Articoli

PHP DDoS ScriptNell’underground dei Black Market vendono pacchetti di attacchi DDoS, TrenMicro in un report del 2012 ci fornisce alcuni dettagli sui prezzi variabili in base alla durata, al numero di server sfruttati per l’attacco e dalla banda complessiva che i server nominalmente riescono a generare. Gli attacchi generalmente vengono lanciati tramite script Pyhton (Hammer ne è un esempio) direttamente da riga di comando, ma nel mio caso volevo dimostrare come un sito internet violato potesse diventare un ottimo vettore per lanciare un attacco DoS! Supponendo quindi di non aver accesso al terminale ma di poter veicolare l’attacco attraverso il WebServer.

Riproducendo questa casistica non potevo affatto pensare di scaricare il codice in Python ed eseguirlo sul mio server (anche se possiedo i permessi di root), non sarebbe il caso che voglio dimostrare. Violato un WebServer solitamente l’attaccante deve apprenderne la configurazione per accertarsi se puoi eseguire codice a sua discrezione o se vi sono limitazioni anche nella sola creazione di nuovi file, solitamente infatti non si può eseguire codice in C o in Python ma è  più probabile che il WebServer ci permetta l’esecuzione di codice in PHP vista l’importanza di questo linguaggio nella creazione di siti web. Certo il Python come il RoR stanno prendendo sempre più piede nel mondo web, ma anche senza statistiche alla mano credo sia più facile eseguire codice PHP che Python su un sito web violato (:D sempre pronto ad essere smentito se qualcuno ha dati diversi).

Ho così deciso di scrivere 20/30 righe di codice PHP con lo scopo di effettuare diverse centinaia di richieste UDP attraverso la funzione fsockopen(), eseguendo così un attacco denominato UDP Flood. Il funzionamento è veramente basilare, attraverso una richiesta GET passavo allo script l’IP Target, la porta e la durata dell’attacco in secondi. Lo script attraverso un ciclo while eseguiva quindi l’attacco per tutto il tempo che gli era stato specificato.

Poi ho iniziato a guardarmi in giro ed effettivamente di codice per lanciare attacchi DoS tramite PHP non ne ho visto molti, anzi quasi nessuno (questo per esempio non è più disponibile mi segnalano che è disponibile il sorgente qui!), ho così deciso di pubblicare su GitHub il mio piccolo script per eventuali usi futuri…un promemoria nulla di più!

Se volete quindi provare il codice, criticarlo, migliorarlo o semplicemente scaricarlo lo trovate su GitHub.

Il successo dell’Open Source, mai mi sarei aspettato di ricevere tanto successo da un codice di 20 righe! Il progetto che inizialmente prevedeva solo una chiamata GET e una risposta “OK” tramite la funzione echo quando l’attacco era completato ora vanta un interfaccia CLI, maggior personalizzazione dei parametri (es. è possibile personalizzare la dimensione e la quantità dei pacchetti da inviare durante l’attacco), protezione dello script tramite una password, esecuzione randomatico dell’attacco sulle diverse porte del server, un output accurato in grado di indicarci il numero di pacchetti inviati e la loro dimensione in Tb, Gb, Mb o Kb e infine una GUI. In meno di una settimana ho ricevuto 14 Pull Request e diversi commenti e suggerimenti.

PHP DDoS Script UDP Flood

Voglio quindi ringraziare @TheZer0, @Smaury, @moty66 per l’ottimo supporto che mi stanno dando nel migliorare questa mia piccola creatura.

Un piccolo Disclaimer finale è doveroso, il PHP DDoS Script come ho già spiegato l’ho scritto a scopo didattico e non mi assumo alcuna responsabilità per l’utilizzo non appropriato.

Ah dimenticavo DDoS o DoS Script?!? Ne ho parlato con i “colleghi” del BackBox Team e alla fine ho deciso di chiamarlo DDoS in quanto non è lo script che diversifica il tipo di attacco, ma dipende tecnicamente da quante macchine lo eseguono contemporaneamente e un vero attaccante dubito lo esegua da una sola macchina 🙂

Wordpress Pingback Port Scanner

I ricercatori di Acunetix hanno recentemente individuato una vulnerabilità nel sistema di Pingback della famosa piattaforma di blogging WordPress, tale vulnerabilità può essere sfruttata per sferrare attacchi DDoS.

Il Pingback è una funzione in grado di avvisare altri blog della pubblicazione di un nuovo articolo, abitualmente sfruttata per comunicare la trattazione di un medesimo argomento su due o più blog.

Il funzionamento della funzione di Pingback è molto semplice: il file “xmlrpc.php” interroga i link indicati nell’articolo appena scritto, se la richiesta va a buon fine provvede a segnalare il nostro blog a gli altri siti menzionati.

La vulnerabilità sfrutta altera la funzione di “xmlrpc.php” indicandogli di interoggare un host diverso da quello citato nell’articolo, verrà quindi effettuata una richiesta sul sito “vittima” non menzionato nell’articolo originale.

Pertanto non vi è alcun controllo sull’autenticità degli url contenuti nell’articolo, un attacco di massa potrebbe sfruttare migliali di blog Worpress per effettuare continue richieste verso il sito vittima generando un DDoS.

Bogdan Calin, ha realizzato WordPress Pingback Port Scanner uno script che vedete nell’immagine principale in grado di effettuare un Port Scanning su un sito vittima tramite un blog Worpress. Lo script scritto i Ruby è disponibile su GitHub e di seguito vedremo brevemente il suo utilizzo.

Se volessimo effettuare un port scanning sulle porte comuni basterà digitare il seguente comando:

ruby wppps.rb -t http://www.target.com http://www.myblog.com/

Tramite il parametro “-t” indichiamo il sito target e a seguito indicheremo il blog WordPress che veicolerà la scansione.

Sfruttando questo comando il sito MyBlog.com procederà ed effettuare un Port Scanning su Target.com.

Un attacco combinato generebbe sicuramente più traffico verso il target, rallentandolo o addirittura mandandolo in tilt:

ruby wppps.rb -t http://www.target.com http://www.blog1.com/ http://www.blog2.com/ http://www.blog3.com/

Questo comando permette di sfruttare Blog1, Blog2 e Blog3 contemporaneamente per veicolore un Port Scanning verso Target.com.

Infine è possibile generare un port scanning su tutte le porte [0 – 65535] utilizzando il paramentro “-a”:

ruby wppps.rb -t -a http://www.target.com http://www.myblog.com/

Per prevenire provvisoriamente la vulnerabilità, in attesa di una patch da parte del Team di WordPress, è possibile disabilitare la funzione di PingBack/TrackBack dal pannello di Amministrazione, Impostazioni, Discussione.

Via | The Hacker News

La comunità The Hacker’s Choice ha recentemente rilasciato uno script in grado di verificare le prestazioni del protocollo SSL e del server ospitante.

Stabilire una connessione SSL richiede l’impiego di più di 15 processi sul WebServer e anche sul Client dell’utente,  questa esosa richiesta di risorse è conosciuta dalla maggior parte dei sviluppatori dal 2003 ed ampiamente discussa in più convegni ma ad oggi non è stata ancora sviluppata una alternativa più performante.

Grazie a questa vulnerabilità è possibile lanciare un attacco SSL-DoS generando un altissimo numero di processi sul Server impiegando poche risorse (un rapporto di 1:15). TCH-SS-DOS è una utility in grado di lanciare un test di DoS a qualsiasi server SSL sfruttando anche la funzione “SSL secure Renegotiation” in grado di innescare migliaia di rinegoziazioni tramite singola connessione TCP.
È possibile scaricare THC SSL DOS attraverso i seguenti link:

L’installazione dello script è avviabile digitando da riga di comando:

./configure; make all install

Infine vi riporto un esempio di utilizzo:

./thc-ssl-dos 127.3.133.7 443
Handshakes 0 [0.00 h/s], 0 Conn, 0 Err
Secure Renegotiation support: yes
Handshakes 0 [0.00 h/s], 97 Conn, 0 Err
Handshakes 68 [67.39 h/s], 97 Conn, 0 Err
Handshakes 148 [79.91 h/s], 97 Conn, 0 Err
Handshakes 228 [80.32 h/s], 100 Conn, 0 Err
Handshakes 308 [80.62 h/s], 100 Conn, 0 Err
Handshakes 390 [81.10 h/s], 100 Conn, 0 Err
Handshakes 470 [80.24 h/s], 100 Conn, 0 Err

Maggiori informazioni sono reperibili sul sito ufficiale di THC: http://www.thc.org/thc-ssl-dos/

Il Team IHTeam ha rilasciato oggi un suo ritrovato nel quale viene riportata una tecnica per sfruttare i server di Google per lanciare attacchi di tipi DDoS (Distributed Denial of Service) verso qualsiasi servizio Web.

Il funzionamento è veramente semplice, attraverso Google Plus è possibile richiedere qualsiasi file per poi essere visualizzato sul famoso portale di Social Network. Pertanto se vengono inviate molteplici richieste è possibile attuare un attacco DDoS sfruttando i server di Google e la capacita della loro infrastruttura di rete, sicuramente non modica.

Le pagine vulnerabili sono “/_/sharebox/linkpreview/” e “/gadget/proxy?” ma quest’ultima farà risultare il vostro IP come richiedente mentre la prima si presenta nel server remoto con l’IP di Google come riportato nell’immagine sottostante.

Il vantaggio nell’utilizzare questa tecnica sono principalmente due:

  • Disporre di una infrastruttura di rete importante come quella di Google;
  • Anonimato garantito se le richieste provengono dal primo link associato ad una vostra connessione Tor o VPN.

Inoltre questa falla può essere usata per lanciare altri attacchi come un SQL Injection.

Di seguito vi riportiamo un video dimostrativo dell’attacco, lo script eseguibile da riga di comando per lanciare l’attacco ed un esempio pratico.

Video Guida

Script

http://pastebin.com/3qk47m9B oppure http://www.ihteam.net/advisories/_154785695367_+ddos.sh

Esempi Pratici

https://plus.google.com/_/sharebox/linkpreview/?c=<SITE>&t=1&_reqid=<RANDOM_NUMBERS>&rt=j
oppure
https://images2-focus-opensocial.googleusercontent.com/gadgets/proxy?url=<SITE>&container=focus

Un brevissimo articolo per annunciarvi che sta avvenendo in queste ore un attacco di tipo DDoS verso il sito del Governo Italiano (www.governo.it) da parte del team Anonymous.

Potete leggere il comunicato integrale cliccando sull’immagine sovrastante contente anche le rivendicazioni oppure accendo al sito ufficiale.

Anche l’Italia potrebbe finire nella lista di obiettivi di Anonymous, il network che ha lanciato attacchi informatici in favore di Wikileaks, poi della rivolta tunisina, e che proprio oggi ha ‘dichiarato guerra‘ all’Algeria, promettendo di “colpire senza tregua” i siti del governo, accusato di “reprimere la protesta“.

Una eventuale “Operazione Italia” spiegano diversi responsabili del gruppo in una lunga conversazione online con l’ANSA, non “dipende da una decisione, ma da quanta gente vorrà impegnarsi per una maggiore libertà di internet in Italia, dove, ad esempio, il sito Pirate Bay è stato oscurato”. Intanto, in una bozza di lavoro sui prossimi impegni del gruppo, l’Italia e’ finita in cima alla lista, per una operazione tesa a “mettere Berlusconi su un aereo come Ben Ali”: “Si’ ma e’ una battuta, una immagine”, precisano.

L’interesse di Anonymous verso il Belpaese e’ cresciuto negli ultimi tempi, anche con la pubblicazione dei cable di Wikileaks, nei quali David Thorne, l’ambasciatore americano a Roma, addita la legge Romani sul web come un “precedente per la Cina” perché orientata alla “censura“. Per il diplomatico poi, il premier Silvio Berlusconi userebbe il suo potere nel governo per mettere le briglie a internet e togliere pubblicità a Sky favorendo la “sua” Mediaset.

Gli Anonimi sono particolarmente preoccupati da eventuali limitazioni alla liberta’ di stampa: “Se venisse approvata la legge-bavaglio sulle intercettazioni”, affermano, con tutta probabilità “anche le infrastrutture telematiche italiane potrebbero subire assalti informatici”, a colpi di DDos attack (negazione del servizio) o defacing (la tecnica di sostituire la home page di un sito, ‘cambiargli la faccia’).

Nel gruppo ci sono molti italiani, rivela all’ANSA un connazionale che ora “vive in Inghilterra dove ha imparato cos’e’ la civilta’”: “Siamo circa una trentina, ma nei giorni degli attacchi a Mastercard ne abbiamo contati piu’ di 200”. E proprio gli italiani hanno contribuito a settembre scorso alla unificazione delle varie reti di incontro degli Anonimi nel mondo, creando un punto di raccordo in www.anonops.ru , canale accessibile a tutti senza limitazioni. “Ci cacciavano dalle varie reti, e ogni volta eravamo costretti ad aggiornare locandine, manifesti, per dare indirizzi dove incontrarsi.

Era ora di trovare un posto ‘fisso'”. E in questo posto fisso si discute di tutto, e possono entrare tutti, ma “non i pedofili, o ci arrabbiamo veramente molto”. Tra i temi ovviamente anche Wikileaks, il sito di Julian Assange che Anonymous ha difeso a spada tratta. “Sarebbe meglio” se tutti i file del Cablegate fossero online, piuttosto che ‘parcellizzati’ quotidianamente da Wikileaks o dai suoi media partner, dicono gli Anonimi, che hanno oscurato Mastercard, Visa, PayPal dopo che avevano bloccato i fondi diretti al sito anti-segreti. “Chiaramente Assange ha le sue ragioni. Però sarebe preferibile avere tutto online, accessibile a tutti”, spiegano. Per alcuni poi, “sarebbe bello riuscire a carpire (hackerare, ndr) i segreti del computer di Assange e mettere tutto online”.

Fonte | Ansa