- Data dodania:
- 27 6.10
- Kategorie:
- analizy, newsy
- Autor:
- Borys Łącki
Przybyło do mnie kilka maili o bardzo krótkich i treściwych tematach i zawartościach typu: Windows 7 Ultimate 64 bit = -$149.95, A lot of software for Windows and MAC OS in different languages! Microsoft Office 2004 for MAC, License software! Purchase program Microsoft after a half price, The Best Software! Free Software Downloads and Reviews. Wszystkie zawierają prostą stronę internetową, która zawiera odnośnik do stron, które natomiast kierują użytkownika z użyciem metody META HTTP-EQUIV=refresh do hxxp://digital-oembuy_ru. Różne witryny wykorzystane do przekierowań zostały raczej dodane w nielegalny sposób poprzez kradzież loginów i haseł od legalnych właścicieli tudzież wykorzystanie błędów w oprogramowaniu WWW. Trafił się też polski akcent gdyż jedna ze stron to http://gigantos.udp_pl/u.html. Zgłosiłem problem firmie obsługującej hosting i w krótkim czasie skontaktowali sie z klientem i usunęli problematyczną treść.
Nagłówek klienta pocztowego jest różny. Wiadomości wysyłane są z różnymi polami Od z adresów serwerów yahoo czy hotmail ale nie tylko. Wskazuje to na wykorzystanie albo ukradzionych kont albo specjalnie do tego celu kont założonych na tych serwisach. Czytaj dalej »
- Data dodania:
- 31 5.10
- Kategorie:
- analizy, newsy
- Autor:
- Borys Łącki
Dziś nawiedziła mnie wiadomość mailowa dotycząca pilnego wypełnienia formularza online usługi American Express. Konkretny temat: American Express Online Form i równie konkretna treść:
Dear American Express customer,http://egilobezo.greatnow.com/etuqoco.html
A newly revised American Express Online Form has been issued by the American Express Customer Care Team. Please complete this
form as soon as possible You can access the form at:
American Express Online Form.
Thank you for choosing American Express.
Sincerely,
American Express
Jedyny problem był taki, że link odnosił się do: http://urlie/6byw co wskazuje na próbę wykorzystania, któregoś z serwisów skracających linki ale chyba w nieudany sposób. Na szczęście bardzo sprawny dział American Express Customer Care Team zorientował się bardzo szybko i po chwili otrzymałem drugą wiadomość już z poprawnym odnośnikiem: Czytaj dalej »
- Data dodania:
- 08 4.10
- Kategorie:
- analizy, newsy
- Autor:
- Borys Łącki
Jestem fanem Opery. Odkąd pamiętam. Zgłosiłem kilkadziesiąt błędów, wielokrotnie testowałem wersje z wczesnych faz produktu, korzystałem z Opery na Wii i na prawdę uwielbiam ich rozwiązania. Dla mnie osobiście, jest to najlepsza przeglądarka. Na moim dysku z workstacji leży jeszcze: opera-6.10-20021029.2-shared-qt.i386.tar.gz. Teoretycznie więc nie jestem szalonym fanem FF (także zacnej przecież przeglądarki), a po prostu od wielu lat mniej więcej wiem co w Operze piszczy. I takie niedoróbki (których Opera ma niestety coraz więcej) jak ta, mnie osobiście dobijają. Korzystam z wersji 10.10 czyli ostatniej stabilnej pod Linuksa i oczywiście miałem przyjemność testować najnowszą wersję 10.5 z trybem prywatnym. I mam szczerą nadzieję, że tryb ten będzie zaimplementowany lepiej niźli te podstawowe funkcjonalności, które obecne są w wersji 10.10 i dotykają coraz to poważniejszego problemu prywatności. Ale przejdźmy do tego co ostatnio odkryłem (jak zawsze oczywiście ktoś na pewno to odkrył wcześniej i jest to dla Niego truizmem ;) i mnie zaskoczyło – niestety negatywnie. Czytaj dalej »
- Data dodania:
- 05 4.10
- Kategorie:
- analizy, newsy
- Autor:
- Borys Łącki
Spodziewałem się więcej jajek w mailach, w których złośliwe oprogramowanie robi sobie ze mnie jaja myśląc, że uruchomię “pocztówkę” przysłaną od miliarda moich botnetowych przyjaciół. A tu zostałem zalany spamem o temacie: moja_domena.com account notification. I rozumiem, że miał taki mail zadziałać w moje uczucie troski o bezpieczeństwo tak ważnego tematu jakim jest domena, ale w święta?! W święta powinienem otrzymać jajko i zajączka wyskakującego z pięknym .exe. Uwzględniając jednak fakt, że otrzymałem tych maili sporo i dla kilku domen, skuteczność zapewne była jak zawsze na odpowiednio zadowalającym poziomie :]
Różne pola From, różne nagłówki X-mailer, różne adresy IP, a treść wiadomości wygląda tak: Czytaj dalej »
- Data dodania:
- 29 3.10
- Kategorie:
- analizy, newsy
- Autor:
- Borys Łącki
Najbardziej na świecie nie rozumiem w Naszej Klasie tylko jednego. Dlaczego czytając na ich portalu swoją wiadomość ze skrzynki, nie mogę oznaczyć tejże jako spam. Dlaczego wielkość NK nie pozwala im zrozumieć, że taki feedback to nie tylko dodatkowe koszty związane z obsługa takich zgłoszeń, ale także dodatkowy zysk w postaci mniejszej ilości spamu na NK. Pewnie jak zawsze o wszystkim zadecydował bilans zysków i kosztów :] Tak czy owak otrzymałem wiadomość na NK, która wysłana została z niewypełnionego profilu. Treść wiadomości brzmiała jak zawsze nad wyraz zachęcająco i pomyślałem, że przecież kto jak kto ale ja nie kliknę? Tak oto się treść przedstawiała:
Czytaj dalej »
- Data dodania:
- 23 2.10
- Kategorie:
- analizy, newsy
- Autor:
- Borys Łącki
Klikuem sobie dziś w sportowe wiadomości, a tam informacja o tym, że w Hokeju już nic nie będzie takie jak kiedyś. Ciekawy byłem co takiego się wydarzyło i doczytałem, że jeden sławny hokeista uderzył drugiego sławnego hokeistę niby nie uderzając, ale zarazem nokautując. Standardowo wrzuciłem wyrazy związane z tą sytuacją w youtube by po chwili dowiedzieć się, że prawa do filmu zderzeniowego posiada jakaś firma i się sportowych wyczynów nienaoglądam więc postanowiłem użyć narzędzia diabła czyli wyszukiwarki Google: jagr 2010 vancouver movie hit
Zadziwiła mnie powtarzalność wyników (patrz obrazek) i jak się okazało miałem rację. Pierwsze dwadzieścia kilka wyników wyszukania, za pomocą systemu przekierowań próbowało przekonać mnie do instalacji fałszywego oprogramowania antywirusowego. Kampania o tyle gruba, że bierze w niej udział masa domen i masa stron kierujących. Czytaj dalej »
- Data dodania:
- 18 2.10
- Kategorie:
- analizy, newsy
- Autor:
- Borys Łącki
Proste metody są jak zawsze najskuteczniejsze. Od wczoraj otrzymuję spam, który w treści wiadomości zawiera zwyczajowe parę zdań bez zbędnych HTML i cudów oraz bezpośrednio w treści wpisany link do pliku Flash, który umieszczany jest na jednym z popularniejszych serwisów umożliwiających darmowe przechowywanie plików graficznych, filmowych, flashowych czyli imageshack.us. Spamerzy umieszczają plik Flashowy, który robi wyłącznie tyle, że kieruje automatycznie przeglądarkę na stronę sprzedającą medykamenty najpopularniejszego sklepu aptekarskiego czyli Canadian Pharmacy. Niedługo spamerzy zaczną wykorzystywać takie technologie jak np. Opera Unite do hostowania swoich plików :]
Treść spamu:
Got troubles with receiving medicaments to your house?
Our web-store is ideal for helping you! Submit your order here and get your package to your apartment the same day.
We don’t care about prescription, but we care about confidentiality of shipping and transactions
Zdezasemblowany kod flasha z użyciem narzędzia flasm wygląda mniej więcej tak: Czytaj dalej »
- Data dodania:
- 16 2.10
- Kategorie:
- analizy, newsy
- Autor:
- Borys Łącki
Otrzymałem dziś kilka wiadomości mailowych, które z wyglądu wskazują na problemy wysyłających, być może jakiejś nowej ekipy spamerów. Trochę się w treści rozjechały nagłówki, nie do końca się zastąpiły losowe wyrazy, losowymi wyrazami (lub taki też był master plan) i całość średnio wygląda w moim ubogim programie pocztowym. Tak dokładnie wygląda treść:
Date: Tue, 16 Feb 2010 11:23:57 +0100 (CET)
From: minimaedg10@auh-b112364.alshamil.net.ae
To: undisclosed-recipients: ;
{nReceived}
From: “Elba Armstrong” <minimaedg10@auh-b112364.alshamil.net.ae>
To: <adres@email>
Subject: FWD:
Date: Tue, 16 Feb 2010 14:23:57 +0400
MIME-Version: 1.0
Content-Type: multipart/alternative;
boundary=”—-={_nSBoundary}”
X-Priority: 3
X-Mailer: {nXMailer}
Message-ID: <0235115491.78GRQQ9C533002@{nHOST}>
——={_nSBoundary}
Content-Type: text/plain;
charset=”windows-1250″
Content-Transfer-Encoding: quoted-printable
some random words here. some random words here. some random words here. some random words here. some random words here. some random words here. some random words here. some random words here. Czytaj dalej »
- Data dodania:
- 19 1.10
- Kategorie:
- analizy, statystyki
- Autor:
- Patryk Krawaczyński [NFsec.pl]
Firma zajmująca się bezpieczeństwem serwisów internetowych – Cenzic wydała raport dotyczący tendencji i liczb ataków na serwisy WWW w pierwszym jak i drugim kwartale 2009 roku. W wielkim skrócie przedstawia się on następująco:
Czytaj dalej »
- Data dodania:
- 12 1.10
- Kategorie:
- analizy, newsy, statystyki
- Autor:
- Borys Łącki
Organizacja SANS postanowiła opublikować dokument opisujący perypetie dotyczące ostatniego ataku DDoS wymierzonego w ich serwery stron WWW. Sam atak nie był rozległy, nie wykorzystywał miliona zarażonych komputerów, a jednak odniósł zamierzony skutek. Witryna przestała działać. Prawie 14 000 zapytań na minutę do serwera WWW umiejętnie, a wręcz skutecznie zabiło podstawową działalność. Kilka informacji z analizy może zawsze przydać się jeśli będziemy ofiarą podobnego ataku. Zainteresowanych odsyłam do linka na dole tekstu, a dla tych bardziej leniwych postaram się streścić co najciekawsze fragmenty.
- pierwszą oznaką niespodzianki był SMS informujący o problemach z serwerem WWW,
- usługa SSH odpowiadała ale bardzo, bardzo powoli,
- administratorzy będący na nocnej zmianie zalogowali się szybciej i odnotowali load na poziomie 700 wygenerowany głównie przez serwery WWW,
- szybka analiza (tail access.log) plików dziennika serwera WWW wykazała, że masowo jest wywoływany plik search.html, który odwoływał się do bazy danych,
- szybka zamiana pliku search.html na statyczną zawartość i drastyczne zmniejszenie obciążenia pokazały, że trop jest prawidłowy,
- taki sam UserAget z około 40 różnych adresów IP i blokada adresów na firewallu,
- kilka zapytań wciąż wykorzystywało protokół IP w wersji 6 (IPv6) więc ponownie blokada adresów na firewallu,
- przed zmasowanym atakiem, zostało nawiązane jedno połączenie z irańskiego adresu IP (Teheran),
- pierwsze zapytanie zawierało dane Cookie i miało inny User-Agent oraz Referrer,
- kolejne adresy IP wskazują na perskie adresy blogów,
- na dziesięć kontaktów technicznych, które mogły pomóc – odezwały się 4,
- atakujące systemy to Windowsy w wydaniu serwerowym od wersji 2000 do 2008,
- najpewniej atakujące skrypty .ASP zostały przesłane do wykradzionych kont FTP,
- warto było kontaktować się z osobami odpowiedzialnymi za adresy źródłowe, dostarczyli oni wielu cennych informacji oraz oczyścili swoje zarażone systemy.
Źródło: http://isc.sans.org/presentations/jan4ddos.pdf
Przybyło do mnie kilka maili o bardzo krótkich i treściwych tematach i zawartościach typu: Windows 7 Ultimate 64 bit = -$149.95, A lot of software for Windows and MAC OS in different languages! Microsoft Office 2004 for MAC, License software! Purchase program Microsoft after a half price, The Best Software! Free Software Downloads and Reviews. Wszystkie zawierają prostą stronę internetową, która zawiera odnośnik do stron, które natomiast kierują użytkownika z użyciem metody META HTTP-EQUIV=refresh do hxxp://digital-oembuy_ru. Różne witryny wykorzystane do przekierowań zostały raczej dodane w nielegalny sposób poprzez kradzież loginów i haseł od legalnych właścicieli tudzież wykorzystanie błędów w oprogramowaniu WWW. Trafił się też polski akcent gdyż jedna ze stron to http://gigantos.udp_pl/u.html. Zgłosiłem problem firmie obsługującej hosting i w krótkim czasie skontaktowali sie z klientem i usunęli problematyczną treść.
