GlasBlog

Botnets erfuhren in den letzten Jahren immer mehr Aufmerksamkeit, was nicht verwundert, betrachtet man aktuelle Wachstumsstatistiken:

Quelle: Shadowserver Foundation

Doch noch sind wir weit davon entfernt behaupten zu können, jedes Detail zu kennen. Wir scheitern immer wieder an neuen Methoden mit denen diese Netzwerke ihr Tuen verschleiern. Und je weiter wir vordringen desto einfallsreicher und komplexer werden diese.

Genaue Einblicke in Botnets könnte uns bei deren Bekämpfung helfen, wir bekommen neue Möglichkeiten auf die rasante Entwicklung effektiv zu reagieren. So könnten wir z.B. neue Wege finden DDoS Attacken zu verhindern und Spamming zu reduzieren. Je mehr wir wissen, desto nachhaltiger können wir die aktuelle Entwicklung verlangsamen, oder sogar stoppen. Auch das Wissen wann und wie Ziele gewählt werden könnte uns einen Vorteil bei der Prävention von Angriffen schaffen. weiterlesen »

Gelegentlich erlaube ich mir einen kleinen Scherz und betrachte mir ein Botnetz. Immer wieder stoße ich dabei über kurioses und manchmal kann man sich nur noch an den Kopf fassen.

Es gibt immer wieder Menschen mit Sinn für Humor:

Welcome to the Microsoft Exchange Chat Service server DEU|278768792
Your host is TAST, running version 5.5.2653
This server was created Sep  9 2000 at 01:20:51 PDT
TAST 5.5.2653 aioxz abcdefhiklmnoprstuvxyz
There are 105 users and 102 invisible on 2 servers

Oh, schon lange nicht mehr gesehen, ein Mensch der aus der Unreal3.2-RC2fix Reihe springt. Aber wieso ausgerechnet Microsoft Exchange Chat Service?

Ich habe mich noch bisschen umgesehen und ein paar Informationen gesammelt: weiterlesen »

Wie man bestimmt festgestellt hat, funktioniert das submit-norman Modul nicht mehr mit der Norman Sandbox.
Damit wir nicht weiterhin auf diese Analysen verzichten müssen, haben die Jung von SURFids im September letzten Jahres einen Patch veröffentlicht.

Ich fasse kurz die Eingriffe die bei Nepenthes nötig sind zusammen: weiterlesen »

Wer seine Linux Box nicht ausschließlich für Nepenthes verwendet, ist bestimmt schon einmal in die Lage gekommen, dass ein von Nepenthes belegter Port für einen anderen Dienst gebraucht wird. Da man meist nicht gewillt ist sämtliche *.conf Files nach betreffendem Port zu durchsuchen, könnte man eine simple grep Anweisung verwenden:

grep “3127″ /opt/nepenthes/etc/nepenthes/*.conf
/etc/nepenthes/log-surfnet.conf: “3127″,
/etc/nepenthes/vuln-mydoom.conf: ports (“3127″);

Diese Module können wir nun in der /nepenthes/nepenthes.conf deaktivieren und unsere Ports damit wieder frei geben:

// “vulnmydoom.so”, “vuln-mydoom.conf”, “”
// “logsurfnet.so”, “log-surfnet.conf”, “”

Wobei in diesem Fall log-surfnet auch keine Rolle spielt.

Der Web Sicherheit Spezialist Finjan berichtet in seinem Web Security Trends Report Q4/2007 von neuen Methoden der Botnetz Betreiber und was uns erwarten wird. Das Malicious Code Research Center (MCRC) von Finjan schreibt in diesem Zusammenhang von Trojanern die Elemente des Web 2.0 zur Kommunikation mit ihren Besitzern verwenden. weiterlesen »