RSS
 

Kapade bloggar säljer bantningsmedel

24 Apr
Warning: Illegal string offset 'status_txt' in /customers/6/b/5/foks.se/httpd.www/wp-content/plugins/share-and-follow/share-and-follow.php on line 1168 Warning: Illegal string offset 'status_txt' in /customers/6/b/5/foks.se/httpd.www/wp-content/plugins/share-and-follow/share-and-follow.php on line 1168 Warning: Illegal string offset 'status_txt' in /customers/6/b/5/foks.se/httpd.www/wp-content/plugins/share-and-follow/share-and-follow.php on line 1168 Warning: Illegal string offset 'status_txt' in /customers/6/b/5/foks.se/httpd.www/wp-content/plugins/share-and-follow/share-and-follow.php on line 1168 Warning: Illegal string offset 'status_txt' in /customers/6/b/5/foks.se/httpd.www/wp-content/plugins/share-and-follow/share-and-follow.php on line 1168 Warning: Illegal string offset 'status_txt' in /customers/6/b/5/foks.se/httpd.www/wp-content/plugins/share-and-follow/share-and-follow.php on line 1168

De adresser som spam gör reklam för blir ofta snabbt svartlistade i olika tjänster vilket leder till att nya spam med reklam för samma adress blockeras. För att komma runt detta är det inte ovanligt att spammare attackerar legitima hemsidor och använder adresser på hemsidan. Ofta lägger de endast upp en html-fil med javascript som skickar vidare besökaren till deras egentliga sajt, men ibland kan de lägga upp en html-fil med innehåll och det är först när man klickar på något som man kommer vidare till spammarens egen sajt.

I en ny attack som började i april går spammarna ett steg längre. Spammarna attackerar hemsidor med WordPress installerat och lägger upp flera egna installationer av WordPress. Då WordPress sparar all information i MySQL-databas skapas MySQL-tabeller i samma databas som den ursprungliga WordPress-installationen använder, men med nytt prefix.

Resultatet blir en webshop som gör reklam för bantningsmedel.

Klickar man på något skickas man vidare till den egentliga webshopen som ligger på en domän som administreras helt av spammaren. Att de använder WordPress syns tydligare lite längre ner på sidan.

Här återfinns WordPress-inlägg med slumpade texter och ett arkiv över gamla inlägg. Det finns även länkar till andra WordPress-installationer spammaren lagt upp. Än så länge har de flesta installationer inte blockerats eller svartlistats av Google, en sökning ger nästan 20 000 träffar på Google. Att sökmotorer tycker om bloggar och länkar mellan sidor är bekant och det är sannolikt att dessa bloggar hinner klättra högre upp i sökmotorresultat innan de stoppas.

Ett undersökt konto hade blivit attackerat med en bruteforce-attack där spammaren testat att logga in på WordPress administrationssida med flera olika lösenord tills rätt lösenord hittades, men det är troligt att även andra attackmetoder används.

 

Twittertrender i malwarekod

05 Feb
Warning: Illegal string offset 'status_txt' in /customers/6/b/5/foks.se/httpd.www/wp-content/plugins/share-and-follow/share-and-follow.php on line 1168 Warning: Illegal string offset 'status_txt' in /customers/6/b/5/foks.se/httpd.www/wp-content/plugins/share-and-follow/share-and-follow.php on line 1168 Warning: Illegal string offset 'status_txt' in /customers/6/b/5/foks.se/httpd.www/wp-content/plugins/share-and-follow/share-and-follow.php on line 1168 Warning: Illegal string offset 'status_txt' in /customers/6/b/5/foks.se/httpd.www/wp-content/plugins/share-and-follow/share-and-follow.php on line 1168 Warning: Illegal string offset 'status_txt' in /customers/6/b/5/foks.se/httpd.www/wp-content/plugins/share-and-follow/share-and-follow.php on line 1168 Warning: Illegal string offset 'status_txt' in /customers/6/b/5/foks.se/httpd.www/wp-content/plugins/share-and-follow/share-and-follow.php on line 1168

De senaste veckorna har ett botnet använts för att ladda upp malware på legitima hemsidor. Intrånget har skett via FTP, antagligen har inloggningsuppgifterna kapats av ett virus på hemsideägarnas datorer.

Javascriptkoden som läggs in i html-filerna är avancerad och svår att analysera. Unmaskparasites.com har gjort ett utmärkt arbete med att gå genom koden och malwareutvecklarna fortsätter att imponera. Javascriptkoden hämtar information om trenderna på Twitter i förrgår och använder den information i kombination med aktuell tid för att räkna fram det domännamn javascriptet ska skapa en iframe till. På så sätt ändras domännamnet fyra gånger per dygn och är ofta ändrat redan innan domännamnet hunnit stängas av eller svartlistas.

I fredags registrerade jag två av de domännamn som skulle användas så att jag kunde analysera trafiken. Under de timmar som javascriptkoden skapade iframe till de två domännamnen försökte 1496 olika ip-nummer ansluta, med 802 olika hostnames som referer. Det är alltså inte några stora sajter som infekteras men malwarekoden har stor spridning.

I skrivande stund finns det 13 se-domäner som är infekterade med denna malwarekod. Dessutom finns det ytterligare 19 se-domäner som har en liknande javascriptkod som inte verkar fungera.

 

WordPress-sajter hackade med TimThumb

25 Aug
Warning: Illegal string offset 'status_txt' in /customers/6/b/5/foks.se/httpd.www/wp-content/plugins/share-and-follow/share-and-follow.php on line 1168 Warning: Illegal string offset 'status_txt' in /customers/6/b/5/foks.se/httpd.www/wp-content/plugins/share-and-follow/share-and-follow.php on line 1168 Warning: Illegal string offset 'status_txt' in /customers/6/b/5/foks.se/httpd.www/wp-content/plugins/share-and-follow/share-and-follow.php on line 1168 Warning: Illegal string offset 'status_txt' in /customers/6/b/5/foks.se/httpd.www/wp-content/plugins/share-and-follow/share-and-follow.php on line 1168 Warning: Illegal string offset 'status_txt' in /customers/6/b/5/foks.se/httpd.www/wp-content/plugins/share-and-follow/share-and-follow.php on line 1168 Warning: Illegal string offset 'status_txt' in /customers/6/b/5/foks.se/httpd.www/wp-content/plugins/share-and-follow/share-and-follow.php on line 1168

Den här månaden har verktyget TimThumb använts för att hacka ett stort antal WordPress-sajter. Timthumb används för att skala ner en bild den hämtat från valfri adress. Av säkerhetsskäl går det som standard endast att hämta filer från vissa domännamn, till exempel flickr.com och picasa.com.

Kontrollen av adressen som angetts gör via php-kommandot stristr som endast kontrollerar att en av de godkända domännamnen finns med någonstans i hostnamnet som angetts.

Det innebär att även adresser som http://flickr.com.firastbill.com/flickr.com/huy3.php godkändes, filen hämtades och sparades på WordPress-sajten. På den hackade WordPress-sajten har oftast två shellscript-filer lagts in, på wp-admin/upd.php och wp-content/upd.php. Passwordet som används verkar alltid vara en slumpad siffra upp till 100 och det är därför lätt att upptäcka passwordet utifrån md-hashen. I fallet nedan är passwordet 59.

Dessutom läggs php-kod in i wp-config.php och wp-settings.php. I wp-config läggs detta in:

I wp-settings.php läggs detta in:

Koden i wp-settings körs endast om Googlebot kommer på besök medan koden i wp-config.php används av hackern för att kontrollera sajten. Förutom att få direktaccess till WordPress-sajtens adminsida kan hackern även ladda hem och köra php-kod. Denna möjlighet har hackern använt på ett lite oväntat sätt. En rad ur accessloggen för en hackad sajt ser ut så här:

Superpuperdomain.com står under hackerns kontroll och ligger för tillfället nere så man kan inte se vad filen tim.txt. Däremot kan man se vad som skedde samtidigt. När scriptet från superpuperdomain.com kördes hämtades http://timthumb.googlecode.com/svn/trunk/timthumb.php som är senaste versionen av TimThumb.

Den nya TimThumb-filen har installerats och säkerhetshålet som gjorde att hackern först kom in är nu alltså åtgärdat. Antagligen görs det för att stoppa andra hackers från att komma in och försvåra upptäckt av sajter som hackats.

Sucuri.net listar över 150 olika WordPress-tema som innehåller en osäker version av Timthumb. De har då endast kontrollerat de tema som är fritt tillgängliga på WordPress.org.

Uppdatering 29 augusti: I fredags körde hackern ett script på http://91.196.216.20/16.txt (sparad kopia). Detta script söker genom kontot efter wp-settings.php och tar bort den skadliga koden som tidigare lagts in. Även http://91.196.216.20/19.txt (sparad kopia) har använts för att hämta hem ytterligare filer och lägga in krypterad javascriptkod i wp-includes/js/l10n.js och wp-includes/js/jquery/jquery.js.

 
 

Är du ett offer för internetbrott?

05 Jun
Warning: Illegal string offset 'status_txt' in /customers/6/b/5/foks.se/httpd.www/wp-content/plugins/share-and-follow/share-and-follow.php on line 1168 Warning: Illegal string offset 'status_txt' in /customers/6/b/5/foks.se/httpd.www/wp-content/plugins/share-and-follow/share-and-follow.php on line 1168 Warning: Illegal string offset 'status_txt' in /customers/6/b/5/foks.se/httpd.www/wp-content/plugins/share-and-follow/share-and-follow.php on line 1168 Warning: Illegal string offset 'status_txt' in /customers/6/b/5/foks.se/httpd.www/wp-content/plugins/share-and-follow/share-and-follow.php on line 1168 Warning: Illegal string offset 'status_txt' in /customers/6/b/5/foks.se/httpd.www/wp-content/plugins/share-and-follow/share-and-follow.php on line 1168 Warning: Illegal string offset 'status_txt' in /customers/6/b/5/foks.se/httpd.www/wp-content/plugins/share-and-follow/share-and-follow.php on line 1168

Sydsvenskan skriver idag om larmrapporter om internet och de företag som tjänar på att skicka ut rapporterna.

Den första rapporten som diskuteras är Norton Cybercrime Report som Symantec skickade ut pressmeddelande om 8 september 2010. Enligt theidchannel.com tog det dock tid innan själva rapporten publicerades och svenska artiklar publicerades alltså enbart med pressmeddelandet som grund. Det innebär alltså att media inte hade någon möjlighet att själv läsa rapporten utan valde att skriva artiklar baserade på Symantecs egen sammanfattning och slutsatser.

Det största problemet med rapporten är att internetbrott får innefatta allt från sexbrott och nätfiske till datorvirus. Även om datorvirus stjäl datorkapacitet (och ibland gör värre saker) tycker jag det är svårt att jämföra med stöld av pengar. Sammanklumpningen gör att mycket annat i rapporten blir meningslöst. 48% ringer sin bank när de blir utsatta för internetbrott, och i Sverige är man mer benägen att ringa polisen än till sin bank jämfört med USA. Men var man väljer att anmäla ett brott torde främst bero på vilken typ av brott man utsatts för, om det alls är ett brott.

Sydsvenskanartikeln diskuterar också Symantecs rapport om barn och internet och Kasperskys pressmeddelande att det sker 160 000 försök till porrsurfning bland barn varje timme. Kasperskys text är tydlig att det är 160 000 sidor i kategorin ”Pornography” som blockeras, Sydsvenskans granskning visar dock listor där även Facebook och Yahoo blockeras. Slutsatserna är väldigt otydliga men det stämmer att Kaspersky har andra kategorier där sidor som inte innehåller porr blockeras.

Det går inte att komma ifrån att antivirusföretag tjänar pengar på människors otrygghet, det är det som säljer säkerhetsprogram. Därför får man ha förståelse för att deras pressmeddelande är mer eller mindre propaganda för otrygghet. Media får inte glömma sitt jobb, att kritiskt granska sina källor, dra sina egna slutsatser och att ge sina läsare opartisk information om säkerheten på internet.

 

createCSS farligare än den ser ut

12 Apr
Warning: Illegal string offset 'status_txt' in /customers/6/b/5/foks.se/httpd.www/wp-content/plugins/share-and-follow/share-and-follow.php on line 1168 Warning: Illegal string offset 'status_txt' in /customers/6/b/5/foks.se/httpd.www/wp-content/plugins/share-and-follow/share-and-follow.php on line 1168 Warning: Illegal string offset 'status_txt' in /customers/6/b/5/foks.se/httpd.www/wp-content/plugins/share-and-follow/share-and-follow.php on line 1168 Warning: Illegal string offset 'status_txt' in /customers/6/b/5/foks.se/httpd.www/wp-content/plugins/share-and-follow/share-and-follow.php on line 1168 Warning: Illegal string offset 'status_txt' in /customers/6/b/5/foks.se/httpd.www/wp-content/plugins/share-and-follow/share-and-follow.php on line 1168 Warning: Illegal string offset 'status_txt' in /customers/6/b/5/foks.se/httpd.www/wp-content/plugins/share-and-follow/share-and-follow.php on line 1168

Jag upptäckte för några dagar sen en större malwareattack. Vanliga hemsidor hackas och html-kod som anropar extern javascriptkod läggs in på indexsidorna. Jag har lokaliserat 284 olika sidor som används för visa javascriptkoden, samtliga sidor har antagligen hackats.

http://213.175.200.227/js.php

http://213.175.200.233/js.php

http://4nicetime.com/search.php

http://70.86.154.56/js.php

http://abarquitectos.com.pe/search.php

http://abecasinsight.com/search.php

http://agmorganizasyon.com/search.php

http://aircodeac.com/search.php

http://air-link.ws/js.php

http://akyurtemlak.net/counter.php

http://akyurtemlak.net/js.php

http://albagrafica.com/counter.php

http://alcrealty.com/js.php

http://alomextrusions.com/js.php

http://alom.in/js.php

http://alqreenxp.com/js.php

http://aluminiumcasting.net/js.php

http://anekinox.comlu.com/search.php

http://animeshowtime.com/js.php

http://anvikur.tmweb.ru/js.php

http://anwarulquranonline.com/search.php

http://apicons.com.ar/search.php

http://apolomedicspa.com/search.php

http://arabnursing.org/search.php

http://arrowsoleight.com/search.php

http://art.milleniumstudio.pl/js.php

http://assca.fr/search.php

http://attackmediagroup.com/search.php

http://attakornw.comuv.com/search.php

http://autosjulios.com/js.php

http://babychicny.com/search.php

http://balticaniechorze.pl/search.php

http://batecho.eu/js.php

http://beninmarket.com/search.php

http://bestforexacademy.com/js.php

http://biegajski.pl/js.php

http://billrobinsonmusic.com/search.php

http://blogswho.com/search.php

http://bodyfashionperu.com/search.php

http://bodyhome.co.uk/js.php

http://briancampbell.co.uk/js.php

http://buygiftstoindia.com/search.php

http://bymixproduction.com/counter.php

http://callieandcompany.com/search.php

http://canas-bg.com/js.php

http://carreramaleconcampeche.com/js.php

http://casadown.herobo.com/search.php

http://catcumhuriyetyibo.k12.tr/js.php

http://catmuftulugu.gov.tr/js.php

http://cef.co.pt/js.php

http://cennetpansiyon.com/search.php

http://centurycfs.com/js.php

http://chicharito.pl/js.php

http://chipmaster.pt/counter.php

http://cihanbeylininsesigazetesi.com/search.php

http://cinkfranchise.com/search.php

http://clientzone.saturn.tj/js.php

http://cnslis.com/search.php

http://colincampbell.co.uk/js.php

http://comfortseatings.com/search.php

http://computerscienceandmedia.com/search.php

http://cyber-ink.com/search.php

http://dalyanhaber.com/js.php

http://dalyanhomes.net/js.php

http://dalyanrentacar.com/js.php

http://dalyantr.com/js.php

http://debianne.webd.pl/search.php

http://denturessheffield.co.uk/js.php

http://design-maniacs.com/search.php

http://diehlsorchard.com/search.php

http://dl.rap-melody.com/search.php

http://d-mubd3.com/search.php

http://donnamania.com/search.php

http://dreaklandmt2.com/js.php

http://duygusalforum.net/js.php

http://ecoalarm.org/js.php

http://ecofriendlyartists.com/search.php

http://eglen.biz/counter.php

http://ekudakov.ru/js.php

http://emma-bunton.net/search.php

http://energieressourcen.eu/js.php

http://equine-mortality.com/js.php

http://erenerdogan.com.tr/js.php

http://escortbayanla.com/search.php

http://escort-siteleri.net/search.php

http://estudio-zero.com/search.php

http://evelyncampbell.co.uk/js.php

http://extremoskateparkmovil.com/search.php

http://eynesil28.com/search.php

http://eyupliseliler.com/search.php

http://f-3.com.sg/search.php

http://fashionjolik.com/js.php

http://fatmagulunsucuneizle.in/js.php

http://fethiyecarrental.net/js.php

http://filoilkogretim.com/counter.php

http://forextradingglobal.com/js.php

http://fotosnimka.com/js.php

http://four-directions.org/search.php

http://fragata.com.ar/js.php

http://freestyles.xaa.pl/search.php

http://gamefountain.com/js.php

http://gencer.org/js.php

http://GERIH.ORG/search.php

http://girlsgames.me/js.php

http://godswithguns.site90.com/search.php

http://goldensilkscreening.com/search.php

http://gomezteam.ro/search.php

http://goodandbaddrivers.hostzi.com/search.php

http://gpz1357.pdnetworks.pl/js.php

http://grzenio.webd.pl/js.php

http://hairizate.com/search.php

http://harikatatil.com/search.php

http://haydikampa.com/search.php

http://herkimer.com/search.php

http://herocyn.com/search.php

http://highpoint-asia.com/js.php

http://hkorte.net/search.php

http://hkorte.nl/search.php

http://hospital-noticias.com/search.php

http://hosting0013924.az.pl/js.php

http://hsbilisim.net/search.php

http://ideascampechanas.com/js.php

http://ilanozel.com/search.php

http://immobilien-ml.com/search.php

http://influx-website-promotion.com/search.php

http://internetmarketing-tips.net/js.php

http://introplastik.ru/js.php

http://inversionesminerasartc.com/search.php

http://istanbulkulturdans.com/js.php

http://jkarquitectos.com/search.php

http://Kadiyadra.org/js.php

http://kastamonuhaber37.com/search.php

http://katolik4motion.hostoi.com/search.php

http://katosteelthai.com/search.php

http://keynetikfusion.com/search.php

http://khadijahtulquran.com/search.php

http://ki123web.info/search.php

http://konhaber.com/js.php

http://kumarscars.com/search.php

http://l2agony.site90.net/search.php

http://lafaramizda.com/counter.php

http://letfollow.us/js.php

http://limarbis.webd.pl/search.php

http://linkads.in/js.php

http://livezilla.802-x.com/search.php

http://lowcost-car-insurance.com/search.php

http://maciejweigel.pl/js.php

http://marketingnorg.nl/js.php

http://masozescort.com/counter.php

http://mbld.co.uk/search.php

http://mercancicekevi.com/search.php

http://miechowianka.krakow.pl/js.php

http://mijnbernerbende.nl/js.php

http://miloevents.com/js.php

http://mothabroon.com/search.php

http://mujeres-gratis.com/search.php

http://municipiodecampeche.gob.mx/js.php

http://my-garden.pl/js.php

http://nagalla.com/search.php

http://nass.nanolv.com/counter.php

http://navtrack.eu/js.php

http://neotravel.xaa.pl/search.php

http://neroli.com.pl/counter.php

http://neroli.com.pl/js.php

http://neroli.com.pl/search.php

http://networkfairy.com/search.php

http://newperformance.pt/search.php

http://obuwiewl.webd.pl/search.php

http://oceanpacifico.com/js.php

http://oh-geri.fanfusion.org/search.php

http://ohmysole.com/search.php

http://olayspor.net/search.php

http://omegasystems.eu/counter.php

http://optimistbenin.com/search.php

http://osiolkowo.xpag.pl/search.php

http://paintball35.com/js.php

http://pancampeche.org/js.php

http://passionostra.com/js.php

http://pawelmakowski.pl/js.php

http://perih.milleniumstudio.pl/js.php

http://perubrand.com/search.php

http://pesat11jakarta.co.cc/search.php

http://pharmtechsonly.com/search.php

http://pink2cake.com/js.php

http://pirci.com/counter.php

http://pixelwebware.com/js.php

http://pixelwebware.in/js.php

http://pixin.com/js.php

http://playguitarmusiclessons.com/search.php

http://policysimulator.org/counter.php

http://prosuregroup.com/js.php

http://przejrzystaoswiata.pl/js.php

http://psa.krakow.pl/counter.php

http://psa.krakow.pl/js.php

http://puertociudad.mx/js.php

http://pvp-forum.com/js.php

http://quadrapol.milleniumstudio.pl/js.php

http://radicalcosmetics.com/search.php

http://raswiedza.xaa.pl/search.php

http://rewards-palace.com/search.php

http://riarenterprises.com/search.php

http://rifatozkan.com.tr/search.php

http://ropaultra.uphero.com/search.php

http://rotaryklubpancevo.org/search.php

http://sagitta.cp5.win.pl/js.php

http://saglikalemi.com/js.php

http://salecyprus.com/js.php

http://scresurs.kz/js.php

http://secretsimages.com/js.php

http://sharpwebmarketing.com/search.php

http://shatrappz.com/search.php

http://shopriderphilippines.com/search.php

http://shsilver.com/search.php

http://skoopa.com/js.php

http://skracanie.pl/js.php

http://small-servers.com/js.php

http://soal.comuv.com/search.php

http://soscz.ru/js.php

http://starcevo.org.rs/search.php

http://steljanjazaj.host56.com/search.php

http://studiodada.biz/js.php

http://studiodada.biz/search.php

http://support.802-x.com/search.php

http://tanierodzinnezakupy.vot.pl/counter.php

http://targulbisericesc.eu/search.php

http://tazzandersonenterprises.com/search.php

http://tearapy-thailand.com/search.php

http://tekstlandschap.nl/search.php

http://telecomfoundation.com.pk/search.php

http://telemundial.tv/search.php

http://terkom.pl/search.php

http://testzone.saturn.tj/js.php

http://tinydl9.netau.net/search.php

http://tmeg.info/search.php

http://travelbymile.com/js.php

http://unicornteleservices.com/search.php

http://uniqueclassicvideo.com/search.php

http://up.milleniumstudio.pl/js.php

http://vacha.org.in/js.php

http://watorachacha.com/search.php

http://wmakler.star-kom.pl/js.php

http://woweb.biz/js.php

http://www.3doi.com/js.php

http://www.3doq.com/js.php

http://www.acnenomorev.info/js.php

http://www.adamsforwarding.com/js.php

http://www.advertisewithventure.com/js.php

http://www.agen-gamat.com/counter.php

http://www.agmorganizasyon.com/js.php

http://www.andhraruchi.com/search.php

http://www.ankarahavalari.net/counter.php

http://www.ankarahavalari.net/js.php

http://www.avv-roermond.nl/counter.php

http://www.bbwonlinedating.info/js.php

http://www.bestfullgames.com/js.php

http://www.bm69.com/js.php

http://www.broilmastergrills.org/js.php

http://www.butterflyfashion.eu/js.php

http://www.charliesheennews.info/js.php

http://www.floridagas.net/js.php

http://www.forextradingglobal.com/js.php

http://www.freemuslimpartner.com/search.php

http://www.gazetevan.com/js.php

http://www.gemininirman.com/js.php

http://www.geranges.info/js.php

http://www.immobilien-ml.com/search.php

http://www.internetmarketing-tips.net/js.php

http://www.mediapembelajaranonline.web.id/js.php

http://www.m-norte.net/js.php

http://www.mortgagecapped.com/js.php

http://www.myspice.ro/js.php

http://www.obatalami-2u.com/search.php

http://www.optikazoom.si/search.php

http://www.pfmfastdl.ptclans.info/js.php

http://www.protegeanalytics.com/search.php

http://www.ruyacafe.net/js.php

http://www.saglikalemi.com/js.php

http://www.therioclub.com/search.php

http://www.vallesmanteniments.com/js.php

http://www.vallesmanteniments.com/search.php

http://www.zintec.be/js.php

http://yalecontrols.com/search.php

http://zarabianiewnecie24.com.pl/js.php

http://zlinki.com/search.php

Javascriptet som anropas ser till en början oskyldig ut, namnet på funktionen är createCSS och scriptet kontrollerar user agent och kör en datumfunktion. Jag har inte gått genom de exakta funktionerna i scriptet men en trolig gissning är att user agenten kontrolleras för att se att det är en riktig webbläsare som körs och att även datumfunktionen kontrollerar detta.

Men efter dessa kommando blir scriptet mer uppenbart. Jag har lagt till radbrytningen för tydlighetens skull och bara tagit med början av den krypterade delen av scriptet.

Resultatet av javascriptkoden är att den via iframe anropar en ny sida. De 284 sidor jag hittat anropar någon av:

http://offers.daddycrafts.com/news/2010

http://builder.rockstargraphicdesign.com/news/2010

http://top.threejonline.com/news/last

Just nu lyckas jag dock endast få dessa sidor att ge 404-fel eller skicka vidare till Google. Men man kan se att något inte är som det ska vara. Testar jag att hämta http://offers.daddycrafts.com/news/2010 med wget rapporteras det att webbservern är lighthttpd.

Går jag in på sidan med Firefox får jag däremot felmeddelande som anger att det är webbservern nginx som körs.

 

Photoshop of you, check it out

03 Apr
Warning: Illegal string offset 'status_txt' in /customers/6/b/5/foks.se/httpd.www/wp-content/plugins/share-and-follow/share-and-follow.php on line 1168 Warning: Illegal string offset 'status_txt' in /customers/6/b/5/foks.se/httpd.www/wp-content/plugins/share-and-follow/share-and-follow.php on line 1168 Warning: Illegal string offset 'status_txt' in /customers/6/b/5/foks.se/httpd.www/wp-content/plugins/share-and-follow/share-and-follow.php on line 1168 Warning: Illegal string offset 'status_txt' in /customers/6/b/5/foks.se/httpd.www/wp-content/plugins/share-and-follow/share-and-follow.php on line 1168 Warning: Illegal string offset 'status_txt' in /customers/6/b/5/foks.se/httpd.www/wp-content/plugins/share-and-follow/share-and-follow.php on line 1168 Warning: Illegal string offset 'status_txt' in /customers/6/b/5/foks.se/httpd.www/wp-content/plugins/share-and-follow/share-and-follow.php on line 1168

Idag dök denna chat upp på Facebook, en vän skrev ”hey, i just made a photoshop of you, check it out :P : bit.ly/ihB3Cl”.

Bit.ly publicerar statistik för varje länk och man kan se att länken aktiverades för ungefär en timme sedan och sedan dess haft ungefär tusen besökare per minut.

Klickar man på länken skickas man vidare till Facebook-applikationen bandupl.co.cc som förutom generell information även vill ha tillgång till ens chat.

Har det inte dykt upp några varningsklockor tidigare kan man börja fundera på varför applikationen själv vill chatta med ens kompisar. Godkänner man applikationen skickas man vidare till en sida som ger följande meddelande.

Att testa om man är en människa genom att skicka ut pennset är onekligen en intressant tanke, men främsta syftet med denna ”Security check” är att skaparen av applikationen får betalt för att skicka besökare till olika sidor.

Är man inte intresserad av undersökningar och tävlingar kan man dock läsa källkoden för att direkt hitta resultatet.

Man skickas alltså till http://www.graphicdesignblog.org/strange-funny-photoshop-manipulations/ och bilden som visas är denna. Men oavsett om du väljer att genomföra någon undersökning eller inte har alla dina vänner redan fått en chat från dig där du tipsar om sidan.

 

Comodo – Hackern bakom hacket

02 Apr
Warning: Illegal string offset 'status_txt' in /customers/6/b/5/foks.se/httpd.www/wp-content/plugins/share-and-follow/share-and-follow.php on line 1168 Warning: Illegal string offset 'status_txt' in /customers/6/b/5/foks.se/httpd.www/wp-content/plugins/share-and-follow/share-and-follow.php on line 1168 Warning: Illegal string offset 'status_txt' in /customers/6/b/5/foks.se/httpd.www/wp-content/plugins/share-and-follow/share-and-follow.php on line 1168 Warning: Illegal string offset 'status_txt' in /customers/6/b/5/foks.se/httpd.www/wp-content/plugins/share-and-follow/share-and-follow.php on line 1168 Warning: Illegal string offset 'status_txt' in /customers/6/b/5/foks.se/httpd.www/wp-content/plugins/share-and-follow/share-and-follow.php on line 1168 Warning: Illegal string offset 'status_txt' in /customers/6/b/5/foks.se/httpd.www/wp-content/plugins/share-and-follow/share-and-follow.php on line 1168

15 mars blev Comodo utsatta för dataintrång, falska SSL-certifikat skapades för åtta sajter, mail.google.com, www.google.com, login.yahoo.com, login.skype.com, login.live.com samt addons.mozilla.org. Intrånget blev känt 23 mars och man har sedan dess spekulerat i vem eller vilka som låg bakom intrånget.

Spåren ledde snabbt till Iran och många har menat att det antagligen är iranska staten som stått bakom attacken, dels för att den var så sofistikerad, dels för att Iran som stat både har möjlighet och intresse av att använda certifikaten.

Personen som stod bakom intrånget gillade uppenbarligen inte att någon annan fick äran för intrånget och bestämde sig för att publicera sitt manifest 26 mars. Manifestet inleds med några få bevis på att det är han som är hackern och övergår sedan till en tämligen skrytsam beskrivning av hur intrånget skedde, han skriver bland annat:

”It was not really a managed hack. At first I decided to hack RSA algorithm, I did too much investigation on SSL protocol, tried to find an algorithm for factoring integer, for now I was not able to do so, at least not yet, but I know it’s not impossible and I’ll prove it.”

”Rule#4: Comodo and other CAs in the world: Never think you are safe, never think you can rule the internet, rule the world with a 256 digit number which nobody can find it’s 2 prime factors, I’ll show you how someone in my age can rule the digital world.

Rule#5: To microsoft, mozilla and chrome who updated their softwares as soon as instructions came from CIA. You are my targets too.”

Hackern går även in på Stuxnet och januari månads teori om att det är USA och Israel som ligger bakom viruset, och att det är därför det tog tid innan säkerhetshålet Stuxnet använder täpptes till.

Då hackern inte blev trodd av alla lade han 27 mars upp fler bevis, 28 mars ytterligare bevis och mer bevis. 29 mars avbröts trenden för en intressant frågestund där han förklarar mer om intrånget och sina egna åsikter.

Företaget Errata Security har på sin blogg publicerat en intervju med hackern, dessutom har de lagt upp en tydlig och bra guide för att verifiera att hackern verkligen är den som gjort intrånget. Även om det inte går att bevisa helt säkert och man inte heller kan avgöra hackerns motiv visar guiden att personen som utger sig för att vara hackern har tillgång till information som endast hackern (och inte ens Comodo själva) haft.

 

Hoppsan, mysql.com hackat via sql-injection

02 Apr
Warning: Illegal string offset 'status_txt' in /customers/6/b/5/foks.se/httpd.www/wp-content/plugins/share-and-follow/share-and-follow.php on line 1168 Warning: Illegal string offset 'status_txt' in /customers/6/b/5/foks.se/httpd.www/wp-content/plugins/share-and-follow/share-and-follow.php on line 1168 Warning: Illegal string offset 'status_txt' in /customers/6/b/5/foks.se/httpd.www/wp-content/plugins/share-and-follow/share-and-follow.php on line 1168 Warning: Illegal string offset 'status_txt' in /customers/6/b/5/foks.se/httpd.www/wp-content/plugins/share-and-follow/share-and-follow.php on line 1168 Warning: Illegal string offset 'status_txt' in /customers/6/b/5/foks.se/httpd.www/wp-content/plugins/share-and-follow/share-and-follow.php on line 1168 Warning: Illegal string offset 'status_txt' in /customers/6/b/5/foks.se/httpd.www/wp-content/plugins/share-and-follow/share-and-follow.php on line 1168

Förra helgen hackades mysql.com, databasnamn, tabeller, användarnamn och krypterade lösenord postades till mailinglistan Full-Disclosure. Enligt posten var http://mysql.com/customers/view/index.html?id=1170 sårbar för blind sql injection.

Några av lösenorden har nu dekrypterats och som vanligt är det de lätta lösenorden som knäcks först.

Avsändare för mailet till Full-Disclosure var Jackh4xor men säkerhetshålet upptäcktes redan i januari av TinKode & Ne0h. I januari upptäckte TinKode även ett XSS-hål på mysql.com. I sambandet med intrånget förra helgen publicerades även information från databaser på sun.com. Även där skedde intrånget med hjälp av sql injection.

Jackh4xor @ w4ck1ng

 

Inga ändringar för Facebookannonser

29 Mar
Warning: Illegal string offset 'status_txt' in /customers/6/b/5/foks.se/httpd.www/wp-content/plugins/share-and-follow/share-and-follow.php on line 1168 Warning: Illegal string offset 'status_txt' in /customers/6/b/5/foks.se/httpd.www/wp-content/plugins/share-and-follow/share-and-follow.php on line 1168 Warning: Illegal string offset 'status_txt' in /customers/6/b/5/foks.se/httpd.www/wp-content/plugins/share-and-follow/share-and-follow.php on line 1168 Warning: Illegal string offset 'status_txt' in /customers/6/b/5/foks.se/httpd.www/wp-content/plugins/share-and-follow/share-and-follow.php on line 1168 Warning: Illegal string offset 'status_txt' in /customers/6/b/5/foks.se/httpd.www/wp-content/plugins/share-and-follow/share-and-follow.php on line 1168 Warning: Illegal string offset 'status_txt' in /customers/6/b/5/foks.se/httpd.www/wp-content/plugins/share-and-follow/share-and-follow.php on line 1168

De senaste dagarna har det cirkulerat information om att Facebook på fredag kommer att börja använda användarnas bilder i annonser. Varningen finns i några olika version, till exempel ”Viktigt!!! På fredag kommer Facebook börja använda dina bilder i annonser, som visas på profilsidorna hos dina kontakter. Detta är lagligt och nämns i det finstilta när du skapar ditt konto. För att stoppa detta gör följande: Konto, Kontoinställningar och välj Facebook-fliken och välj INGEN i rullgardinsmenyn och spara. Kopiera till din status så alla får veta!” och ”På fredag så kommer Facebook att börja använda dina foton i reklam som visas på dina vänners profiler. Det är lagligt och det var skrivet i finstilt i villkoren som du läste när du registrerade ditt konto. Hindra spridningen av dina bilder genom att göra dessa inställningar: klicka på ”konto”, ”kontoinställningar”, ”Facebook-annonser”, välj ”ingen” i menyn och spara ändringarna…. Visa mer Kopiera det här till din status!”.

Men det hela är en bluff. Ryktet har cirkulerat länge och redan 2009 skrev Facebook i sin blogg om de falska ryktena. Klickar man på Konto, Konstinställningar, Facebook-annonser hittar man två olika inställningar. Den första är ”Annonser som visas tredjepartsapplikationer” och enligt sidan ger Facebook aldrig ut rättigheter till namn eller foto till tredje part, inställningen är endast för framtida bruk och det verkar som att standard är att ”Ingen” får se dessa annonser.

Andra inställningen är ”Annonser som visas av Facebook” och är mer förvirrande. Annonsen kopplar ihop en social händelse med en annonsörs meddelande, det kan helt enkelt vara att annonsen visar att du gillar ett företags Facebooksida. Dessa annonser har funnits på Facebook i flera år.

Här kan du välja mellan ”Ingen” och ”Bara mina vänner”.

Det är inte bara nybörjare som lurats av varningarna, danska Facebookgruppen IT-sikkerhed gick idag ut med samma meddelande till sina läsare.

Peter (som jag känner till sen innan och fortfarande har stort förtroende för) har nu undersökt saken med Facebook och kan bekräfta att Facebook inte kommer att ändra något.

 

G20 mål för attacker mot Frankrike

08 Mar
Warning: Illegal string offset 'status_txt' in /customers/6/b/5/foks.se/httpd.www/wp-content/plugins/share-and-follow/share-and-follow.php on line 1168 Warning: Illegal string offset 'status_txt' in /customers/6/b/5/foks.se/httpd.www/wp-content/plugins/share-and-follow/share-and-follow.php on line 1168 Warning: Illegal string offset 'status_txt' in /customers/6/b/5/foks.se/httpd.www/wp-content/plugins/share-and-follow/share-and-follow.php on line 1168 Warning: Illegal string offset 'status_txt' in /customers/6/b/5/foks.se/httpd.www/wp-content/plugins/share-and-follow/share-and-follow.php on line 1168 Warning: Illegal string offset 'status_txt' in /customers/6/b/5/foks.se/httpd.www/wp-content/plugins/share-and-follow/share-and-follow.php on line 1168 Warning: Illegal string offset 'status_txt' in /customers/6/b/5/foks.se/httpd.www/wp-content/plugins/share-and-follow/share-and-follow.php on line 1168

Det är inte bara den franska regeringen som haft problem med dataintrång på sistone. Även Kanada har drabbats på liknande sätt. I Frankrike har fokus för intrånget varit dokument rörande G20, som Kanada hade ordförandeskapet för 2010 tills Frankrike tog över, och man misstänker därför att attackerna hänger samman.

Information om hur attacken mot Frankrike gått till är väldigt knapphändig men för Kanada finns mer information. Enligt CBC News användes två angreppsmetoder. Mail som såg ut att komma från personer med chefsposition skickades till tekniker och i mailen bad man om hjälp med lösenord. Samtidigt skickade man mail till anställda, mail med bilagor som innehöll virus. Enligt uppgifter om den franska attacken användes även där mail med bilagor, dessutom spred sig viruset vidare automatiskt. I båda fallen har data skickats till servrar i Kina.

Även om det är möjligt att de kinesiska servrarna bara är ett mellanled misstänker de flesta att det är Kina som står bakom attacken. Det är inte första gången Kina anklagas för attacker mot utländska myndigheter och företag. Operation Ghostnet som upptäcktes mars 2009 och operation Aurora som satte igång några månader senare anses båda härstamma från Kina.