<div dir="ltr">More fun (although I have reported all these attempts to each of the technical contacts for each of the swip'd IP addresses.<div><br></div><div>But if we were going to attempt to exploit this hacker's domain (although we know it is illegal and there are consequences) we would use any of the following:</div>
<div><br></div><div>SSH exploits - brute force dictionary attacks (examples:  <a href="http://it-clowns.com/c/files/drawer/augusthackfest-ssh.txt">http://it-clowns.com/c/files/drawer/augusthackfest-ssh.txt</a> )</div><div>
Metasploit/Armitage which should allow us to automatically pwn this system.</div><div><br></div><div><div>root@fly-obnosis-com asil]# nmap 14.139.229.42</div><div><br></div><div>Starting Nmap 6.25 ( <a href="http://nmap.org">http://nmap.org</a> ) at 2013-09-25 17:16 MST</div>
<div>Nmap scan report for 14.139.229.42</div><div>Host is up (0.34s latency).</div><div>Not shown: 993 closed ports</div><div>PORT     STATE    SERVICE</div><div>22/tcp   open     ssh</div><div>25/tcp   filtered smtp</div>
<div>135/tcp  filtered msrpc</div><div>139/tcp  filtered netbios-ssn</div><div>445/tcp  filtered microsoft-ds</div><div>1666/tcp open     netview-aix-6</div><div>5989/tcp open     wbem-https</div><div><br></div><div>Nmap done: 1 IP address (1 host up) scanned in 26.54 seconds</div>
<div>[root@fly-obnosis-com asil]# </div><div><br></div><div>What is the commonality of all of these systems?  </div><div><br></div><div>Unpatched daemons open running without adequate controls and protections:</div><div><br>
</div><div>source and destination port based iptables</div><div>denyhosts </div><div>known exploitable systems ports open (135-139-445)</div><br><div class="gmail_quote">---------- Forwarded message ----------<br>From: <b class="gmail_sendername">DenyHosts</b> <span dir="ltr"><nobodymail.obnosis.com@mail.localdomain></span><br>
Date: Wed, Sep 25, 2013 at 8:40 AM<br>Subject: DenyHosts Report from mail<br>To: <a href="mailto:lisakachold@obnosis.com">lisakachold@obnosis.com</a><br><br><br><div class="im">Added the following hosts to /etc/hosts.deny:<br>

<br>
</div>14.139.229.42 (unknown)<br>
<br>
----------------------------------------------------------------------<br>
</div><br><br clear="all"><div><br></div>-- <br><div><br></div>(503) 754-4452 Android<br>(623) 239-3392 Skype<br>(623) 688-3392 Google Voice<br>**<br><a href="http://it-clowns.com/c/" target="_blank">it-clowns.com</a><br>
Chief Clown<br><br><br><br><br><br><br><br><br><br><br><br><br><br>
</div></div>