SSH2 Brute Force 2012

[nym3ny]

tu credca esti flux sau vreun amic de-al lui care nu iti convine ca eu dau gratis ceea ce altii vand, si v-am incurcat voua micile gainarii copiilor.

Edit: pana la final de sapt o sa postez si smtp brute force, urmand ca saptamana viitoare sa ma ocup de rdp.

[88fingers]

Stai linistit nu sunt flux sau vreun amic de-al lui, si mie mi s-au parut exagerate preturile lui, oricum fiecare are dreptul sa vanda ce vrea si cu cat vrea. N-am avut eu foarte mult timp sa ma uit la bruter, mi s-a parut ciudata faza cu "update`ul". Au mai fost binevoitori dinastia care postau brutere pe aici cu cat vuln.log | mail -s "ce hacker sunt" hackeru@yahoo.com si servere de istealer in hack-uri de metin2

[nym3ny]

Posibil, eu mi-am facut acel update pentru ca asa am vrut eu, si daca cineva are ceva importiva cu asta poate sa nu foloseasca, yo stiu poate pe viitor vreau sa il fac si eu cu bani sau ceva, si scot o versiune mai buna si asa o sa pot sa ii anunt pe cei care il folosesc.

[88fingers]

Dupa ce ai adaugat t0ma.ro in hosts, poti sa faci si un "ssh2_log/verify.php" in /srv/www/htdocs sau unde ai tu setat DocumentRoot. In verify.php pui v1.1. Cred ca ar trebui sa mearga asa...

Da e ok asa intr-adevar, mersi de tip.

[H4ck3rPr4fz0rrr.]

linux only ?

[p3rversul]

This product has expire.

Please contact: nym3ny@yahoo.com

scan_mic: no process killed

scanner

- by nym3ny

a fost doar o aroganta ?!

[nym3ny]

Am facut versiunea 1.2 unde am mai corectat niste buguri. O sa ramana final, e pe acelasi link www.hweb.ro/s2.tgz . Am terminat si brute force de smtp l-am pus la niste teste sa vad daca e stabil si o sa ii fac share si la ala pe saptamana viitoare.

Faceti si voi gest si uploadati niste passfile-uri si postati aici ca sa facem un passfile solid.

[Fi8sVrs]

Am facut versiunea 1.2 unde am mai corectat niste buguri. O sa ramana final, e pe acelasi link www.hweb.ro/s2.tgz . Am terminat si brute force de smtp l-am pus la niste teste sa vad daca e stabil si o sa ii fac share si la ala pe saptamana viitoare.

Faceti si voi gest si uploadati niste passfile-uri si postati aici ca sa facem un passfile solid.

Passwords - SkullSecurity

http://leetupload.com/dbindex2/index.php?dir=Word%20Lists/

http://rapidshare.com/files/305013757/dictionaries-vince213333.part01.rar

http://rapidshare.com/files/305013804/dictionaries-vince213333.part02.rar

http://rapidshare.com/files/305028222/dictionaries-vince213333.part03.rar

http://rapidshare.com/files/90611743/purehates_word_list.part1.rar

http://rapidshare.com/files/90620632/purehates_word_list.part2.rar

http://rapidshare.com/files/90628318/purehates_word_list.part3.rar

http://rapidshare.com/files/90636711/purehates_word_list.part4.rar

http://rapidshare.com/files/90639703/purehates_word_list.part5.rar

https://rstcenter.com/forum/50984-python-dictionary-file-maker-v0-2-a.rst

Edited April 11, 2012 by Fi8sVrs

[mosu90]

good job ! multumim

[albastrel]

gj!!!! tnx ambiii!!!!!! nr1

[vladimir]

fi8 , nu-i rau, se putea si mai bine.

[aditzahk]

Mersi pt scanner, aveam nevoie ! +1 !

linux only ?

Da!

Edited April 12, 2012 by aditzahk

[Church]

arata bine, dar totusi e cam suspecta treaba cu linkul. Daca am timp incerc sa ma uit diseara cu wireshark sa vad totusi ce date trimite,e cam suspecta treaba

[onslaught]

+1 Church , cam ciudata treaba cu pingul la hostul ala

Daca ai timp pt un update Church , am aprecia mai multi.

Cat despre scanner , da, intradevar e misto , si e ceva bun dat fiind... diavola fiind outdated... pass.txt-u contine cam ... multe pass-uri sincer si dureaza o vesnicie pana verifica o singura clasa dar mai sa folosesti ./mass-ul

Good job oricum.

[pyth0n3]

Stabileste o conexiune cu un ip extern (probabil ai facut update de la domeniu la ip) din romania dupa care stabileste o conexiune cu target-ul , dupa ce face bruteforce stabileste o alta conexiune cu un ip extern.Folosind scriptul pentru bruteforce avem un exit status 0 pe cand target-ul a inchis conexiunea (False Positive).Testat in laborator!

Blocati conexiunea in OUTPUT chain pentru adresa ip

iptables -A OUTPUT -p tcp -d  89.45.197.158 -j DROP

Desi cred ca va castreaza din functii deoarece el testeaza conexiunea catre extern inainte sa faca treaba , nu cred ca e corect asa ceva nimeni nu a certificat ca aceasta conexiune este legala si nu stim exact ce face .In al doilea rand nu poti iesi cu un exit status 0 pe cand target-ul iti inchide conexiunea testat cu un sigur pass dar presupun ca nu iese din loop pana cand nu termina lista de password-uri asadar daca target-ul iti inchide conexiunea din start e inutil sa incerci alte password-uri si nu poti iesi curat trebuie controlate la randul lor aceste structuri de control.Aveti grija ce rulati in computer-ul vostru controlati ceea ce face inainte de a executa scripturile.

Edited April 12, 2012 by pyth0n3

[onslaught]

Pe scurt si pe inteles , nu prea e safe?

Edit, nu isi face "connexiunea" cu externu ala unde "da" ping , nu porneste brute-u , deci ceva nu-i bine acolo

Edited April 12, 2012 by onslaught

[pyth0n3]

Ori ii pui un pass corect ori ii pui un pass care nu e corect iese curat cu un exit status 0 .

Targetul meu inchide orice conexiune deci eu ma intreb cu cine face bruteforce daca conexiunea este inchisa?Target-ul l-am configurat sa nu accepte nici un fel de password deci scriptul ar trebui sa iasa si nu curat ci cu un exit divers de 0.Eu nu astept codul sursa ci doar sa isi faca treaba intrun mod putin mai normal fara conexiuni suspecte si iesiri de 0 in orice situatie.

Edited April 12, 2012 by pyth0n3

[nym3ny]

Bai frate.. nu ca ma asteptam sa fie si dastia de genul asta care sa comenteze aiurea si daia am si pus protectia pe el, pai cand va dau gratis nu e bine, cand va da altu cu bani nu e bine... prost e ala care va da oricum ma. daca mai se creaza discutii pe tema ipului si ce conexiuni face, de catre oameni dastia de se cred sherlock holms o sa opresc din link si versiunea asta si gata. Atata timp cat nimeni nu zice nimic de roote disparute sau alte porcarii nu inteleg ce poate fi suspect, va arde invidia ca am facut un program si l-am dat free? va deranjeaza ca il pot opri cand vreau eu?

ATUNCI NU IL MAI FOLOSI!

DAR NU MAI IMI COMENTA MIE PE AICI ASTFEL DE LUCRURI CA MAI MULTI NERVI DECAT AM ACUMA CA NU POT IESI DIN CASA DE DURERE LA PICIOR IMI FACETI!

Edited April 13, 2012 by nym3ny

[pyth0n3]

NU ma intereseaza scannerul tau si punct nici gratis si nici sursa , la mine in pc rulez doar jucariile mele , ale voastre le dau drumul in gradina mea zoologica sa vad cum se comporta , si voi restul folositi-il in continuare pana cand nu va saturati.Am incheiat comentariile!E corect sa stii cum functioneaza un lucru inainte sa il folosesti.

Data viitoare nu ma mai bag ca musca in lapte sa controlez nimic ,daca e un backdoor va las sa il folositi linistiti cu cat mai multi cu atat mai bine.Sh*t pana la urma nimeni nu imi da 2 lei.Va umflati fiecare!

Edited April 12, 2012 by pyth0n3

[88fingers]

Parca trebuia sa nu prinda acele ip'uri care te logheaza cu orice user

Mie doar din alea imi ia:

nobash -> gabrielle gabrielle 70.62.57.99

nobash -> isabell isabell 70.62.57.139

nobash -> jaimie jaimie 70.62.57.99

nobash -> kailey kailey 70.62.57.99

nobash -> kailey kailey 70.62.57.139

nobash -> kaylie kaylie 70.62.57.139

[nym3ny]

cate ip ai in scan.log ?

Pentru ca daca ai prea putine e posibil in timpul cautarii sa isi ia totusi flood acel server, ca de exemplu eu am incercat acum de la mine din server: ./ssh2 70.62.57.99 22 a a , si nu mi l-a luat, adica imi zice ca nu ar fi bun practic si nu il adauga. Incearca si tu cu comanda asta ca sa vezi daca iti zice nobash -> sau daca nu afiseaza nimic. Si daca e asa cum zic, inseamna ca ai dat cu ./scan_mic pe o clasa cu ff putine ipuri.

Edit: acuma m-am uitat la ip-uri daca observi tu toate ip alea care mi le-ai dat sunt 70.62.57.* deci ff probabil sunt pe acelasi server puse, scanerul a brutat la greu serveru ala inseamna si din cauza aia deschidea sesiune dar numai apuca si channel, deci il lua ca nobash..

Am sa incerc in cel mai scurt timp sa gasesc o metoda sa previn si asa ceva.

Edited April 14, 2012 by nym3ny

[88fingers]

cate ip ai in scan.log ?

Pentru ca daca ai prea putine e posibil in timpul cautarii sa isi ia totusi flood acel server, ca de exemplu eu am incercat acum de la mine din server: ./ssh2 70.62.57.99 22 a a , si nu mi l-a luat, adica imi zice ca nu ar fi bun practic si nu il adauga. Incearca si tu cu comanda asta ca sa vezi daca iti zice nobash -> sau daca nu afiseaza nimic. Si daca e asa cum zic, inseamna ca ai dat cu ./scan_mic pe o clasa cu ff putine ipuri.

Edit: acuma m-am uitat la ip-uri daca observi tu toate ip alea care mi le-ai dat sunt 70.62.57.* deci ff probabil sunt pe acelasi server puse, scanerul a brutat la greu serveru ala inseamna si din cauza aia deschidea sesiune dar numai apuca si channel, deci il lua ca nobash..

Am sa incerc in cel mai scurt timp sa gasesc o metoda sa previn si asa ceva.

[root@fed64 s2]# cat scan.log | wc -l

378

Nu am dat cu scan_mic, am dat ./ssh2 100

Daca rulez ./ssh2 70.62.57.99 22 a a, sau alta combinatie care aparea valida nu imi da nimic

[root@fed64 s2]# ./ssh2 70.62.57.99 22 jaimie jaimie

[root@fed64 s2]# ./ssh2 70.62.57.99 22 dorin dorin

[nym3ny]

da, deci cum banuiam din cauza suprasolicitarii acelui server 70.62.57.99, am sa fac si eu pe miercuri niste teste pe clasa asta sa vad daca pot pachui scanerul, ca probabil mai exista astfel de ip-uri si pe alte clase.

[demmonn]

[*] Mass scan algo by nym3ny [*]

scanner

- by nym3ny

./scan: line 17: ././pscan2: No such file or directory

scanner

- by nym3ny

....

ma ajuta cineva ?

[nym3ny]

ls -a in directorul cu "s2" , si daca nu exista pscan2 atunci mai descarca odata .tgz-ul, iar daca exista, uname -a ; cat /etc/issue , si arata-ne sa vedem ce OS folosesti.

PS: mai incarca si pe alt server, si da-ne de stire ce ai rezolvat.