Patriot NG is a ‘Host IDS’ tool which allows real time monitoring of changes in Windows systems or Network attacks. It is available for Windows XP, Windows Vista, Windows 7 (32Bits & 64bits)

Patriot monitors:
Changes in Registry keys: Indicating whether any sensitive key (autorun, internet explorer settings…) is altered.
New files in ‘Startup’ directories
New Users in the System
New Services installed
Changes in the hosts file
New scheduled jobs
Alteration of the integrity of Internet Explorer: (New BHOs, configuration changes, new toolbars)
Changes in ARP table (Prevention of MITM attacks)
Installation of new Drivers
New Netbios shares
TCP/IP Defense (New open ports, new connections made by processes, PortScan detection…)
Files in critical directories (New executables, new DLLs…)
New hidden windows (cmd.exe / Internet Explorer using OLE objects)
Netbios connections to the System
ARP Watch (New hosts in your network)
NIDS (Detect anomalous network traffic based on editable rules)

Download: http://www.security-projects.com

Documentation: http://www.security-projects.com

Video demo: Patriot NG v2.0 – Preventing attacks with NIDS module

Source : http://security-sh3ll.blogspot.com/2011/02/patriot-ng-v20.html

WS-Attacker is a modular framework for web services penetration testing. It is a free and easy to use software solution, which provides an all-in-one security checking interface with only a few clicks.

Download: http://sourceforge.net

User Guide: http://mesh.dl.sourceforge.net

via : http://security-sh3ll.blogspot.com/2011/02/ws-attacker-v10.html

http://www.metasploit.com/redmine/attachments/825/strawman_post_dos.rb

Description

This module creates a large number of concurrent POST requests to a server. By slowing down the sending of the POST data the attacker occupies sockets on the server therefore preventing legitimate requests.

Requires:

RHOST – The target server
URI – The target form to POST to
POST – The minimum POST data

D.Boy membru al forumului RSTcenter se pare că a fost ocupat.

KissFM : http://www.kissfm.ro/grinch-a-furat-site-ul/
MagicFM : http://www.magicfm.ro/find-the-grinch/

Eh , se putea și mai rău.Nu?

BeEF, the Browser Exploitation Framework is a professional security tool provided for lawful research and testing purposes. It allows the experienced penetration tester or system administrator additional attack vectors when assessing the posture of a target. The user of BeEF will control which browser will launch which command module and at which target.

BeEF hooks one or more web browsers as beachheads for the launching of directed command modules in real-time. Each browser is likely to be within a different security context. This provides additional vectors that can be exploited by security professionals

@beefproject – now with keylogger!

Download : http://code.google.com

Source : http://security-sh3ll.blogspot.com/2011/01/beef-v0421-released.html

Acum două zile când “celebrul” Tinkode şi-a prezentat “noua” “jucărie” pe forumul RSTcenter o adevărată revoluţia a avut loc.Pe lângă “copii SQLi” (cum îi numesc eu) care doreau aplicaţia membrii mai vechi ai forumului şi-au dat seama că defapt aplicaţia este doar o copie , citez : “supernova hexat”.
Supernovă cred că a fost prima aplicaţie de genul de la noi sau cel puţin prima de care ştiu eu , a fost creată de Mish numită “Mercury” ( sper să nu mă înşel , Mish poate mă ajuţi puţin ) însă atunci nu a fost nebunia asta pentru că “Mercury” a rămas privat , foarte puţini oameni au avut acel tool.

Gata, am vorbit destul de mult despre asta,Tinkode nu este nici primul nici ultimul care a copiat o aplicaţie,aşa stau lucrurile pe internet şi mulţi dintre noi ştim asta.
P.S S-ar putea să mă înşel iar sursa aplicaţiei lui Tinkode să nu fie Mercury ci Primus ( ultima versiune : Release date : 28 Jul 09 )

De ce vorbesc eu despre asta ?

Vorbesc despre asta pentru că stăteam şi mă gândeam cum ar fii fost dacă tool-ul ar fi public.Câţi dintre bloggerii actuali sau website-uri pot face faţă unui asemenea atac.

hub_no
~= 5
hub_clients ~= 5000
$CTMs/sec ~= 1
=> 25.000 connections/sec

hub_no
= number of hubs participating in the attack
hub_clients = average number of clients on each hub
$CTMs/sec = number of $ConnectToMe commands received by each client per second

Asta în cazul în care atacatorul foloseşte doar 5000 de clienţi,numărul poate fii mult mai mare ( Primus a fost connectat astăzi la 3 huburi din care m-am ales cu 9174 clienţi)

Acum foarte mulţi îmi vor sări în cap.Toţi vor spune : “da dar pentru asta avem log-uri şi putem lua măsurile legale”.
Aici este puţin cam greu din următorul motiv:

In this type of attack is very difficult to detect the real attacker (the one running the attack tool) because
the victim doesn’t have any information about him. The packets that reach the victim are generated by
the DC++ clients and contain no information about the real attacker.

Nu o să întru foarte mult în detalii, nu voi explica eu atacul pentru că nu are rost, Domnul Ing.Adrian Furtună a scris o lucrare foarte detaliată despre asta.De acolo sunt şi citatele în engleză .
Veţi găsi acolo şi diferite modalităţi de a opri un asemnea atac.

Ce întreb eu :

Este online-ul românesc pregătit să “primească” un asemenea “val” ?
Câţi dintre voi ( cei care aveţi bloguri/website-uri hostate pe pc-urile proprii) sunteţi pregătiţi ?
Aveţi alte ideei despre cum oprim aşa ceva ?

—————————————–
Nu, nu am tradus în romană ceea ce este scris în lucrare, nu pentru că mi-a fost lene dar nu are rost.
Mulţumesc Domnului Ing. pentru document , voi îl puteţi downloada de aici : http://stormsecurity.wordpress.com/2008/08/11/dc-and-ddos-attacks/