Zweifelhafte "Sicherheitsmaßnahme" bei Registrierung
- Thread starter TerraX
- Start date
M
Marentis
Guest
So ganz sicher bin ich mir auch nicht, ich schiebe es mal auf Unkenntnis von Seiten des *ähem* "Programmierers".
Ich habe das Ding jetzt aber auch mal bei Kaspersky direkt hochgeladen, mal sehen was da als Antwort kommt.
Ich habe das Ding jetzt aber auch mal bei Kaspersky direkt hochgeladen, mal sehen was da als Antwort kommt.
Lord Gurke
Nur echt mit 32 Zähnen
Schon jemand versucht " OR 1=1; -- " in das Textfeld da einzugeben?
Fühl dich frei, das ist der Netzwerkverkehr von dem Dingen
Kurz angetestet: Das Dingen schmeißt keine Fehler, die man von außen jetzt erkennen könnte. Habe mir aber auch keine echte Mühe gegeben den User-Agent korrekt zu setzen o.Ä.
Code:
GET /reg_login_md5.php?catch=1&uid=15676&md5=06e89da955afc166b9f18fccd7ec304f&virtual=08:00:27:48:AE:A8&sn=TESTHEIM-1292A6 HTTP/1.1
User-Agent: AutoIt
Host: www.sponsor-board.de
Cache-Control: no-cache
HTTP/1.1 200 OK
Date: Fri, 08 Feb 2013 20:35:37 GMT
Server: Apache/2.2.23 (Unix) mod_ssl/2.2.23 OpenSSL/1.0.0-fips mod_bwlimited/1.4
X-Powered-By: PHP/5.2.17
Transfer-Encoding: chunked
Content-Type: text/html
1
1
0
GET /reg_login_md5.php?catch=2&uid=15676&md5=06e89da955afc166b9f18fccd7ec304f&virtual=08:00:27:48:AE:A8&sn=TESTHEIM-1292A6 HTTP/1.1
User-Agent: AutoIt
Host: www.sponsor-board.de
Cache-Control: no-cache
HTTP/1.1 200 OK
Date: Fri, 08 Feb 2013 20:35:37 GMT
Server: Apache/2.2.23 (Unix) mod_ssl/2.2.23 OpenSSL/1.0.0-fips mod_bwlimited/1.4
X-Powered-By: PHP/5.2.17
Content-Length: 0
Content-Type: text/htmlLass uns beide zusammen weinenMenno, hatte mich schon darauf vorbereitet
Ich hatte mich auch schon auf die Herausforderung gefreut.Soweit ich das richtig verstanden habe, tut es genau das, was ich erwartet habe. Es prüft bzw. setzt ein paar Schlüssel in der Windows-Registry, welche ja nun bekanntermaßen nicht direkt für jeden DAU zugänglich ist. Jetzt soweit klar?
@Lord Gurke: Interessant, der Apache ist aktuell aber das PHP auf Stand Jan. 2011?!
Last edited by a moderator:
Lord Gurke
Nur echt mit 32 Zähnen
Um es mal etwas zu relativieren:
Das Teil macht zumindest in meiner Testumgebung keine merkwürdigen Aktivitäten und scheint nur das zu tun was es suggeriert.
Da es mit AutoIt erstellt wurde gehe ich mal davon aus dass es (ähnlich wie VB6) einfach pauschal ein paar Libraries lädt die irgendwo übers ganze System verstreut sind.
Dass manche Virenscanner allergisch darauf reagieren dürfte darin begründet liegen dass das Dingen mit dem UPX Executable Optimizer gepackt wurde der für den Virenscanner den Code erstmal unlesbar macht und gerade deshalb gerne für Malware genutzt wird.
@Fusl:
Hast du dich mal mit strace an den Prozess gehangen und mitgelesen was diese Software tut?
Das Teil macht zumindest in meiner Testumgebung keine merkwürdigen Aktivitäten und scheint nur das zu tun was es suggeriert.
Da es mit AutoIt erstellt wurde gehe ich mal davon aus dass es (ähnlich wie VB6) einfach pauschal ein paar Libraries lädt die irgendwo übers ganze System verstreut sind.
Dass manche Virenscanner allergisch darauf reagieren dürfte darin begründet liegen dass das Dingen mit dem UPX Executable Optimizer gepackt wurde der für den Virenscanner den Code erstmal unlesbar macht und gerade deshalb gerne für Malware genutzt wird.
@Fusl:
Hast du dich mal mit strace an den Prozess gehangen und mitgelesen was diese Software tut?
Was Du meinst war glaube ich der hier...
Sponsor-Markt.de - Wir vermitteln Sie! (Domain, Webspace...)
1. Allgemeines zur Plattform 2. Aufteilung der Foren 3. Status: geprüfter Sponsor 4. Warum Sponsor-Markt.de? 1. Allgemeines zur Plattform Wir bieten eine Plattform an, die den Sinn und Zweck hat, Sponsor-Suchende zu vermitteln. Wir sind das erste Forum dieser Art, orientieren uns aber an...
serversupportforum.de
Joe User
Zentrum der Macht
Stimmt, der war es.
Wenn es nur an UPX läge, dann würde das Ding nicht als SpyWare oder Ähnlichem deklariert werden, denn UPX ist ein Standard-Packer der regelmässig auch für seriöse Programme genutzt wird. Wenn Anti-Viren-Software soviele false-positives erzeugen würde, hätte sie keinen Marktanteil.
Ob das Ding aktuell aktiv als Malware genutzt wird, ist völlig unerheblich, es bleibt Malware. Ist das Gleiche wie beim "Bundestrojaner", der auch nicht als Malware genutzt wurde, obwohl es Malware ist.
Aber was heute nicht ist, kann schon morgen der Fall sein. Und wenn das Ding nur zur Erzeugung einer One-Time-ID wäre, warum nistet sich das Zeug dann im System ein und verändert dabei Files, welche es nicht verändern dürfte? Und warum kann es Payload per FTP beziehen? Warum verändert es beim Einnisten seinen Namen?
Sorry, aber das Ding richt nicht nur nach Malware, es stinkt danach. Und bei dem Umfeld des Verbreitenden würde es mich nicht wundern, wenn das Ding absichtlich so ist wie es ist...
Wenn es nur an UPX läge, dann würde das Ding nicht als SpyWare oder Ähnlichem deklariert werden, denn UPX ist ein Standard-Packer der regelmässig auch für seriöse Programme genutzt wird. Wenn Anti-Viren-Software soviele false-positives erzeugen würde, hätte sie keinen Marktanteil.
Ob das Ding aktuell aktiv als Malware genutzt wird, ist völlig unerheblich, es bleibt Malware. Ist das Gleiche wie beim "Bundestrojaner", der auch nicht als Malware genutzt wurde, obwohl es Malware ist.
Aber was heute nicht ist, kann schon morgen der Fall sein. Und wenn das Ding nur zur Erzeugung einer One-Time-ID wäre, warum nistet sich das Zeug dann im System ein und verändert dabei Files, welche es nicht verändern dürfte? Und warum kann es Payload per FTP beziehen? Warum verändert es beim Einnisten seinen Namen?
Sorry, aber das Ding richt nicht nur nach Malware, es stinkt danach. Und bei dem Umfeld des Verbreitenden würde es mich nicht wundern, wenn das Ding absichtlich so ist wie es ist...
Nö - sponsor-board.de und sponsor-markt.de sind zwei völlig ... <Denkpause> verschiedene Dinge ... <Denkpause>. Aber das "sponsor-markt.de"-Angebot war genau das was ich schon damals gesagt habe - überflüssig. Exakt sowas gab es bereits schon.Was Du meinst war glaube ich der hier...
Sponsor-Markt.de - Wir vermitteln Sie! (Domain, Webspace...)
1. Allgemeines zur Plattform 2. Aufteilung der Foren 3. Status: geprüfter Sponsor 4. Warum Sponsor-Markt.de? 1. Allgemeines zur Plattform Wir bieten eine Plattform an, die den Sinn und Zweck hat, Sponsor-Suchende zu vermitteln. Wir sind das erste Forum dieser Art, orientieren uns aber an...
D
Deleted member 11691
Guest
Das sit völlig richtig, dennoch ist es der Thread den Joe meinte auch wenn der mit Sponsor-board nichts zu tun hat...
jevermeister
New Member
Joe User
Zentrum der Macht
Danke, ab Zeile 8207 wirds interessant.
In Zeile 8780 beginnt das eigentliche Programm.
Noch(!) ist das Ding tatsächlich relativ "harmlos", aber es enthält bereits alle Funktionen um als Payloader genutzt zu werden. Ein paar Zeilen dazu, rekompilieren, fertig ist die Malware.
Ein kleines Script hätte die gleichen Informationen/Funktionen für den Autor geliefert, ohne das System des Anwenders zu verunreinigen.
Für mich bleibt das Ding suspekt und ich würde dem nicht trauen.
Last edited by a moderator:
JaEgErmEistEr
Registered User
Der beste Hinweis ist doch: "Wenn das Programm nicht startet deaktivieren sie ihren Viren-Scanner"
Hallo,
ich bin der Admin und Gründer von Sponsor-Board.de.
Ich habe mitbekommen, dass sich in diesem Forum Leute aufregen, aufgrund unserer Sicherheitsmaßnahme bei der Registrierung.
Wir haben uns für diese Maßnahme entschieden, weil es keine andere effektive Möglichkeit gibt, die uns vor Doppel-Accounts und unerwünschten Mitgliedern schützen könnte.
Jetzt wird das Programm hier offengelegt, weil einige der Meinung sind, Ihre Fähigkeiten unter beweis zustellen und nebenbei noch Wirres Zeug schreiben müssen. Was von einem Forum auch nicht anders zu erwarten ist.
Hier wurde gesagt, dass sich das Tool an die Registry zu schaffen macht um Einträge zu erstellen, was absolut nicht der Wahrheit entspricht.
Das Tool erstellt eine Block-Datei und ließt 2 System-Infos aus. MEHR NICHT!
Die Block-Datei ist dazu da, damit das Tool nach der ersten Account-Aktivierung nicht mehr funktioniert. Eine Art Blocker vor der nächtsen Registrierung!
Dies ist nicht die schönste Lösung, aber momentan unsere effektivste Maßnahme. Da wir auch Punkte anbieten und wir nicht wollen, dass sich aufgrund von Doppel-Accounts einige Mitglieder Ihr Konto aufbessern können!
Würde gerne einmal von euch hören, wie Ihr dabei vorgehen würdet, Doppel-Accounts und unerwünschte User fernzuhalten.
Mit freundlichen Grüßen
Maurice
ich bin der Admin und Gründer von Sponsor-Board.de.
Ich habe mitbekommen, dass sich in diesem Forum Leute aufregen, aufgrund unserer Sicherheitsmaßnahme bei der Registrierung.
Wir haben uns für diese Maßnahme entschieden, weil es keine andere effektive Möglichkeit gibt, die uns vor Doppel-Accounts und unerwünschten Mitgliedern schützen könnte.
Jetzt wird das Programm hier offengelegt, weil einige der Meinung sind, Ihre Fähigkeiten unter beweis zustellen und nebenbei noch Wirres Zeug schreiben müssen. Was von einem Forum auch nicht anders zu erwarten ist.
Hier wurde gesagt, dass sich das Tool an die Registry zu schaffen macht um Einträge zu erstellen, was absolut nicht der Wahrheit entspricht.
Das Tool erstellt eine Block-Datei und ließt 2 System-Infos aus. MEHR NICHT!
Die Block-Datei ist dazu da, damit das Tool nach der ersten Account-Aktivierung nicht mehr funktioniert. Eine Art Blocker vor der nächtsen Registrierung!
Dies ist nicht die schönste Lösung, aber momentan unsere effektivste Maßnahme. Da wir auch Punkte anbieten und wir nicht wollen, dass sich aufgrund von Doppel-Accounts einige Mitglieder Ihr Konto aufbessern können!
Würde gerne einmal von euch hören, wie Ihr dabei vorgehen würdet, Doppel-Accounts und unerwünschte User fernzuhalten.
Mit freundlichen Grüßen
Maurice
d4f
Kaffee? Wo?
Never ever trust user input. Genau diese Grundregel der Informatik wurde damit verletzt. Wie genau hindert das Tool einen Benutzer daran die Netzwerk-Verbindung ab zu hören und danach 100 Rechner zu simulieren? Richtig... gar nicht!
Das erste Kiddy hat damit Probleme. Das Zweite ebenfalls. Der grosse Bruder nicht, und es geht wieder von Vorne los.
Dann solltest du definitiv den "Programmierer" oder das Tool wechseln. Es wurde eventuell nicht willentlich eingebaut aber drin ist es wohl.
=> http://anubis.iseclab.org/?action=result&task_id=1a4851b8d26133a441d383beeddf2339a&call=first
Es gibt mehrere Lösungen welche simpel sind und den Benutzer fast nichts kosten
- SMS Auth (server->client): Kostet den Betreiber 3Cent/Benutzer. Unpraktikabel
- SMS Auth (client->server): Kostet den Besucher zirka 10 Cent.
- Brief (zu langsam)
- PostIdent (Deutschland begrenzt, zu langsam, zu teuer)
Sms Auth ist schnell implementiert, kostet kaum etwas für Benutzer und auf Serverseite kann ein altes Android Smartphone mit einer Prepaid-Karte verwendet werden.
Ich arbeite aktuell an einer solchen Lösung für Freehosting
Achja habe ich schon erwähnt dass das eine _wirkliche_ Hürde für Account-Spammer darstellt?
Ich bin der Programmierer bzw. Scripter.
Es gibt mehrere Lösungen welche simpel sind und den Benutzer fast nichts kosten
- SMS Auth (server->client): Kostet den Betreiber 3Cent/Benutzer. Unpraktikabel
- SMS Auth (client->server): Kostet den Besucher zirka 10 Cent.
- Brief (zu langsam)
- PostIdent (Deutschland begrenzt, zu langsam, zu teuer)
Sms Auth ist schnell implementiert, kostet kaum etwas für Benutzer und auf Serverseite kann ein altes Android Smartphone mit einer Prepaid-Karte verwendet werden.
Ich arbeite aktuell an einer solchen Lösung für Freehosting
Achja habe ich schon erwähnt dass das eine _wirkliche_ Hürde für Account-Spammer darstellt?
Der SMS Auth ist wirklich eine sehr interessante Idee!
Gibt es deiner Meinung nach einen guten Anbieter, der das macht?
Mit freundlichen Grüßen
Maurice
D
Deleted member 11691
Guest
Benutzen wir auch bei uns und ist seriöser als eine .exe die unter Linux bzw. BSD sowieso nicht funktioniert...
@Maurice: Wirklich "sicher" ist das aber auch nicht. Für die nicht erfahrenen Benutzer gilt das hier:
Windows-VM (VirtualBox z.B.) anlegen.
Dann:
Schleifenbeginn:
Emailadresse $RANDOM@provider.de anlegen
Account $RANDOM auf $RANDOM@provider.de registrieren
Tool herunterladen und installieren/starten
Account $RANDOM aktivieren
Snapshot der VM wiederherstellen
Schleifenende
Kann man also sehr schwer umgehen *hust* - Ach kommt schon, wer sowas programmieren lässt/programmiert, muss auch daran gedacht haben... Heutzutage weiß ja fast jeder schon, wie man eine VM mit Snapshot-Funktion anlegt ._.
Provider, die das machen, nennt man SMS Gateway's... Und die gibts wie Sand am Meer...
z.B.: https://www.clickatell.com/ ; http://sms.at/ ; etc.
Last edited by a moderator:
J
Jenstheclown
Guest
IP-Adressen, Browser Cache, E-Mail Verifizierung, SMS Validation, Manuelle Freischaltung, Personalausweißnummer Verifizierung, etc.. etc..
Das ist quatsch. Hier muss sich definitiv keiner unter beweiß stellen.
Das Tool beschränkt nach wie vor die Computer, nicht die Nutzer. Nachdem der Quelltext hier offengelegt wurde kann man das ganze problemlos mit Random-Daten füllen. Somit ist dein Tool wirkungslos und der nächste "große Bruder" baut sich für soetwas Problemlos ein Script.
Ihr solltet lieber erstmal sämtlichste Wegwerf-Mailadressen Anbieter aussperren. Ich als Ubuntu Nutzer bin damit erstmal von euren Forum ausgesperrt, was wenn ich es wirklich nutzen möchte schade wäre. Nichts desto trotz wäre es vllt. sinnvoller euer Punkte-System zu überarbeiten (bspw. der Benutzer muss X-Posts erstellt haben damit die Punkte vergütet werden).
Hast du dir schon gedanken zu alternativen gemacht?