XerXes DoS verktyg

Det här är alltså källkoden för XerXes som th3j35ter skapade.

Koden hittas här:

Källa: http://bit.ly/oWfmDr

Jag sökte i forumet innan ang. tråd om detta, det var många frågetecken vilken teknik som fanns bakom XerXes, så nu har ni, som har väntat på ett svar en längre period en möjlighet att få svar på era frågor.

Är detta skript så awesome som det skrevs om? Avgör själva!

Vad är XerXes för något?

Troligen en bit kod som utför en DoS-attack..

Läste du topicen?

OK, har bara kollat igenom skriptet lite snabbt, ser bra ut.
Ska ta och testa det för att sedan kolla i loggen...
Jag log när jag läste:

Detta är inte allt som behövs, bara en liten del.

Programmet skickar ut requests till Tor att byta exitnod i snabbt takt.

Sedan fattas det saker, den ansluter sedan direkt från sin egen dator till önskad IP/värdnamn och port. Man behöver bygga in stöd för att ansluta via en proxy för Tor för att lämna sin last annars lär det inte hända så mycket.

Det är inte heller troligt att detta är "XerXes" utan kanske ett embryo eller liknande.

Detta är inte den kod som th3j3ster skrev.
Det är kille som skrev det efter th3j3ster, och är dessutom en gammal version av det som inte fungerar som det är tänkt.

Folk har "läckt" kod som denna innan (står om det på th3j3sters blog), så är förmodligen samma sak igen.
Alltså falskt.

Tror dock att th3j3ster använder någon form av slowloris liknande metod.
Och den "färdiga" versionen av koden som ts länkade är ganska så effektiv, och kan med stor sannolikhet ganska enkelt ta ner t.ex Flashback =)

Alla webbservrar är dock inte sårbara när det gäller en attack av denna typen, så kan tänka mig att om th3j3ster kan ta ner "alla" typer av webbservrar så använder han säkert olika metoder i sitt verktyg, men förmodligen så använder han slowloris till vissa webbservrar, som t.ex Apache.

Tror också att det där inte är hela koden, eller nån annan som skrivit den...
Ändå kul att kolla på. Fast jag typ kan läsa och förstå språket halvt eller mindre..

FTR: the purported 'XerXeS source' leak is bogus. Its not getting released, and isn't limited to Apache as has been demonstrated many times.

från jesters twitter, och detta är samma "skript" som postades för ett bra tag sen av lulzsec

Att det inte är begränsat till Apache kan ju dock fortfarande betyda att det är en Slowloris-liknande metod som används.
Frågan är om han har stöd för att ta ner IIS.

Om han har något bevis för det, så använder han ju säkerkligen en mer komplex metod än Slowloris, eller flera olika.

Så det den gör är att öppna THREADS antal trådar med CONNECTIONS antal connections i varje tråd och sedan skickar en null byte (\0). Vissa servrar kommer då att svara med sin sidan (som att du gjorde en vanlig http request). funkar t.ex på apache.

Om det verktyget som th3j35t3r använder går att köra från bara en dator som kommer inte detta funka, han kanske har gjort ett skript som får detta att utnyttja tor på nått sett. att BARA köra detta programmet kommer inte ge dig någonting.

EDIT: testade på IIS också och om detta programmet skulle funka så svarar IIS med websidan om man skickar "\0". Litespeed gör det inte