées. Il est aussi possible de donner une limite aux résultats retournés par Google, d'enregistrer un rapport d'activité HTML et de spécifier le répertoire cible des documents qui auront été téléchargés.

Le rapport d'activité vous donnera les informations suivantes :

- URL d'où le document a été téléchargé.
- Un lien direct vers le document sauvé en local.
- L'extrait des metadonnées.

Les metadonnées peuvent contenir des informations juteuses, tels que par exemple :

- La date de création du document
- La date de dernière modification du document
- Le logiciel et la version de logiciel utilisé pour créer le document.
- La langue par défaut dans laquelle le logiciel a été configuré pour éditer le document
- Le nombre de pages, de caractères, de mots, paragraphes et de lignes du document
- Le nom du template utilisé pour la création du document
- Le type d'imprimante ayant généré le document
- Le chemin d'accès de stockage du document
- Le nom de l'utilisateur ayant créé le document (correspond la plupart du temps à l'identifiant de l'utilisateur dans le domaine)
- Le nom de l'utilisateur ayant modifié en dernier le document (correspond la plupart du temps à l'identifiant de l'utilisateur dans le domaine)

Code

creation date - 20040919050429+02'00'
producer - OpenOffice.org 1.1.2
creator - Writer
format - PDF 1.4
mimetype - application/pdf

Code

subject - Image
title -
producer - Canon iR C3380
author -
creation date - 20080320141726+01'00'
format - PDF 1.3
mimetype - application/pdf

Code

title - Microsoft Word - ThreatNews_Flyer.doc
creator - PScript5.dll Version 5.2
author - robert.duschnock
producer - Acrobat Distiller 5.0.5 $Windows$
modification date - D:20050905162340+02'00'
creation date - 20050905142137Z
format - PDF 1.4
mimetype - application/pdf

Code

mimetype - application/msword
language - U.S. English
paragraph count - 4
line count - 16
last saved by - eromang
character count - 2019
template - Normal.dot
creation date - 2008-10-28T12:04:00Z
title - qu'il est beau mon document word
word count - 354
page count - 1
creator - dbancal
date - 2009-08-11T17:28:00Z
generator - Microsoft Office Word

]]> Sat, 22 Aug 2009 19:42:00 +0200 Eric Romang Blog - Quelques Statistiques Sur Les Rfi Honey Net ZATAZ.

Le premier graphe "TOP 10 24h RFI Countries" va vous montrer le top 10 des pays les plus actifs, en terme d'évènements générés, en attaque RFI sur une période de 24 heures.

Le deuxième graphe "TOP 10 7 day's RFI Countries" va vous montrer le top 10 des pays les plus actifs, en terme d'évènements générés, en attaque RFI sur une période de 7 jours.

Le troisième graphe "TOP 10 1 month RFI Countries" va vous montrer le top 10 des pays les plus actifs, en terme d'évènements générés, en attaque RFI sur une période de 1 mois.

Le quatrième graphe "24h TOP 5 countries activities" va vous montrer le top 5 des pays les plus actifs, en terme d'événements générés, en attaque RFI sur une période de 24 heures, avec comme particularité que chaque pays est représenté par une courbe, permettant d'effectuer une analyse plus fine sur les botnets.

Le cinquième graphe "TOP 5 countries 24h ips / num RFI radar" va vous montrer un radar du nombre d'adresses IP source d'évènements par rapport aux nombres de RFI détectés dans ces mêmes pays.

Les statistiques situées pour l'instant en bas de page rapportent pour tous les pays détectés en tant que RFI :

- Temps de vie minimal d'un RFI
- Temps de vie moyen d'un RFI
- Temps de vie maximal d'un RFI
- Nombre de RFI détectés
- Nombre d'évènements générés par ces RFI
- Ratio évènements par RFI.]]> Sat, 22 Aug 2009 12:39:07 +0200 Eric Romang Blog - Slowloris Indétectable, Pas Si Sûre Que Cela DoS et les DDoS de bourrins, dont la technique principale est de remplir le tuyau pour rendre l'accès aux ressources impossibles. Ces techniques d'attaques n'étaient pas très discrètes et les contre-mesures difficilement possibles, à part par la mise en place de "IP Blackhole", ou encore par le prise de contact avec le "carrier" afin de ne plus annoncer la route vers le serveur cible (ce qui revient à un auto DoS ....).

RSnake, un chercheur en sécurité informatique, de ha.ckers, a mis à disposition un outil de DoS lent nommé Slowloris permettant de rendre indisponible un serveur web HTTP d'un hôte cible à partir d'un seul hôte source et cela avec le minimum d'usage sur la bande passante et sur la performance globale du hôte cible.

Slowloris garde les connexions HTTP ouvertes en envoyant sur le serveur HTTP cible de requêtes partielles. A intervalle régulier Slowloris va continuer a envoyer des paquets afin d'empêcher le serveur web HTTP de clore les connexions ouvertes, ainsi le serveur web n'a pas la possibilité de répondre à des sollicitations légitimes.

Suivant le développeur de Slowloris, RSnake, et affirmé dans différents podcast, Slowloris serait quasiment indécelable et permettrait le DoS presque parfait. Malheureusement je n'était pas très convaincu de ces affirmations un peu hâtives. Il est vrai que RSnake avait signifié qu'un grand nombre de "sockets" sont ouverts, et que lors de la clôture de ces sockets, un grand nombre de logs sont disponibles par le biais du serveur web. Déjà trop d'indices pour que cela aussi discret que prétendu.

De bons administrateurs systèmes auront mis sous monitoring leurs serveurs web et seront avertis rapidement d'un DoS en cours sur un serveur web. Voici les empreintes d'une attaque pouvant provenir de Slowloris.

Un grand nombre de connexion ouvertes sur le serveur :

Code

[root@fedora ~]# netstat -tan | awk -F " " '{print $4}' | grep xxx.xxx.xxx.xxx | grep 80 | wc -l
487

Un serveur web présentant un nombre de "fork" hors de la normale :

De nombreux messages d'erreurs dans logs d'erreurs HTTP :

De nombreux logs de connexions anormaux dans les logs d'accès HTTP :

Un monitoring des caractéristiques du serveur web qui devient indisponible :

Par le biais de tous ces indices il est clairement possible de détecter une attaque du type Slowloris et ainsi de bloquer rapidement la source de cette attaque.]]> Sun, 16 Aug 2009 17:04:00 +0200