- Data dodania:
- 17 2.10
- Kategorie:
- newsy
- Autor:
- Borys Łącki
Dziś jak gdyby nigdy nic w przeciągu godziny odnotowałem kilkanaście prób zaspamowania bothuntersów. Wszystkie próby zostały wychwycone przez system antyspamowy ale tak dużej akcji już dawno nie widziałem. Zazwyczaj są to dwa lub trzy komentarze, a tutaj w ciągu kilkudziesięciu minut tych prób było 13, a do tego każda z innego adresu IP. Niezła akcja. W treści spamerskiej zawarte były próby umieszczenia odnośników do nieistniejących stron. Zapewne po wysłaniu spamu, następny robot sprawdza czy na stronach lub gdzieś w okolicy pojawiły się odnośniki do spamowanych witryn. Jeśli tak – oznacza to, że blog jest podatny na spamowanie i można rozpocząć masową akcję wysyłania reklam. Różne adresy IP oraz różne wpisy bloga. Poniżej lista adresów IP, ich kraje źródłowe oraz godzina połączenia:
166.122.68.249 – US – 14:55
80.92.66.181 – LU – 14:51
78.152.106.43 – IT – 14:49
167.206.48.108 – 14:48
62.193.13.136 – IR – 14:44
200.105.231.18 – EC – 14:40
121.101.214.81 – CN – 14:27
87.252.2.29 – FR – 14:14
95.35.19.34 – IL – 14:11
85.115.54.180 – GB – 14:10
79.122.220.254 – RU – 14:10
217.6.171.194 – DE – 14:06
194.186.98.236 – RU – 13:53
Jak widać do wyboru, do koloru… A przykładowy spam wygląda tak:
iecVO5 kdquuhpclvzh, [url=http://ahbyhkzvolpx_com/]ahbyhkzvolpx[/url], [link=http://prsiaiwireeu_com/]prsiaiwireeu[/link], http://avwsnlpvneir_com/
- Data dodania:
- 16 2.10
- Kategorie:
- analizy, newsy
- Autor:
- Borys Łącki
Otrzymałem dziś kilka wiadomości mailowych, które z wyglądu wskazują na problemy wysyłających, być może jakiejś nowej ekipy spamerów. Trochę się w treści rozjechały nagłówki, nie do końca się zastąpiły losowe wyrazy, losowymi wyrazami (lub taki też był master plan) i całość średnio wygląda w moim ubogim programie pocztowym. Tak dokładnie wygląda treść:
Date: Tue, 16 Feb 2010 11:23:57 +0100 (CET)
From: minimaedg10@auh-b112364.alshamil.net.ae
To: undisclosed-recipients: ;
{nReceived}
From: “Elba Armstrong” <minimaedg10@auh-b112364.alshamil.net.ae>
To: <adres@email>
Subject: FWD:
Date: Tue, 16 Feb 2010 14:23:57 +0400
MIME-Version: 1.0
Content-Type: multipart/alternative;
boundary=”—-={_nSBoundary}”
X-Priority: 3
X-Mailer: {nXMailer}
Message-ID: <0235115491.78GRQQ9C533002@{nHOST}>
——={_nSBoundary}
Content-Type: text/plain;
charset=”windows-1250″
Content-Transfer-Encoding: quoted-printable
some random words here. some random words here. some random words here. some random words here. some random words here. some random words here. some random words here. some random words here. Czytaj dalej »
- Data dodania:
- 11 2.10
- Kategorie:
- newsy
- Autor:
- Borys Łącki
Czasami próbując odnaleźć jakąś darmową aplikację w sieci (np. OpenOffice) możemy trafić na stronę, która będzie oferowała za drobną opłatą (karta kredytowa, SMS) możliwość pobrania aplikacji, które tak na prawdę można pobrać za darmo. Z taką sytuacją spotkał się zajmujący się bezpieczeństwem Russ McRee, który natrafił na domenę messenger-download_info. Po krótkiej chwili i przyjrzeniu się działania aplikacji WWW, znalazł drobny błąd na stronie umożliwiający pobranie pliku znajdującego się na serwerze, do którego serwer WWW posiadał odpowiednie uprawnienia. W dużym skrócie – pobrał plik /etc/passwd, w którym co najciekawsze – znalazł listę pozostałych domen, które wykorzystywane są do naciągania użytkowników! Przydatna lista, zwłaszcza jeśli ktoś korzysta z mechanizmów blokujących złe domeny. W tym wypadku okazało się, że Ciemna strona nie zadbała o swoje bezpieczeństwo i stali się ofiarą strony przeciwnej. Jak widać niezależnie od miejsca w szeregu – o bezpieczeństwo należy dbać tak samo dobrze.
Tak wygląda część pliku /etc/passwd:
conv001:x:683:501::/var/www/html/Sites/www.converter-2010_com:/sbin/nologin
express013:x:684:501::/var/www/html/Sites/www.expressmailsite_com:/sbin/nologin
office006:x:685:501::/var/www/html/Sites/www.office-suite2010_net:/sbin/nologin
vers001:x:686:501::/var/www/html/Sites/www.2010-version_net:/sbin/nologin
down008:x:687:501::/var/www/html/Sites/www.2010-download_net:/sbin/nologin
- Data dodania:
- 06 2.10
- Kategorie:
- newsy
- Autor:
- Borys Łącki
Co jakiś czas pojawia się nowa fala spamu, w którym wykorzystywane są adresy internetowe popularnych serwisów społecznościowych. Dzięki takiemu rozwiązaniu, pierwszym linkiem, który widzi i klika użytkownik jest legalny adres serwisu, więc adres zazwyczaj nie zablokowany przez różnej maści systemy antywirusowe czy antyphishingowe. Kilka dni temu taka fala przelała się przez serwisy takie jak Facebook, Windows Live Spaces czy Friendster. Kampania reklamuje największą fabrykę specyfików aptekopodobnych czyli Canadian pharmacy. Jak komuś nie stoi, a ma stać to po zażyciu tabletek będzie stać godzinami. Jak ktoś ma małe ego to po zażyciu specyfików będzie miał duże ego. W przypadku na przykład serwisu Facebook możliwe jest przekierowanie użytkownika na inną stronę:
http://www.facebook.com/l/losowe_znaki_alfanumeryczne;link_do_spamu
np. http://www.facebook.com/l/12345;http://bothunters.pl
Facebook posiada na szczęście od niedawna funkcjonalność informującą, że zostajesz przekierowany na określoną stronę i czy na pewno chcesz to zrobić.
W przypadku serwisu Space.live.com wykorzystywany jest wyłącznie obrazek umieszczony na serwerach tego portalu społecznościowego. Każdy sposób jak widać jest dobry, byleby był skuteczny :]
Źródło: http://www.m86security.com/trace/traceitem.asp?article=1231
- Data dodania:
- 04 2.10
- Kategorie:
- newsy
- Autor:
- Borys Łącki
Ponad 300 serwisów internetowych zostało zaatakowanych z użyciem dużej sieci botnet. Atak polegał na masowym i zwielokrotnionym łączeniu się do usługi SSL (bezpieczne połączenie) z setek tysięcy adresów IP. Wszystko wskazuje, że botnet odpowiedzialny za ataki to rodzina Pushdo. Ekipa Shadowserver zajmująca się tropieniem sieci botnet zidentyfikowała 315 stron, które zostały zaatakowane. Ewidentnie takie testy wskazują, że ktoś chce sprawdzić ile może zdziałać i jak bardzo negatywnie całym botnetem może wpłynąć na działanie globalnych usług dostępnych z sieci internet. Istnieje jeszcze szansa choć nikła, że zarządzający siecią botnet piszą pracę magisterską na temat wydajności protokołu SSL i zbierają w ten sposób materiał do badań :] Jednakowoż tak rozległej próby ataku na port SSL jeszcze nie było.
Poniżej lista atakowanych witryn: Czytaj dalej »
- Data dodania:
- 03 2.10
- Kategorie:
- newsy
- Autor:
- Borys Łącki
Co prawda cała akcja miała miejsce już jakiś czas temu ale osobiście uważam, że takie delikatnie historyczne chwile należy uwieczniać gdzie tylko się da. Kilka miesięcy temu został odłączony od sieci dostawca ISP – Group Vertical znany z działalności powiązanej z cyberprzestępcami, a zwłaszcza z hostowania serwerów zarządzających trojanami ZeuS, które są znane profesjonalnego okradania swoich ofiar z danych uwierzytelniających do usług bankowych. W końcu nadrzędni dostawcy usług dla firmy Group Vertical mieli dość negatywnego PRu w związku z obsługiwaniem tej firmy i postanowili odciąć ich całkowicie od sieci. Jak możemy zaobserwować na statystykach serwisu monitorującego serwery trojana Zeus, bardzo szybko liczba serwerów zarządzających trojanami spadła o 42! To na prawdę piękne osiągnięcie! Ciekawy jestem co z tymi wszystkimi danymi zawierającymi poufne wykradzione dane, które znajdowały się na wyłączonych serwerach :] Czytaj dalej »
- Data dodania:
- 02 2.10
- Kategorie:
- newsy
- Autor:
- Borys Łącki
Dostawca usług internetowych takich jak serwery wirtualne, dostęp dialup, telefonia VoiP, dostęp szerokopasmowy, hosting, który reklamuje się jako firma z ponad 10 letnim wyśmienitym doświadczeniem w swoich dziedzinach dostał drobną liczbę pakietów weryfikującą ich możliwości. Firma Vispa zarzeka się, że każde połączenie telefoniczne do call center jest odbierane w czasie poniżej 60 sekund. Niestety kilka tygodni temu większość ich usług została zaatakowana poprzez rozproszony atak odmowy usługi (DDoS), który doprowadził do 12 godzinnej przerwy w działaniu usług firmy ISP dotykając zasięgiem 30 000 klientów. Co ciekawe po przywróceniu do normalnego działania większości usług – ostatnią usługą, która nie działała poprawnie – był właśnie system telefoniczny. Można domyślać się, że wykorzystywana technologia VoIP, dzięki zawartości w swojej nazwie literek “IP” oberwała podwójnie. Warto przy wdrażaniu tej technologii pamiętać także o zagrożeniach związanych choćby z łatwym atakiem odmowy usługi poprzez wyczerpanie zasobów sieciowych. Rzekomo źródeł ataku dopatruje się na Łotwie ale jak to zawsze z tego typu atakami bywa, rzeczywistość potrafi być mocno nieadekwatna do założeń.
Źródło: http://cyberinsecure.com/ddos-attack-hits-cheshire-based-isp-vispa-30000-customers-forced-offline
