Ein Kollege hat mir gerade mitgeteilt, das ein Angreifer auf gehackten Webseiten einen Angriff auf die Google-DNS-Server ausführt.
Ich hab dies untersucht. Das Skript ist dafür, das man damit großen Schaden anrichten kann, relativ „klein“.
—

Ein Angreifer führt aktuell über gehackte Webseiten einen DDoS-Angriff auf ns1.google.com aus.

Dieser lädt über eine alte PHP-Shell ein Skript nach, welches dann am Ende in einer While-Schleife per curl() über den Port 53 UDP auf ns1.google.com geht und A-Records abfrägt:

Der Aufruf der Datei erfolgt dann mit folgenden Parametern:

stph.php?action=start&time_s=1347726169&time_e=1347733169&page=N=ZwR2YwVmBF4mZv4kZSfwKGHmJlAqZGDjZSfwKGpjZQOoV111MU

Der Inhalt von $_GET[page] ist in diesem Fall ns1.google.com und wird durch folgende Funktion „entschlüsselt“:

Function decodesttr($string)
{
$string = @str_rot13($string);
$start_str = @substr($string,2);
$end_str = @substr($string,0,2);
return @base64_decode($start_str.$end_str);
}


der Aufruf von: stph.php?action=start&time_s=1347726169&time_e=1347733169&page=N=ZwR2YwVmBF4mZv4kZSfwKGHmJlAqZGDjZSfwKGpjZQOoV111MU
# Ergibt daher folgendes:
216.239.32.10[#]53[#]1400[#]7000[#]udp


Damit wird die IP 216.239.32.10 auf dem Port 53 mit Packeten zu einer Länge von 1400 Bytes 7000 mal mit dem Protokoll UDP aufgerufen…

Die Malware-Skripte von uns finden diese Dateien zuverlässig und bisher konnten wir noch keine Probleme oder Beeinträchtigungen bei den Google–DNS-Server feststellen.

Wer die Shells und das DDoS-Skript zur Analyse haben möchte, kann über die contact-Funktion oder per Mail/Twitter diese bekommen.

[UPDATE 18.09.2012 T21:00]
Der Angreifer hat erneut über gehackte Webseiten mit seinem DDoS-Skript andere angegriffen, diesemal mit folgenden Daten:
171.159.100.172[#]80[#]2[#]1800
Dem Hostnamen nach, gehört die IP zu safe-prodca.bankofamerica.com.

[UPDATE 25.09.2012 T19:00]
Der Angreifer geht nun auf IP-Adressen von Wells Fargo
151.151.91.5[#]53[#]1[#]3600#

[UPDATE 16.10.2012 T21:35]
Der Angreifer geht nun auf IP-Adressen von Capitalone
208.80.48.53[#]443[#]1400[#]3750#

Seit längerem fällt die IP-Adresse 95.211.0.112 in der URL-Datenbank auf.

Es gibt mehrere hundert (und stündlich wachsende) Einträge mit neuen Domais zu Shops welche gefälschte Produkte anbieten wie z.B. auf http://www.hairdressingtongs.com/handbagsgt-c-8.html oder guccidiscounts.com und noch viele andere Domains….

    –   

Die Domains/URLs sind vom aktuellen Stand hier aufgelistet:

http://www.blocklist.de/downloads/urls/95.211.0.112.txt

Leaseweb wurde von uns darüber in Kenntnis gesetzt, aber da die IP 95.211.0.112 bereits schon lange online ist, ist nicht mit einer Abschaltung zu rechnen 🙁

Die IP hat sich geändert. Die Fake-Shops sind nun auf:

95.211.0.111

gehostet.

In der URL-Datenbank sind beim durchsehen Einträge für den Host www.simplesite.com aufgefallen. Wir haben für diesen Host über 11.000 Einträge.

Die meisten Einträge sind für „Cheap cigars online“:

Wir haben die Betreiber mit dem Link zur URL-Liste soeben mit Veröffentlichung des Beitrags informiert.

Vollständige Liste: http://www.blocklist.de/downloads/urls/www.simplesite.com.txt

Es sieht dabei dem URL-Aufbau zur Folge nach nur 5 User aus.

Ein Kollege von einem anderen Abuse-Team (BotNetzProvider) hat mich darauf aufmerksam gemacht, das aktuell im Channel #bitcoin auf irc.freenode.org massiv von Bots gespamt wird:
http://botnetzprovider.de/goatse.html

Die Bots schreiben einen per Query an, was dann so aussieht:

Die Links können evtl. gefährlichen Content beinhalten!

Als Text:

Was genau hinter den Links kommt (wahrscheinlich ein Exploit-Kit oder Malware-Downloader) haben wir bisher noch nicht untersucht.

Wir haben nun die Skripte angepasst und reporten die Bots über BlockList.de an die entsprechendne Provider:

https://www.blocklist.de/de/view.html?ip=46.100.250.110

Die IP-Adressen der Bots sind aus aller Welt, aber ein großteil kommt aus Polen.

Ob die Bots nur Windows-Systeme sind, haben wir noch nicht untersucht.

[Update: 00:30 Uhr]
Seit 00 Uhr scheint es vorbei zu seinen oder die Bots bespamen unseren User nicht mehr 🙁

[Update: 00:45 Uhr]
Doch, es geht nun langsam auf dem neuen Nick weiter 🙂

So wie es aussieht, hat der Bitcoin-User pirateat40 mit einem Pyramiden-System mehrere Millionen US-Dollar eingenommen:
http://www.ninjalane.com/newspost5855.aspx
https://twitter.com/GreatEscapeBlog/status/240856486119612416
http://www.spiegel.de/netzwelt/web/diaspora-wird-community-projekt-a-852482.html

[Update: 17:30 Uhr]
Bis jetzt haben wir schon über 300 uniq IP-Adressen reportet.

 
[UPDATE: 05.09.2012 21:12 Uhr]
Der Spamer hat seine Nachrichten geändert. Diese sehen nun wie folgt aus:


21:08 [xexh556ot(~xexh556ot@74.115.1.90)] <html>
21:08 [xexh556ot(~xexh556ot@74.115.1.90)] <head><title>302 Found</title></head>
21:08 [xexh556ot(~xexh556ot@74.115.1.90)] <body bgcolor="white">
21:08 [xexh556ot(~xexh556ot@74.115.1.90)] <center><h1>302 Found</h1></center>
21:08 [xexh556ot(~xexh556ot@74.115.1.90)] <hr><center>nginx/1.0.6</center>
21:08 [xexh556ot(~xexh556ot@74.115.1.90)] </body>
21:08 [xexh556ot(~xexh556ot@74.115.1.90)] </html>


Wenn die Bots sich die Texte von einer Webseite holen, so scheint evtl. der Webserver überlastet zu sein, bzw. hat nicht weitergeleitet 🙂

 
[UPDATE: 06.09.2012 01:27 Uhr]
Seit ca. 22:30 Uhr gestern sind keine neue Spam-Nachrichten mehr im IRC eingegangen. wahrscheinlich hat der seine Bots nicht richtig konfiguriert oder seine Webseite wo sich die Bots das Template her holen wurde gesperrt oder er hat das Bot-Netz nur für 3 Tage gemietet 🙂

 
[UPDATE: 06.09.2012 02:01 Uhr]
Seit 02:00 Uhr geht es wieder weiter 🙂 Die Bots scheinen wohl immer zwischen 22 und 2 Uhr, bzw. 00 und 2 Uhr eine Pause zu machen.

 
[UPDATE: 07.09.2012 18:03 Uhr]
Seit ca. 12 Uhr haben wir auf keinem Honeybot mehr eine Spam-Nachricht erhalten 🙁 entweder hat er aufgegeben oder seine 150BTC erhalten 😉