Seit gestern 21:50 Uhr nehmen die SSH-Attacken sehr stark zu.

Bzw. die Copy-Mails für generierte Reports hat seit dem bereits 87 SSH-Attacken von meist bisher unbekannten IPs gemeldet. Zum Teil hat der Server5 alle 10 Minuten eine SSH-Attacke erfolgreich nach 5 Fehllogins gesperrt:

Und es nimmt nicht ab…. zum Teil sind es gerade 5 pro Minute.

Ein allgemeiner Anstieg in den Attacken ist aber noch nicht feststellbar.

We use now dkim for our outgoing Mails (Reports…).

The Public-Key in the DNS is:

MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQC88fq6G8O5Bk9YAsmtn22gv6VpvA0QO8HuKHIb3dTSHnN7B9vwQc4EY2TYT/AV5GWOzyF/C2PaO8Co1YD2Tauc410eonXZjf6z7l8W8B8Tl8OfchVB7K4shwUgq10Hx6NEs6kTfELpaef++ImfK0GOcwVRljAylAnOGD4PjdlQSQIDAQAB

The test from sendmail.net returns:

——————————————-

Authentication System:       DomainKeys Identified Mail (DKIM)
   Result:                   DKIM signature confirmed GOOD
   Description:              Signature verified, message arrived intact
   Reporting host:           services.sendmail.com
   More information:         http://dkim.org/
   Sendmail milter:          http://opendkim.org/

——————————————-

 .

A Header-Tag looks so:

X-DKIM: Sendmail DKIM Filter v2.8.2 mail.blocklist.de 07D321C74582
DKIM-Signature: v=1; a=rsa-sha256; c=simple/simple; d=blocklist.de;
s=default; t=1349142637;
bh=rBr/wjJL87eW1DCqQdV3QvGHcRTsP687Hg3fCwZKLWA=;
h=To:Subject:MIME-Version:Reply-To:From:Sender:
Content-Transfer-Encoding:Content-Type:Message-Id:Date;
b=uVvv2tIIlTcPs9XOOcArpxyxX9Mn077suSxwWalt7MPfcRqjZyeG75X0SuwDsiZKh
/GueVwiBYFtE97ibu1V73Tm7GTesQeectMlc6/mxpIjWcc+HB2oJSp4zZ+aGxcEO//
Xbg5wHAEXK6bOjv3zHeUn3+8jn9/cHeJVLE4xfho=


If you have Problems with our Mails, please Contact us:

https://www.blocklist.de/en/contact.html

The next step is to send Reports with a signature.

Ein Kollege hat mir gerade mitgeteilt, das ein Angreifer auf gehackten Webseiten einen Angriff auf die Google-DNS-Server ausführt.
Ich hab dies untersucht. Das Skript ist dafür, das man damit großen Schaden anrichten kann, relativ „klein“.
—

Ein Angreifer führt aktuell über gehackte Webseiten einen DDoS-Angriff auf ns1.google.com aus.

Dieser lädt über eine alte PHP-Shell ein Skript nach, welches dann am Ende in einer While-Schleife per curl() über den Port 53 UDP auf ns1.google.com geht und A-Records abfrägt:

Der Aufruf der Datei erfolgt dann mit folgenden Parametern:

stph.php?action=start&time_s=1347726169&time_e=1347733169&page=N=ZwR2YwVmBF4mZv4kZSfwKGHmJlAqZGDjZSfwKGpjZQOoV111MU

Der Inhalt von $_GET[page] ist in diesem Fall ns1.google.com und wird durch folgende Funktion „entschlüsselt“:

Function decodesttr($string)
{
$string = @str_rot13($string);
$start_str = @substr($string,2);
$end_str = @substr($string,0,2);
return @base64_decode($start_str.$end_str);
}


der Aufruf von: stph.php?action=start&time_s=1347726169&time_e=1347733169&page=N=ZwR2YwVmBF4mZv4kZSfwKGHmJlAqZGDjZSfwKGpjZQOoV111MU
# Ergibt daher folgendes:
216.239.32.10[#]53[#]1400[#]7000[#]udp


Damit wird die IP 216.239.32.10 auf dem Port 53 mit Packeten zu einer Länge von 1400 Bytes 7000 mal mit dem Protokoll UDP aufgerufen…

Die Malware-Skripte von uns finden diese Dateien zuverlässig und bisher konnten wir noch keine Probleme oder Beeinträchtigungen bei den Google–DNS-Server feststellen.

Wer die Shells und das DDoS-Skript zur Analyse haben möchte, kann über die contact-Funktion oder per Mail/Twitter diese bekommen.

[UPDATE 18.09.2012 T21:00]
Der Angreifer hat erneut über gehackte Webseiten mit seinem DDoS-Skript andere angegriffen, diesemal mit folgenden Daten:
171.159.100.172[#]80[#]2[#]1800
Dem Hostnamen nach, gehört die IP zu safe-prodca.bankofamerica.com.

[UPDATE 25.09.2012 T19:00]
Der Angreifer geht nun auf IP-Adressen von Wells Fargo
151.151.91.5[#]53[#]1[#]3600#

[UPDATE 16.10.2012 T21:35]
Der Angreifer geht nun auf IP-Adressen von Capitalone
208.80.48.53[#]443[#]1400[#]3750#

Seit längerem fällt die IP-Adresse 95.211.0.112 in der URL-Datenbank auf.

Es gibt mehrere hundert (und stündlich wachsende) Einträge mit neuen Domais zu Shops welche gefälschte Produkte anbieten wie z.B. auf http://www.hairdressingtongs.com/handbagsgt-c-8.html oder guccidiscounts.com und noch viele andere Domains….

    –   

Die Domains/URLs sind vom aktuellen Stand hier aufgelistet:

http://www.blocklist.de/downloads/urls/95.211.0.112.txt

Leaseweb wurde von uns darüber in Kenntnis gesetzt, aber da die IP 95.211.0.112 bereits schon lange online ist, ist nicht mit einer Abschaltung zu rechnen 🙁

Die IP hat sich geändert. Die Fake-Shops sind nun auf:

95.211.0.111

gehostet.

In der URL-Datenbank sind beim durchsehen Einträge für den Host www.simplesite.com aufgefallen. Wir haben für diesen Host über 11.000 Einträge.

Die meisten Einträge sind für „Cheap cigars online“:

Wir haben die Betreiber mit dem Link zur URL-Liste soeben mit Veröffentlichung des Beitrags informiert.

Vollständige Liste: http://www.blocklist.de/downloads/urls/www.simplesite.com.txt

Es sieht dabei dem URL-Aufbau zur Folge nach nur 5 User aus.

Ein Kollege von einem anderen Abuse-Team (BotNetzProvider) hat mich darauf aufmerksam gemacht, das aktuell im Channel #bitcoin auf irc.freenode.org massiv von Bots gespamt wird:
http://botnetzprovider.de/goatse.html

Die Bots schreiben einen per Query an, was dann so aussieht:

Die Links können evtl. gefährlichen Content beinhalten!

Als Text:

Was genau hinter den Links kommt (wahrscheinlich ein Exploit-Kit oder Malware-Downloader) haben wir bisher noch nicht untersucht.

Wir haben nun die Skripte angepasst und reporten die Bots über BlockList.de an die entsprechendne Provider:

https://www.blocklist.de/de/view.html?ip=46.100.250.110

Die IP-Adressen der Bots sind aus aller Welt, aber ein großteil kommt aus Polen.

Ob die Bots nur Windows-Systeme sind, haben wir noch nicht untersucht.

[Update: 00:30 Uhr]
Seit 00 Uhr scheint es vorbei zu seinen oder die Bots bespamen unseren User nicht mehr 🙁

[Update: 00:45 Uhr]
Doch, es geht nun langsam auf dem neuen Nick weiter 🙂

So wie es aussieht, hat der Bitcoin-User pirateat40 mit einem Pyramiden-System mehrere Millionen US-Dollar eingenommen:
http://www.ninjalane.com/newspost5855.aspx
https://twitter.com/GreatEscapeBlog/status/240856486119612416
http://www.spiegel.de/netzwelt/web/diaspora-wird-community-projekt-a-852482.html

[Update: 17:30 Uhr]
Bis jetzt haben wir schon über 300 uniq IP-Adressen reportet.

 
[UPDATE: 05.09.2012 21:12 Uhr]
Der Spamer hat seine Nachrichten geändert. Diese sehen nun wie folgt aus:


21:08 [xexh556ot(~xexh556ot@74.115.1.90)] <html>
21:08 [xexh556ot(~xexh556ot@74.115.1.90)] <head><title>302 Found</title></head>
21:08 [xexh556ot(~xexh556ot@74.115.1.90)] <body bgcolor="white">
21:08 [xexh556ot(~xexh556ot@74.115.1.90)] <center><h1>302 Found</h1></center>
21:08 [xexh556ot(~xexh556ot@74.115.1.90)] <hr><center>nginx/1.0.6</center>
21:08 [xexh556ot(~xexh556ot@74.115.1.90)] </body>
21:08 [xexh556ot(~xexh556ot@74.115.1.90)] </html>


Wenn die Bots sich die Texte von einer Webseite holen, so scheint evtl. der Webserver überlastet zu sein, bzw. hat nicht weitergeleitet 🙂

 
[UPDATE: 06.09.2012 01:27 Uhr]
Seit ca. 22:30 Uhr gestern sind keine neue Spam-Nachrichten mehr im IRC eingegangen. wahrscheinlich hat der seine Bots nicht richtig konfiguriert oder seine Webseite wo sich die Bots das Template her holen wurde gesperrt oder er hat das Bot-Netz nur für 3 Tage gemietet 🙂

 
[UPDATE: 06.09.2012 02:01 Uhr]
Seit 02:00 Uhr geht es wieder weiter 🙂 Die Bots scheinen wohl immer zwischen 22 und 2 Uhr, bzw. 00 und 2 Uhr eine Pause zu machen.

 
[UPDATE: 07.09.2012 18:03 Uhr]
Seit ca. 12 Uhr haben wir auf keinem Honeybot mehr eine Spam-Nachricht erhalten 🙁 entweder hat er aufgegeben oder seine 150BTC erhalten 😉

Seit ca. 23 Uhr sind die Reports an Deutsche Provider für den Attacken-Typ „mail“ stark angestiegen:
Zwischen 29.08.2012 23:00:00 +0200 und 23:59:59 +0200 haben wir 115 Reports an die folgenden deutschen Provider (zumindest in DE vertreten) gesendet:

arcor-ip.de (Vodafone)
kabelbw.com (Kabel BW)
unitymedia.de
versatel.de
t-ipnet.de (Telekom)
kabeldeutschland.de
telefonica.de
o2.com

Da scheint es wohl einen neuen Spam-Run zu geben oder es haben sich vermehrt deutsche Nutzer infiziert. Dies sieht man auch in den monatlichen Statistiken wo Deutschland auf Platz 3 rangiert.

Die monatlichen Statistiken sind immer nur vom aktuellen Monat und nicht wie die Statistiken vom gesamten Zeitraum.

Am 14.08.2012 ist die Anzahl der Reports und Attacken des Service MAIL (Filter auf z.B.: unknown User; relay access denied; Reject durch RBL’s, Spam…) massiv angestiegen:

Die Anzahl kommt nicht von einem Server, sondern es sind durchweg alle Server betroffen, die Mail-Attacken reporten.

Dabei fällt auf, das sehr viele IP-Adressen auf blocklist.de vorher noch nicht aufgefallen sind. Diese aber schon bei Spamhaus.org und anderen RBLs gelistet sind:

Aug 15 16:18:22 s30-ffm-r02 postfix/smtpd[26117]: NOQUEUE: reject: 
RCPT from unknown[79.126.234.115]: 554 5.7.1 Service unavailable; Client 
host [79.126.234.115] blocked using sbl-xbl.spamhaus.org; http://www.spamhaus.org/query/bl?ip=79.126.234.115; 
from=<x> to=<x> proto=ESMTP helo=<[79.126.234.115]>

Ebenso sind sehr viele relay-Versuche auf allen Server dabei, die meist von IP-Adressen aus dem gleichen geographischen Raum kommen:

Aug 15 16:19:30 rodney postfix/smtpd[16226]: NOQUEUE: reject: RCPT 
from 178-190-240-25.adsl.highway.telekom.at[178.190.240.25]: 
554 5.7.1 <x>: Relay access denied; from=<x> to=<x> proto=ESMTP helo=<[178.190.240.25]>

Dies hat das Research-Team von eleven auch am Montag festgestellt:

https://twitter.com/elevensecurity/status/234945277348413440

We have over 3500 URLs to flickr.com which are posted in our Honeypot-Sites like this url:

http://www.flickr.com/people/83767546@N06/

On the site there is a Link with a Picture of a Video-Player to different Sites:

• http://kankretniy-4.net/go.php?q=katrina+kaif+naked
• http://kankretniy-6.net/go.php?q=kristy+swanson+playboy
• http://kankretniy-3.net/go.php?q=kari+byron+nude
• http://kankretniy-4.net/go.php?q=olivia+wilde+naked

The most Links redirect to http://tour.mrskin.com/kristy-swanson-c1016.html?nats=*** , http://galleries.mrskin.com/stacey-dash-g118.html?nats=*** and with other different Names from celebrity people with the Word „naked“.

We have informed flickr.com over the contact site and them the list with all urls:

https://www.blocklist.de/downloads/urls/www.flickr.com.txt 

[UPDATE 14.08.2012]

flickr.com has disabled all Sites/Accounts which are listen in the text file.

Thank you!

After the last notice to myspace.net, dailybooth and other sites, only myspace.net answers on a twitter post with a template to the help site. The abused Sites are online away 🙁

quizilla has answer us and asked for the Usernames of the Accounts which has created the URLs. In the URLs there stand no username, but on the site. So we have build a crawler-Script which gets from the site the username. From over 65.000 urls are generated from ~2.000 accounts.

Now we send a new list to www.formspring.me with over 106624 urls.

There site was abused for first-load movie-affiliate links:

And when you scroll down, you see a lot of keywords to find the links on the „good“ site formspring.me to follow it to the bad site.

The complete list of abused urls on www.formspring.me is available on

https://www.blocklist.de/downloads/urls/www.formspring.me.txt

We have informed formspring.me over twitter and contact-form on the same time we set the article online.

If you have a same service (blogs, forums, portal-sites) who user can create there own site/content, contact us, we can look for your domain in our database on over 11,231,555 entrys.