Ergebnis 1 bis 10 von 10
  1. #1
    OpCodeKiddy Avatar von EBFE
    Registriert seit
    30.03.2009
    Beiträge
    442

    Standard [B]IStealer 6.x Flooder

    Immer mehr elitäre Hacker steigen auf iStealer6 um. Leider hat man als Opcode/ScriptKiddie zu wenig Skillz, um an die PHP Login Daten zu kommen :(
    Somit kann die Elite ungestraft ihre Server verteilen (und nicht wie etwa zu früheren Zeiten, wo man die FTP Daten auslesen und dementsprechend ändern und sie ärgern konnte). Um aber trotzdem diesen Leuten den "Spass" etwas zu vermiesen, habe ich ein kleines Script geschrieben:

    das ist python 2.6 (bei der 3.0 Version müsste man die urllib Aurufe anpassen) und "flooded" die iStealer DB Einträge mit zufälligen Daten :)

    Bsp Aufruf in der Konsole:
    Code:
    python noisteal.py http://fami33.co.cc  0
    Also: das erste Parameter ist die URL,
    dann kommt die "Pausenzeit" zwischen Aufrufen (in Sekunden),
    optional kann als letzer Parameter noch eine Proxyliste angegeben werden:
    Code:
    python noisteal.py http://fami33.co.cc 0 proxylist.txt
    wobei die Proxy da drin im Format:
    Code:
    http://www.someproxy.com:port
    http://nocheinproxy.com:80
    stehen sollten.

    Edit/Update:
    - Bugs bei Proxynutzung beseitigt, Proxycheck hinzugefügt
    - Multithreading hinzugefügt.
    - "Extended Configuration" kann ganz am Anfang des Scripts vorgenommen werden:
    host/url Liste, Benutzernamen- oder PC-Namenliste eintragen.
    siehe auch die Kommentare und Beispiele.
    Um die maximale "Flood" Geschwindigkeit zu erreichen sollte man die Variable
    Code:
    # wieviele Threads (also gleichzeitige Verbindungen)
    # sollen aufgebaut werden:
    threads = 10
    auf einen hohen Wert setzen (~100). Insbesondere wenn man freie HTTP Proxys nutzt (denn diese sind nicht die schnellsten)
    paar tausend Einträge in der Minute sollten damit schon möglich sein.
    Proxyliste:


    Und ja, das Ziel ist eigentlich nur den Leuten einen reinzuwürgen ;)

    Testlauf:




    Klar, kann der "1337 H4x0r" die Einträge löschen. Allerdings ist das afaik im Pannel nicht ganz so komfortabel - vor allem wenn man viele Proxys benutzt hat und der damit auch viele Daten aussortieren muss :D
    Geändert von EBFE (21.06.2010 um 15:45 Uhr)
    TrueCrypt/RAR/Zip Passwort vergessen und das Bruten dauert ewig? Oder brauchst du fein abgestimmte Wortlisten? Hilf dir selbst mit WLML - Word List Markup Language
    Gib Stoned/Mebroot/Sinowal und anderen Bootkits keine Chance: Anti Bootkit v 0.8.5

  2. Folgende Benutzer haben sich für diesen Beitrag bedankt:

    blackberry (20.06.2010), br00_pwn (20.06.2010), c2x (01.07.2010), gf0x (20.06.2010), GregorSamsa (20.06.2010), hl2.exe (21.06.2010), inout (21.06.2010), kalachnikov (06.09.2010), meckl (19.07.2010), QpL (21.06.2010), sn0w (20.06.2010), Southpark (21.06.2010), Stev (21.06.2010)

  3. #2
    Gesperrt
    Registriert seit
    25.04.2010
    Beiträge
    388

    Standard

    ich versteh jetz nich ganz was dies bringen soll
    kann mir das mal pls einer erklären??

  4. #3
    Stanley Jobson Avatar von GregorSamsa
    Registriert seit
    23.08.2008
    Beiträge
    729

    Standard

    N1, thx EBFE

  5. #4
    emo-destroyer.* Avatar von br00_pwn
    Registriert seit
    27.10.2008
    Beiträge
    1.318

    Standard

    Sieht ziemlich gut aus, finde die Idee auch ganz witzig.
    Danke für den Post ! Werde es später mal mit meinem IS testen...
    Vllt Usage noch mit ins Script...

    LG br00_pwn

  6. #5
    Behindikindi Avatar von Variable X
    Registriert seit
    22.07.2009
    Beiträge
    399

    Standard

    Naja ich finds nicht so besonders, außerdem sind wir hier in ner Hacker Szene wo wir uns helfen sollten und nicht gegenseitig alles schrotten sollten -.-

    Aber zum Prinzip: ich benutze das aufrufen der einfachen url auch um daten eines eigenen Stealers zu "überliefern" ist echt praktisch Und so schwer auch nicht zu Verstehen.
    Man muss sich nur mal die index vom Stealer durchlesen und schon weiß man wie man die Url aufrufen muss =)

    Naja wie auch immer...

    mfg VariableX

    Edit: einzigst gute Anwendung wäre, wenn man selbst ausersehen opfer wird.... um dann alles zu vertuschen, aber dafür müsste man das Ding noch ordentlich anpassen damit die anderen logs untergehen. Und zum löschen von solchen Einträgen gibts ja noch direkt die mysql Tabelle, mit der man arbeiten kann (Die logs werden alle zur relativ selben Zeit eingetragen)
    Geändert von Variable X (20.06.2010 um 23:39 Uhr)

  7. #6
    Support-Hure Avatar von sn0w
    Registriert seit
    18.09.2007
    Beiträge
    1.919

    Standard

    Zitat Zitat von Variable X Beitrag anzeigen
    [...]wo wir uns helfen sollten und nicht gegenseitig alles schrotten sollten -.-[...]
    Deine Argumentation ist einfach überragend... Du sagst, dass man nicht alles "schrotten" soll und dann aber so einen Müll usen? Ne ganz ehrlich geilstes Argument jemals. Das ganze Stealer Zeugs wird doch sowas wenigstens vermindert. Ich versuch das ganze auch mal unter php umzusetzen, um mal ein bisschen zu üben
    Danke EBFE

    MfG

    Boardregeln | SuFu | Blackmarket | PM

    Fragezeichen und Ausrufezeichen sind keine Rudeltiere!


  8. #7
    uncreative
    Registriert seit
    11.10.2007
    Beiträge
    943

    Standard

    Mal ne abgefahrene Idee! Daumen hoch!




  9. #8
    OpCodeKiddy Avatar von EBFE
    Registriert seit
    30.03.2009
    Beiträge
    442

    Standard

    So, Multithreading und erweiterte Konfigurationsmöglichkeiten hinzugefügt (siehe ersten Beitrag)

    Zitat Zitat von cr0ssfreak Beitrag anzeigen
    ich versteh jetz nich ganz was dies bringen soll
    kann mir das mal pls einer erklären??
    Zum einen: wenn man mal das Opfer eines solchen "Hackers" geworden ist. Wie z.B hier
    http://free-hack.com/stealer/55403-p...er-v3-fud.html
    http://free-hack.com/stealer/55331-s...l0r-dnz-2.html
    http://free-hack.com/stealer/50934-i...0-orignal.html
    http://free-hack.com/stealer/54738-i...6-0-crack.html

    Wenn man das rechtzeitig feststellt, kann man z.B das Script laufen lassen und nebenbei seine Passwörter ändern. Vor allem wenn man im Script die Variablen
    Code:
    # benutzerdefinierte Host/URL Liste:
    # urls = ["http://google.com", "http://gmx.de", "weitere eintraege"]
    # oder urls = ["http://nur_eine.url"]
    urls = None
    # benutzerdefinierte Logins:
    # logins = ["horst", "detlef", "n0N4m3"]
    # oder logins = ["nur_ein_eintrag"]
    logins = None
    anpasst (also auf seine besuchten Seiten/Logins setzt) wird die Datenbank des Angreifers erstmal zugemüllt und er sollte einige Mühe haben, die "echten" Einträge schnell herauszufinden

    Zum anderen: einfach um diesen Leuten einen reinzuwürgen

    Zitat Zitat von Variable X
    Naja ich finds nicht so besonders, außerdem sind wir hier in ner Hacker Szene wo wir uns helfen sollten und nicht gegenseitig alles schrotten sollten -.-
    Das ist Ansichtssache. Ich zitiere mal einen Typen, der seinen Stealer verteilt hat
    Matrixianer
    was isn das für ne frage? darauf antworte ich nciht!! sind hier nur n00bs unterwegs? in wirklichkeit ist das auch net advanced, sondern eher basic....
    abgesehen davon fühle ich mich keiner Szene zugehörig . Nicht zuletzt wäre auch ein Kontraargument: diese Leute haben auch absolut kein Problem, die Arbeit anderer zu "schrotten" (in dem sie z.B ihre Malware in Keygens, Cracks und andere "Scene-Releases" einbinden - nicht umsonst ist "Keygen/Crack" inzwischen praktisch ein Synonym für "Infected" Software, obwohl gerade DAS unter den eigentlich Release/Cracking-Groups ein Tabu ist ). Primär sind die eher an "Profit" interessiert - daher auch keinerlei Mitleid/Hilfe würdig.

    Zitat Zitat von Variable X
    nd so schwer auch nicht zu Verstehen.
    Man muss sich nur mal die index vom Stealer durchlesen und schon weiß man wie man die Url aufrufen muss =)
    ich habe nie behauptet, dass es eine Heidenarbeit gewesen war

    Zitat Zitat von Variable X
    aber dafür müsste man das Ding noch ordentlich anpassen damit die anderen logs untergehen. Und zum löschen von solchen Einträgen gibts ja noch direkt die mysql Tabelle, mit der man arbeiten kann (Die logs werden alle zur relativ selben Zeit eingetragen)
    Erster Punkt ist "done". Bei dem zweiten war es mir schon klar, dass man hier dank Sortierung im Webpanel oder gar direktem SQL Zugriff einiges automatisieren kann . Allerdings muss man dazu SQL erstmal beherrschen. Wieviele Prozent der iStealer User tun das wirklich ? Dazu kommt noch, dass man den "Angriff" auch auf den Tag verteilen könnte (z.B "sleep_time" auf 60 sekunden setzen - dann gibt es nur paar hundert Einträge in der Stunde oder paar tausend am Tag, was die eigene Leitung nicht wirklich belasten sollte) - hier nach Zeitkriterium zu löschen würde das Problem mit sich bringen, dass dabei auch "echte" Einträge gelöscht werden können.

    Weitere Ideen, wie man den iStealer Usern das Leben schwer machen kann, sind herzlich willkommen
    Geändert von EBFE (21.06.2010 um 02:00 Uhr)
    TrueCrypt/RAR/Zip Passwort vergessen und das Bruten dauert ewig? Oder brauchst du fein abgestimmte Wortlisten? Hilf dir selbst mit WLML - Word List Markup Language
    Gib Stoned/Mebroot/Sinowal und anderen Bootkits keine Chance: Anti Bootkit v 0.8.5

  10. #9
    Behindikindi Avatar von Variable X
    Registriert seit
    22.07.2009
    Beiträge
    399

    Standard

    Okay ihr habt echt gute Gegenargumente gebracht.
    Ich bin wohl etwas zu sehr von mir ausgegangen :/ mein Fehler ^^

    Zitat Zitat von Dragonfighter21 Beitrag anzeigen
    Deine Argumentation ist einfach überragend... Du sagst, dass man nicht alles "schrotten" soll und dann aber so einen Müll usen?
    Da hast du vollkommen recht. Tut mir Leid hab ich anders gesehn, denn ich benutze den Stealer inzwischen eigentlich nur noch um Sachen mitzuusen, was für mich vertretbar ist. Eig. benutz ich nur rapidshare Accs, auf denen noch ordentlich traffic ist und lade da mit, ohne pw zu ändern oder so.
    Klaut man die sachen jedoch vollständig, so muss ich dir recht geben ist es für mich keine Ansehnliche tat. (Aber darüber muss sich jeder selbst ein Bild machen und rausfinden wie er zu dem ganzen steht)

    Zitat Zitat von EBFE Beitrag anzeigen
    Zum einen: wenn man mal das Opfer eines solchen "Hackers" geworden ist.
    Wenn man das rechtzeitig feststellt, kann man z.B das Script laufen lassen und nebenbei seine Passwörter ändern. Vor allem wenn man im Script die Variablen [...] anpasst wird die Datenbank des Angreifers erstmal zugemüllt und er sollte einige Mühe haben, die "echten" Einträge schnell herauszufinden
    Nur die, die bemerken, dass sie opfer wurden, die sichern sich meist auch anders ab ^^

    Zitat Zitat von EBFE Beitrag anzeigen
    Erster Punkt ist "done".
    Sehr schön =) so ist das ganze doch schon besser ^^ Vorallem, dass du gleich dran gedacht hast, dass man mehrere URls auf einmal angeben kann ^^

    Zitat Zitat von EBFE Beitrag anzeigen
    Nicht zuletzt wäre auch ein Kontraargument: diese Leute haben auch absolut kein Problem, die Arbeit anderer zu "schrotten" (in dem sie z.B ihre Malware in Keygens, Cracks und andere "Scene-Releases" einbinden - nicht umsonst ist "Keygen/Crack" inzwischen praktisch ein Synonym für "Infected" Software, obwohl gerade DAS unter den eigentlich Release/Cracking-Groups ein Tabu ist ). Primär sind die eher an "Profit" interessiert - daher auch keinerlei Mitleid/Hilfe würdig.
    ...wie ich schon zu Dragonfighter21 meinte, diesen Punkt hab ich übersehen :/ großer Fehler von mir ^^
    Es stimmt es gibt einfach gewisse Menschen die "anders" sind. Ich war selbst einer von ihnen und bin es immer noch, ich will mich da nicht ausgrenzen, ich klaue immer noch passwörter... aber ich versuche keinen Schaden mehr anzurichten. Aber wie schon gesagt ich will niemandem ins Gewissen reden, das muss jeder mit sich selbst abmachen.

    Zitat Zitat von EBFE Beitrag anzeigen
    "Angriff" auch auf den Tag verteilen könnte (z.B "sleep_time" auf 60 sekunden setzen - dann gibt es nur paar hundert Einträge in der Stunde oder paar tausend am Tag, was die eigene Leitung nicht wirklich belasten sollte)
    => wären 60 Einträge pro Stunde/ 1440 pro Tag

    mfg VariableX

  11. #10
    OpCodeKiddy Avatar von EBFE
    Registriert seit
    30.03.2009
    Beiträge
    442

    Standard

    Zitat Zitat von Variable X Beitrag anzeigen

    => wären 60 Einträge pro Stunde/ 1440 pro Tag
    Nicht ganz - es sind 10 Threads per Default eingestellt, d.h 14 000 Einträge am Tag

    Btw: Proxybugs beseitigt, eine Proxyliste hinzugefügt (frei verfügbare Proxies, siehe erstes Posting)
    sowie ein paar Testläufe gemacht:

    TrueCrypt/RAR/Zip Passwort vergessen und das Bruten dauert ewig? Oder brauchst du fein abgestimmte Wortlisten? Hilf dir selbst mit WLML - Word List Markup Language
    Gib Stoned/Mebroot/Sinowal und anderen Bootkits keine Chance: Anti Bootkit v 0.8.5

Stichworte

Berechtigungen

  • Neue Themen erstellen: Nein
  • Themen beantworten: Nein
  • Anhänge hochladen: Nein
  • Beiträge bearbeiten: Nein
  •