RSS
 

Archive for the ‘Intrång’ Category

Kapade bloggar säljer bantningsmedel

24 Apr

De adresser som spam gör reklam för blir ofta snabbt svartlistade i olika tjänster vilket leder till att nya spam med reklam för samma adress blockeras. För att komma runt detta är det inte ovanligt att spammare attackerar legitima hemsidor och använder adresser på hemsidan. Ofta lägger de endast upp en html-fil med javascript som skickar vidare besökaren till deras egentliga sajt, men ibland kan de lägga upp en html-fil med innehåll och det är först när man klickar på något som man kommer vidare till spammarens egen sajt.

I en ny attack som började i april går spammarna ett steg längre. Spammarna attackerar hemsidor med WordPress installerat och lägger upp flera egna installationer av WordPress. Då WordPress sparar all information i MySQL-databas skapas MySQL-tabeller i samma databas som den ursprungliga WordPress-installationen använder, men med nytt prefix.

Resultatet blir en webshop som gör reklam för bantningsmedel.

Klickar man på något skickas man vidare till den egentliga webshopen som ligger på en domän som administreras helt av spammaren. Att de använder WordPress syns tydligare lite längre ner på sidan.

Här återfinns WordPress-inlägg med slumpade texter och ett arkiv över gamla inlägg. Det finns även länkar till andra WordPress-installationer spammaren lagt upp. Än så länge har de flesta installationer inte blockerats eller svartlistats av Google, en sökning ger nästan 20 000 träffar på Google. Att sökmotorer tycker om bloggar och länkar mellan sidor är bekant och det är sannolikt att dessa bloggar hinner klättra högre upp i sökmotorresultat innan de stoppas.

Ett undersökt konto hade blivit attackerat med en bruteforce-attack där spammaren testat att logga in på WordPress administrationssida med flera olika lösenord tills rätt lösenord hittades, men det är troligt att även andra attackmetoder används.

 
 

WordPress-sajter hackade med TimThumb

25 Aug

Den här månaden har verktyget TimThumb använts för att hacka ett stort antal WordPress-sajter. Timthumb används för att skala ner en bild den hämtat från valfri adress. Av säkerhetsskäl går det som standard endast att hämta filer från vissa domännamn, till exempel flickr.com och picasa.com.

Kontrollen av adressen som angetts gör via php-kommandot stristr som endast kontrollerar att en av de godkända domännamnen finns med någonstans i hostnamnet som angetts.

Det innebär att även adresser som http://flickr.com.firastbill.com/flickr.com/huy3.php godkändes, filen hämtades och sparades på WordPress-sajten. På den hackade WordPress-sajten har oftast två shellscript-filer lagts in, på wp-admin/upd.php och wp-content/upd.php. Passwordet som används verkar alltid vara en slumpad siffra upp till 100 och det är därför lätt att upptäcka passwordet utifrån md-hashen. I fallet nedan är passwordet 59.

Dessutom läggs php-kod in i wp-config.php och wp-settings.php. I wp-config läggs detta in:

I wp-settings.php läggs detta in:

Koden i wp-settings körs endast om Googlebot kommer på besök medan koden i wp-config.php används av hackern för att kontrollera sajten. Förutom att få direktaccess till WordPress-sajtens adminsida kan hackern även ladda hem och köra php-kod. Denna möjlighet har hackern använt på ett lite oväntat sätt. En rad ur accessloggen för en hackad sajt ser ut så här:

Superpuperdomain.com står under hackerns kontroll och ligger för tillfället nere så man kan inte se vad filen tim.txt. Däremot kan man se vad som skedde samtidigt. När scriptet från superpuperdomain.com kördes hämtades http://timthumb.googlecode.com/svn/trunk/timthumb.php som är senaste versionen av TimThumb.

Den nya TimThumb-filen har installerats och säkerhetshålet som gjorde att hackern först kom in är nu alltså åtgärdat. Antagligen görs det för att stoppa andra hackers från att komma in och försvåra upptäckt av sajter som hackats.

Sucuri.net listar över 150 olika WordPress-tema som innehåller en osäker version av Timthumb. De har då endast kontrollerat de tema som är fritt tillgängliga på WordPress.org.

Uppdatering 29 augusti: I fredags körde hackern ett script på http://91.196.216.20/16.txt (sparad kopia). Detta script söker genom kontot efter wp-settings.php och tar bort den skadliga koden som tidigare lagts in. Även http://91.196.216.20/19.txt (sparad kopia) har använts för att hämta hem ytterligare filer och lägga in krypterad javascriptkod i wp-includes/js/l10n.js och wp-includes/js/jquery/jquery.js.

 
 

Comodo – Hackern bakom hacket

02 Apr

15 mars blev Comodo utsatta för dataintrång, falska SSL-certifikat skapades för åtta sajter, mail.google.com, www.google.com, login.yahoo.com, login.skype.com, login.live.com samt addons.mozilla.org. Intrånget blev känt 23 mars och man har sedan dess spekulerat i vem eller vilka som låg bakom intrånget.

Spåren ledde snabbt till Iran och många har menat att det antagligen är iranska staten som stått bakom attacken, dels för att den var så sofistikerad, dels för att Iran som stat både har möjlighet och intresse av att använda certifikaten.

Personen som stod bakom intrånget gillade uppenbarligen inte att någon annan fick äran för intrånget och bestämde sig för att publicera sitt manifest 26 mars. Manifestet inleds med några få bevis på att det är han som är hackern och övergår sedan till en tämligen skrytsam beskrivning av hur intrånget skedde, han skriver bland annat:

”It was not really a managed hack. At first I decided to hack RSA algorithm, I did too much investigation on SSL protocol, tried to find an algorithm for factoring integer, for now I was not able to do so, at least not yet, but I know it’s not impossible and I’ll prove it.”

”Rule#4: Comodo and other CAs in the world: Never think you are safe, never think you can rule the internet, rule the world with a 256 digit number which nobody can find it’s 2 prime factors, I’ll show you how someone in my age can rule the digital world.

Rule#5: To microsoft, mozilla and chrome who updated their softwares as soon as instructions came from CIA. You are my targets too.”

Hackern går även in på Stuxnet och januari månads teori om att det är USA och Israel som ligger bakom viruset, och att det är därför det tog tid innan säkerhetshålet Stuxnet använder täpptes till.

Då hackern inte blev trodd av alla lade han 27 mars upp fler bevis, 28 mars ytterligare bevis och mer bevis. 29 mars avbröts trenden för en intressant frågestund där han förklarar mer om intrånget och sina egna åsikter.

Företaget Errata Security har på sin blogg publicerat en intervju med hackern, dessutom har de lagt upp en tydlig och bra guide för att verifiera att hackern verkligen är den som gjort intrånget. Även om det inte går att bevisa helt säkert och man inte heller kan avgöra hackerns motiv visar guiden att personen som utger sig för att vara hackern har tillgång till information som endast hackern (och inte ens Comodo själva) haft.

 
 

Hoppsan, mysql.com hackat via sql-injection

02 Apr

Förra helgen hackades mysql.com, databasnamn, tabeller, användarnamn och krypterade lösenord postades till mailinglistan Full-Disclosure. Enligt posten var http://mysql.com/customers/view/index.html?id=1170 sårbar för blind sql injection.

Några av lösenorden har nu dekrypterats och som vanligt är det de lätta lösenorden som knäcks först.

Avsändare för mailet till Full-Disclosure var Jackh4xor men säkerhetshålet upptäcktes redan i januari av TinKode & Ne0h. I januari upptäckte TinKode även ett XSS-hål på mysql.com. I sambandet med intrånget förra helgen publicerades även information från databaser på sun.com. Även där skedde intrånget med hjälp av sql injection.

Jackh4xor @ w4ck1ng

 
 

G20 mål för attacker mot Frankrike

08 Mar

Det är inte bara den franska regeringen som haft problem med dataintrång på sistone. Även Kanada har drabbats på liknande sätt. I Frankrike har fokus för intrånget varit dokument rörande G20, som Kanada hade ordförandeskapet för 2010 tills Frankrike tog över, och man misstänker därför att attackerna hänger samman.

Information om hur attacken mot Frankrike gått till är väldigt knapphändig men för Kanada finns mer information. Enligt CBC News användes två angreppsmetoder. Mail som såg ut att komma från personer med chefsposition skickades till tekniker och i mailen bad man om hjälp med lösenord. Samtidigt skickade man mail till anställda, mail med bilagor som innehöll virus. Enligt uppgifter om den franska attacken användes även där mail med bilagor, dessutom spred sig viruset vidare automatiskt. I båda fallen har data skickats till servrar i Kina.

Även om det är möjligt att de kinesiska servrarna bara är ett mellanled misstänker de flesta att det är Kina som står bakom attacken. Det är inte första gången Kina anklagas för attacker mot utländska myndigheter och företag. Operation Ghostnet som upptäcktes mars 2009 och operation Aurora som satte igång några månader senare anses båda härstamma från Kina.

 
 

Lymmel dömd för dataintrång

16 Feb

20-åringen som åtalats för dataintrång mot City Network har nu fått sin dom, 40 timmars samhällstjänst. I domen förklaras kortfattat vad som hänt.

”Åklagaren har sakframställningsvis anfört i huvudsak följande. Under natten den 1 september 2009 skedde ett dataintrång på City Network Hosting ABs och Seria As server i Karlskrona. Seria As säljer videowebbsajter och anlitar City Network. Dataintrånget bestod i att någon olovligen beredde sig tillgång till servern och lade in en fil. Därefter kunde datorn användas till en datorattack mot en tredje part. Sju av City Networks kunder kunde under 24 timmar inte använda sina tjänster. Tre brott har begåtts, vilka var för sig är databrott; dels olovligen bereda sig tillgång till dator, dels föra in uppgifter dvs. en fil, dels ock hindra kunderna från att använda datorn.”

Polisen hade tre spår, vilka förklaras i domen. Första spåret är att IP-nummer som kan kopplas till 20-åringen användes för att kontakta en server i Östersund, som användes för att söka efter sårbara servrar på internet. Servern i Östersund hittade då City Networks server i Karlskrona. I domen noteras att det är lagligt att söka efter sårbara servrar. Andra spåret handlar om den olagliga delen, då programvara överfördes från servern i Östersund till servern i Karlskrona och intrånget blev ett faktum. Överföringen av program kan kopplas till 20-åringens adress.

Spår 3 inleds med en beskrivning av programmet som överfördes, det är en IRC-bot som anslöt till kanalen crapballs. 20-åringen, som kallar sig Lymmel gick in på kanalen för att skicka kommando, både till City Networks server och andra servrar. Bevisningen blir här väldigt förvirrande.

”Kontot har använts av en IP-adress innehållande ordet ”Lymmel”. IP-adressen är sparad hos [PERSONNAMN]. Användaren har använt sig av email adressen [DOMÄNNAMN].net…Domänägaren är [DOMÄNNAMN].”

[PERSONNAMN] är 20-åringens namn och [DOMÄNNAMN] är på båda ställen det domännamn som använts. 20-åringen har erkänt och beskrivningen stämmer med polisens tekniska undersökning. Han menar dock att han bara ville testa och inte visste att det han gjorde var olagligt. När han fick veta detta slutade han. 20-åringen menar att den chattkonversation som åklagare hänvisar till ”var ett påhitt från hans sida för att försöka verka tuff”. Domstolen är dock av annan mening.

”Av den av åklagaren åberopade chatt konversationen framgår att [PERSONNAMN] haft tillgång till servern i Östersund och att han använt den för att leta efter sårbara datorer på Internet. I en annan chatt konversation har ”Lymmel” berättat för en kamrat att han bl.a. hackar servrar, lägger upp IRC-bots och DDOSAR från dem samt från en kanal. Vidare har [PERSONNAMN] velat sälja tillgång till sina IRC-botar. Även genom [PERSONNAMN]s egna uppgifter framgår att han haft uppsåt att hacka servern i Karlskrona.”

Förklaringen att 20-åringen inte kände till att det han gjorde var olagligt accepteras inte.

”Med hänsyn till [PERSONNAMN]s stora intresse för datorer och han använts sig av dessa under såväl lång tid som intensivt framstår hans okunskap om att hans förfarande inte skulle vara olagligt som en efterhandskonstruktion och kan därför lämnas utan avseende.
Sammantaget finner tingsrätten att [PERSONNAMN] ska dömas för dataintrång.”

Efter en diskussion om påföljdsfrågan beslutas följande.

”För den händelse fängelse i stället valts som påföljd skulle fängelse en månad ha utdömts. Med hänsyn härtill ska tiden för det oavlönade arbetet bestämmas till fyrtio timmar.
[PERSONNAMN] döms för brott som har fängelse i straffskalan. Han ska därför åläggas att utge 500 kr enligt lagen om brottsofferfond.”

 
 

Mark Zuckerberg hackad

26 Jan

Mark Zuckerberg, en av grundarna av Facebook, fick igår sitt Facebook-konto hackat. På hans fansida dök det upp ett meddelande, från honom själv: ”Let the hacking begin: If facebook needs money, instead of going to the banks, why doesn’t Facebook let its users invest in Facebook in a social way? Why not transform Facebook into a ‘social business’ the way Nobel Prize winner Muhammad Yunus described it? http://bit.ly/fs6rT3 What do you think? #hackercup2011”.

#hackercup2011 refererar till Facebooks programmeringstävling. Än så länge finns inte någon information om hur intrånget skedde.

Uppdatering 27 januari: Nu har även Aftonbladet och IDG snappat upp nyheten. IDG rapporterar också att Facebook meddeladet att intrånget berodde på en bugg som gjorde att man kunde posta inlägg på vissa sidor och nu har åtgärdats. Buggen kunde inte används för att komma åt någon privat data.

Igår meddelade Facebook att de nu erbjuder SSL-kryptering för hela Facebook, inte bara själva inloggningen.

 
 

Tunisien stal befolkningens inloggningsuppgifter

25 Jan

I Tunisien tillhandahålls bandbredd av Agence tunisienne d’Internet, ATI, som ägs av tunisiska kommunikationsministeriet. Enligt egen uppgift censureras endast pornografi och terrorism men även sajter som Reportrar utan gränser blockeras.

Det har nu upptäckts att ATI lagt in javascript kod på inloggningssidor för bland annat Facebook, Gmail och Yahoo.

När man postar inloggningsformuläret, i det här fallet Facebooks, anropas funktionen hAAAQ3d(). Denna anropar en adress av formen http://www.facebook.com/wo0dh3ad?q=SLUMPAT&u=ANVÄNDARNAMN&p=LÖSENORD. Denna sida existerar inte men det blir väldigt lätt för ATI att ta fram användarnamn och lösenord ur sina loggfiler. Attacken upptäcktes av Facebook på juldagen och man inledde med att skicka tunisiska besökare till en HTTPS-server med krypterad kommunikation. Då data skickas krypterat till besökarens dator kan ATI inte längre lägga in egen javascriptkod. Nästa steg var att ändra lösenord för alla användare som loggat in under den tid intrånget skett.

 

IBMs utvecklarsajt hackad

11 Jan

IBMs utvecklarsajt på http://www.ibm.com/developerworks/linux/ hackades i lördags. Enligt texten som lades upp utfördes hacket för att varna IBM för att sajten har flera allvarliga säkerhetshål.

”Tidak ada seorangpun, hewan atau banci yang disakiti dalam hacking ini” är indonesiska och betyder ungefär ”Ingen som skadar djur eller är vekling i detta hack”.

På mailinglistan Full Disclosure meddelar Maciej Gojny på Ariko-Security att de kontaktade IBM för flera månader sedan angående säkerhetshål på sajten men inte togs på allvar. Enligt Computerworld gällde det ett antal IBM-sajter som var sårbara för bland annat cross-site scripting (XSS), directory traversal och frame injection.

 
 

Servage hackat för search result hijacking

07 Jan

Search result hijacking kan närmast översättas till sökresultatskapning och innebär att när man klickar på en länk i till exempel Googles sökresultat kommer man inte till den valda sidan utan skickas vidare till en helt annan adress. Det kan vara en adress som försöker sälja Viagra, falska antivirusprogram eller som försöker installera virus på ens dator. Eftersom man endast skickas vidare om man kommer via en sökresultatsida och inte när man anger adressen till sajten manuellt kan det ta tid för ägaren av sajten att upptäcka att något är fel.

Oftast beror kapningen på att ett konto hackats och att en .htaccessfil lagts upp med kommando för att skicka besökare vidare.

De första fem raderna anger att om ett felmeddelande, till exempel för 404 för att angivna adressen inte existerar, ska visas så  ska servern skicka vidare besökaren till http://virtuta.ru/router/index.php. Raderna 6-11 anger att om referer (den sida besökaren senast kom från) innehåller google, ask, yahoo, linkedin eller flickr ska besökaren skickas vidare till adressen angiven på rad 12, http://virtuta.ru/router/index.php. Denna adressen skickar i sin tur vidare till http://villusoftreit.ru/in.cgi?3 som jag inte undersökt närmare men av adressen att döma gissar jag på att den försöker installera malware på besökarens dator.

Den senaste veckan har jag gått genom ett stort antal se-domäner för att se om de är drabbade av search result hijacking. Testet är väldigt enkelt. Jag hämtar sajtens förstasida två gånger, en gång där jag inte anger någon referer och en gång där jag anger google.com som referer. Sedan jämfört jag resultaten. För att snabba upp det hela kör jag kommandot HEAD istället för GET för att hämta sidan. HEAD innebär att servern ska göra exakt som vid en vanlig request, men låta bli att skicka ut själva sidan. Den informationen jag behöver finns i headerinformationen.

I bilden ovan hämtas förstasidan på www.afoco.se. Svaret från servern innehåller ”200 OK” vilket innebär att jag inte fick något felmeddelande och inte heller skickas vidare till någon annan adress. När jag anger http://www.google.com/?q=www.afoco.se som referer blir resultatet annorlunda.

Här får jag istället ”301 Moved Permantently” vilket betyder att adressen jag försöker nå inte är tillgänglig, istället ombeds jag istället hämta sidan som anges vid ”Location:”, i detta fall http://chimeboom.ru/in.cgi?17. Hade jag gjort besöket med en webbläsare hade jag automatiskt skickats vidare.

Av de se-domäner jag undersökte pekade www.domänen.se till ett IP-nummer i 629 817 fall. Av dessa var 149 (0,23 promille) domäner drabbade av search result hijacking. De webbhotell som hade flest kapade domäner är också de som har flest domännamn, One.com, Loopia och Binero.

Men ett företag stack ut från mängden, Servage.

För Servage hittades 30 domäner fördelade på två olika IP-nummer, 77.232.90.107 och 77.232.91.8. Ännu märkligare var att dessa 30 domäner skickade vidare till endast två olika adresser, http://chimeboom.ru/in.cgi?17 och http://zxsoftpromo.ru/in.cgi?5. Jag började undersöka domäner som inte är se-domäner och låg på samma servrar och fick mina misstankar bekräftade. Samtliga domännamn på dessa två IP-nummer är drabbade av search result hijacking. För andra webbhotell är det enskilda kunder som hackats men i det här fallet är det sannolikt att själva servrarna hos Servage hackats. Jag kontaktade Servages abuse omedelbart men har efter ett dygn ännu inte fått svar och problemet kvarstår.

De se-domäner som är drabbade är:
afoco.se
agenteyes.se
chokladgrottan.se
coach4me.se
crystaltrading.se
garnexpo.se
hallsbergstvatt.se
hemsidaprogram.se
ifkstockaryd.se
kommunikationskonst.se
lakritsgrottan.se
lovecyprus.se
martinaskowronska.se
mfwilma.se
mobil-shop.se
monashemochkok.se
negumbolew.se
peaceuniversity.se
perfectshop.se
pizzapicasso.se
ppbox.se
purecase.se
smallshoes.se
sykarsbrunn.se
tendera.se
twinani.se
vasbysmuscout.se
webbeditors.se
webeditors.se
wpthemes.se

Uppdatering 8 januari: Det har nu gått två dygn sen jag kontaktade Servage. På 77.232.91.8 har nu 9 av 14 sajter åtgärdats. För 77.232.90.107 är det värre, samtliga 16 är fortfarande hackade. För 6 sajter har hackers sedan igår uppdaterat så att man numera skickas till zippmonstersoft.ru.