Mardi 8 mars 2011 2 08 /03 /Mars /2011 01:47
- Publié dans : Veille sécurité

Nouvelle arnaque circulant par Facebook...

Une fois n'est pas coutume, le courriel étant francisé (et non pas en bon Français, petite nuance), je vais donc publier l'article en Français, pour la communauté francophone... principale "cible" donc du courriel.

Il me semble que l'on peut qualifier cet échantillon de version Facebook du scam 419, en français dans le texte...

Que les amoureux du français châtié ne m'en veuillent pas, je vais publier "en l'état" le message, et certains passages sont assez loufoques (vive les traducteurs automatiques ?) :

 

Walter FrankMarch 8, 2011 at 12:00pm
Objet : hi
Bonjour,


Je travaille pour la nostalgie et annonce Photo Shop, une sortie de l'échelle des petites entreprises sans site web. Nous recherchons des photos de modèles amateurs que nous ne pouvons pas les moyens de payer top modèles professionnels.

Mon client veut mettre à jour leur carte Recharge téléphone (Lebara Uk) avec des photos de bonnes personnes à la recherche.

Je suis tombé sur votre photo de profil qui s'inscrit dans le type exact de la statistique nécessaire pour les affiches qui est la principale raison pour laquelle je vous ai contacté.

Votre visage ne figurent sur la carte de téléphone Recharge.

La rémunération totale pour l'emploi est £ 15,000 ou son équivalent dans votre devise et vous avez droit à 20% de cet argent.

Photos de l'affiche sera envoyée à vous avant qu'il ne soit lancé en avril.

Si vous êtes intéressé par cette opportunité, s'il vous plaît envoyez-nous vos photos de profil, tourné près de votre visage (surtout le visage) et de l'image complète de vous-même directement à ma boîte de réception. Email: (frankwalter1112 @gmail.com)

Alors que mon client sera en mesure d'en choisir un adapté à la carte de téléphone. Une fois que mon client a choisi l'image qui il aime mieux alors la prochaine sera de traiter votre contrat et le paiement.

Encore une fois, vos photos ne seront pas victimes de violence et nous nous assurerons d'un contrat est signé avec vous et que vous êtes payé avant qu'il ne soit utilisé. Une fois que je reçois votre photo dans mon e-mail je vais vous répondre dans les 24 heures pour vous faire savoir ce que le client dit et quelle photo qu'il a choisi.

Je me réjouis de votre réponse.

Merci et bonne journée.

Cordialement,
Frank Walter.
--------------------------------------------
Mise à jour, après quelques recherches d'informations et des commentaires :
- Surtout : ne vous impliquez pas là dedans, vous risqueriez d'être accusé de complicité ou recel
- Si vous avez commencé avec eux, faites un dossier avec TOUT ce dont vous disposez, et allez voir la police ou contactez l’OCLCTIC avec les pièces. Ils sauront quoi faire à partir des éléments factuels que vous apporterez.
- dans l'éventualité où vous avez réellement affaire à une organisation malveillante, je ne vous recommande pas de jouer au plus malin : passer du mode virtuel au monde physique, pour les menaces ou représailles, n'est pas si compliqué... 
- une petite lecture complémentaire : http://www.arobase.org/arnaques/porter-plainte.htm

Par Philippe V.
Ecrire un commentaire - Voir les 8 commentaires
Vendredi 25 février 2011 5 25 /02 /Fév /2011 21:01
- Publié dans : Veille sécurité

Website auditing swissknife: default admin URL

For those who feel concerned with website/webapp security, I'm gonna post here a few hints to :

- find the technology behind a website/portal (based on the fingerprinting idea, within the URL itself)

- check that the default admin URL is still accessible (leading to the questions: accessible for everyone? with default password?...)


This comes from my own experience, and also from the work of the guys owning the Nikto project (BTW: great job for the tool!).

 

Obviously, you may complete that with a real (HTTP?) headers check: very often the website will tell you its version and even what's running on it!

 

Here is the list, first version, and to my knowledge, there is not equivalent list on the web:


/backend_dev.php
/admin
/admin/login.php
/admin/phpinfo.php
/admin/system.php3
/administrator
/administration
/.admin
/stats
/server-status
/phpinfo
/phpinfo.php
/phpmyadmin/
/manager/list
/cfide/administrator
/wp-login.php
/?q=admin
/cgi-bin/printenv
/.htaccess
/bin/fpadmin.htm
/iisadmin
/_vti_bin/fpadmin.htm
/webadmin.nsf
/admin-serv/config/admpw
/servlet/AdminServlet
/lists/admin
/server
/siteminder/smadmin.html
/forum/admin/wwforum.mdb
/hostadmin/?page=
/sips/sipssys/users/a/admin/user
/simplebbs/users/users.php
/SiteServer/Admin/knowledge/persmbr/vs.asp
/IDSWebApp/IDSjsp/Login.jsp
/signon

/wp-admin
/login_form
/phpmyldap

/misc/drupal.js



And to finish with, I have been told that a well know french website hoster uses this port for the admin interface: 10000...
(so the URL to test could be something like subdomain.domain.tld:10000 ....)

 

I'll do my best to update that bill (update 1, done).

 

Please note that I can't be held responsible if you use that piece of information without having the right to assess security level (I mean auditing a system/app).

 

 

Par Philippe V.
Ecrire un commentaire - Voir les 0 commentaires
Jeudi 24 février 2011 4 24 /02 /Fév /2011 00:26
- Publié dans : Veille virale

New spam (MSN email), with link pointing to malicious exefile

Just to say that I received a few hours ago a spam, like in the ancient time :), but not in French this time.

 

Here is the link that appears within the body of the email:

http://g1.globo.com/sao-paulo/noticia/2011/02/video-em-que-ex-escriva-de-policia-e-despida-em-delegacia-cai-na-internet.html-0.79795

 

but in fact, here is the real link:

http://videos .katebowman.com.au/images/youtube/videos/abuso/22/2/2011/video-ex-escriva-de-policia-e-despida-em-delegacia-cai-na-internet.php?0.79795 

Caution! This one is  malicious!

 

Indeed it will automatically redirect the user to:

http://89. 149.226.195/css/video-ex-escriva-de-policia-e-despida-em-delegacia-cai-na-internet-AVI.exe

 

About the "subject" of the link, that should be interesting for an user? it is about a police clerk, "naked", makes me remind the "sextape" of a few stars... here is a translation of it:

http://g1.globo.com/sao-paulo/noticia/2011/02/video-em-que-ex-escriva-de-policia-e-despida-em-delegacia-cai-na-internet.html

"Police" and "naked", probably two words that could invite a person to click on the link... 

 

What about the IP hosting the malware, while accessed through the browsers?

- Opera 11: no warning

- Safari 5.0.3: no warning

- Firefox 3.6.13: no warning 

- IE 9: no warning...!

 

Okay, that's not really a good start. Browsers embedded security could certainly be more efficient....

Let's see what VT says about the sample: 9 engines out of 43 do detect it... I've seen better detection.

BTW, Nod32 full version (and up to date) does detect it as a variant of Banload.PMI... but Clam In the Cloud does not detect anything, and that surprises me a lil bit.

 

The sample is being run on ThreatExpert sandbox. I just received the results, they look interesting!

http://www.threatexpert.com/report.aspx?md5=8d20e04ba3e66b85fc54860794332ed6

 

I'll talk about them more in details pretty soon. 

 

 

Par Philippe V.
Ecrire un commentaire - Voir les 0 commentaires
Samedi 12 février 2011 6 12 /02 /Fév /2011 05:58
- Publié dans : Veille sécurité

Google Chrome, new silent and automatic update v9.0.597.84

Once again, Chrome jumped to a new version. It is now at 9.0.597.84.

 

But what I find interesting to point out is that:

- the new version detection is silently done, without any user agreement nor notice

- the download of the new version is also being silently and automatically done 

In short, the next time you restart Chrome, the new version is there. And whereas Chrome is a quite recent browser, it has already had 9 versions... (remember: IE 9 is still a beta version, Firefox 4 too, Safari still a v5... and yes Opera v10)

 

The thing is, if you use G Chrome as a lightweight client, this kindda "forced update" may lead to compliance issues, for instance application not being tested/validated with the new Chrome version before it is being deployed.

 

Furthermore, there are only a few details about this update, except: 

http://googlechromereleases.blogspot.com/2011/02/stable-channel-update.html  

But who owns this blog? is it really an official "G Chrome" web blog? sorry, I don't find any proof of authenticity.

 

There is also http://www.google.com/support/forum/p/Chrome/thread?tid=4125a7f102c8ae9e&hl=en , but this is a forum, not an official portal...

 

In a nutshell, Chrome updates itself without (almost) any notification... therefore it is a software that a company does not manage completely, thus I do not recommend to use Chrome as a default web browser for production applications... (unless the firm has got real efficient proxies with filtering layer and reports...).

 

I hope this helps.

Par Philippe V.
Ecrire un commentaire - Voir les 0 commentaires
Vendredi 21 janvier 2011 5 21 /01 /Jan /2011 22:22
- Publié dans : Bidouille informatique

FreeBox 6... et la sécurité ?

L'innovation technologique, c'est bien, mais quid de la sécurité de la Freebox v6 ?

 

Commençons par un petit scan Nmap. Voici les options de scan :

nmap -p 1-65535 -T4 -A -v -PE -PS22,25,80 -PA21,23,80,3389 192.168.1.254

 

 

Résultats nmap :

PORT      STATE  SERVICE     VERSION

21/tcp    open   ftp         Freebox ftpd

80/tcp    open   http        nginx

| html-title: Accueil Freebox Server

|_Requested resource was http://192.168.1.254/login.php   closed netbios-ns

137/tcp

138/tcp   closed netbios-dgm

139/tcp   open   netbios-ssn Samba smbd 3.X (workgroup: WORKGROUP)

445/tcp   open   netbios-ssn Samba smbd 3.X (workgroup: WORKGROUP)

554/tcp   open   rtsp        Freebox rtspd 1.2

5678/tcp  open   unknown

6600/tcp  closed unknown

8090/tcp  open   http        nginx

| html-title: Probl\xC3\xA8me de connexion Internet

|_Requested resource was http://192.168.1.254:8090/freebox_conn_problem.html  open   http        nginx

8091/tcp

| html-title: Contr\xC3\xB4le parental actif

|_Requested resource was http://192.168.1.254:8091/freebox_access_filtered.html  open   tcpwrapped

8095/tcp

54242/tcp open   unknown

 

Device type: general purpose

Running: Linux 2.6.X

OS details: Linux 2.6.19 - 2.6.31

 

 

Host script results:

| nbstat: 

|   NetBIOS name: FREEBOX, NetBIOS user: <unknown>, NetBIOS MAC: <unknown>

|   Names

|     FREEBOX<00>          Flags: <unique><active>

|     FREEBOX<03>          Flags: <unique><active>

|     FREEBOX<20>          Flags: <unique><active>

|     \x01\x02__MSBROWSE__\x02<01>  Flags: <group><active>

|     WORKGROUP<1d>        Flags: <unique><active>

|     WORKGROUP<1e>        Flags: <group><active>

|_    WORKGROUP<00>        Flags: <group><active>

| smb-os-discovery: 

|   OS: Unix (Samba 3.0.37)

|   Name: WORKGROUP\Unknown

|_  System time: 2011-01-21 22:10:26 UTC+1

|_smbv2-enabled: Server doesn't support SMBv2 protocol

 

 

 

Certains ports sont donc ouverts vers l'interne, plus que nécessaire pour de l'accès FTP/SMB...

 

On notera aussi que SAMBA ne semble pas à jour, ni le noyau d'ailleurs.

 

Et qu'en dit Nessus ?

       scan_sessus_img1-copie-7.JPG

 

 scan_sessus_img2-copie-1.JPG

Que la Freebox offre des partages réseau sans aucun contrôle d'accès n'est pas choquant outre mesure, pour le LAN de Monsieur et Madame Toulemonde... mais bon, les options de sécurité pourraient être un peu plus accessibles...

 

 scan_sessus_img3_modif.jpg

      Comme on peut le voir, le fichier /etc/passwd a pu être accédé via exploitation de la faille CVE-2010-0926 !

 

Mise à jour du 12/02/2011 :

je viens de voir que certains avaient remonté l'information à Free : 

http://bugs.freeplayer.org/task/4684

Merci ! je ne pensais même pas que cela leur parviendrait aussi vite, avec en plus prise en compte...

 

Par Philippe V.
Ecrire un commentaire - Voir les 0 commentaires
Mercredi 12 janvier 2011 3 12 /01 /Jan /2011 00:24
- Publié dans : Bidouille informatique

Nouvelle Freebox v6, "plug and play", sans problème ? pas si sûr...

Seuls les imbéciles ne changent pas d'avis... Je vais relater ici mon expérience personnelle avec la dernière Freebox en date, la V6 Revolution.

 

Tout d'abord, je me dois de préciser que dans une autre vie, j'étais réparateur et que donc des Box en rade, j'en ai réparé quelques unes... A cette époque, Free n'avait pas forcément bonne réputation (entre le service clientèle, les délais de livraison, et les dysfonctionnements techniques...).

 

Malgré tout, j'ai décidé de sauter le pas. L'appel au service client est une bonne surprise, avec un Bordelais sympa et compétent au bout de la ligne.

Bien que l'on m'ait annoncé une livraison dans une fourchette sur 2 jours, de 8h à 19h (c'est plus une fourchette, c'est un rateau, comme diraient certains) j'ai réussi à récupérer le [gros] carton.


Je déballe donc les cartons qu'il contient, car oui, il y en a 3. Clairement Free a fait des progrès sur l'agencement et la présentation.

 

Je mets en place la nouvelle installation. Et là, surprise....

- Aucun des 4 ports RJ45 de la Box ne semble marcher (aucun voyant allumé), que j'y branche mon portable et/ou le Player. Donc, le player ne se synchronise pas et l'affichage à la TV me dit gentiment d'attendre pendant la synchro avec le "Server Freebox"...

   

- la Box reste coincée en étape 5, lors de la tentative de connexion. Ce n'est pas le fameux chenillard interminable, mais c'est pas loin avec le graphique en cercle qui tourne.

 

- l'utilisation des Freeplugs pour la connexion réseau, ou du câble RJ45 classique, entre la Box et le Player, ne change rien.

 

- malgré 3 redémarrages de la Box (et du Player), rien n'y fait.

 

Evidemment le filtre ADSL est en place... comme pour l'ancienne Box. Au démarrage de la Box, on voit bien l'allumage des voyants sur les différents ports RJ45, ils sont donc en état de marche... mais une fois la Box démarrée, les ports RJ45 semblent aussi inertes que leurs témoins lumineux.

 

    

 

Bilan, plus d'accès Internet, ni TV (ni téléphone, probablement). La fonction commutateur (Switch) de la Box semble en rade, ce qui pourrait ménaliser bon nombre de petits réseaux LAN domestiques...

L'installation automatisée échoue. La connexion échoue (sans indiquer pourquoi, si ce n'est "attente PPP")... et le lecteur multimédia /TV n'est évidemment pas opérationnel.


C'est un bon début... qui me rappelle malheureusement quelques souvenirs.

 


 

 

Par Philippe V.
Ecrire un commentaire - Voir les 0 commentaires
Dimanche 9 janvier 2011 7 09 /01 /Jan /2011 23:30
- Publié dans : Veille sécurité

Clam in the Cloud, false positives - part 1

The Clam version I'm gonna talk about is there: http://www.clamav.net/about/win32/  So it's about the famous new technology "in the cloud".

It runs on Win 7 fully patched, and also on WXP SP3 with all security patches.

 

Since it's not the first false positive I notice while using Clam ITC, I'm gonna report here a few examples I find interesting.

 

Filezilla :

First I had an issue while trying to download Filezilla client.

I was there: http://filezilla-project.org/download.php?type=client

then I went to: http://sourceforge.net/projects/filezilla/files/FileZilla_Client/3.3.5.1/FileZilla_3.3.5.1_win32-setup.exe/download 

At the beginning of the download Clam ITC prompted a warning telling me that a W32.corrupt had been detected and deleted.

FP_filezilla_W32.corrupt_090111-copie-2.jpg

 

But if I refresh the page, the download will then start without any alert...

To a lambda user, this could be annoying / worrying. But what I try to understand is why this happens only from time to time, and not always, with the same link... is there any problem with Clam ITC signatures spreading or generating? 

 

Liberkey - HDspeed :

 

While trying to update my local Liberky install, Clam did prompt an alert about several detections... 

FP1_HDspeed_unkpacker_090111.jpg

FP2_HDspeed_w32.trojan_090111.jpg

Why the French version of HDSpeed should be detected as a quite different threat from the standard (international) version?

 

FP_smsniff_W32.Rozena_090111.jpg

This one, I don't really know if Clam is right or not. I'll find out and update my post.

 

Par Philippe V.
Ecrire un commentaire - Voir les 0 commentaires
Dimanche 12 décembre 2010 7 12 /12 /Déc /2010 21:20
- Publié dans : Bidouille informatique

How to open/handle .TPA files...?

To my knowledge, this will be the pnly (or almost) guide about that particular file type: .tpa.

 

You may find them on recovery CD/DVDs. You may want to restore the image, but sometimes the automated script will fail (as it happened to me).

 

Without doing any reverse engineering, that could be illegal, I will explain the needed command lines to restore those TPA files.

 

First, contrary to what some of you may believe, you don't need Ghost, I mean the whole application. The reason is quite simple: the batch files you may find on the backup CD/DVD only refer to Ghostwin or Ghost32.exe (when creating the image, in a TPA file)...  But these Ghost files seem to be absent on the backup CD/DVD you have.

 

Here is the trick, in fact you don't need them!

 

 Browse the folders around the TPA files, you'll find a "recounpack.exe" one, which is only what you need.

 

Here is the command line that works:

recounpack.exe %file%.tpa f: 

Where   %file%  is the filename of the fine which extension is ".tpa", and F: the letter of the drive where the whole image will be restored.


Et voilà :) 

 

NB : please be careful as this operation will destroy all data on the destination drive you set up.

 

Par Philippe V.
Ecrire un commentaire - Voir les 0 commentaires
Samedi 20 novembre 2010 6 20 /11 /Nov /2010 13:30
- Publié dans : Veille virale

Warning: ClamWin + MS SQL Server 2000

Hi all,

 

just to say: be very carefull with CamWin running on a Windows Server 2003 (well, yeah that can happen...).

You have not only to specify exclusions for the databases themselves, BUT also for the SQL Server binaries!

If not, the last updates (for instance last week) of Clam will put into quarantine almost any sqlservr.exe!

And the thing is, you may face problems to restore all the files at the right place... (taking into account that there may be different versions, and Clam does not always tell where the quarantined files come from...)

Par Philippe V.
Ecrire un commentaire - Voir les 0 commentaires
Jeudi 18 novembre 2010 4 18 /11 /Nov /2010 23:08
- Publié dans : Veille virale

Update your AV... not to detect harmless files...

At the time AV vendors tend to complain about theiir difficulties to maintain a base of malicious software definition (20 millions in 2009, according to Kaspersky?), some people may remember old ideas of creating a "whitelist" of harmless / well known / trusted applications.

 

I would not start a troll by saying that the whitelist of electronically signed files, not being scanned by AV engines (that not being very well documented... anyway), could lead to problem worse than W32.Stuxnet...

 

However, AV vendors now actively work on whitelisting applications. Recently, for instance, Comodo Sofware got in contact with the Pidgin developers team, and asked them to whitelist their software (which was accepted), even providing FTP if needed.

 

They aim to alert each time an "unknown" software is to be run, so they whitelist "known" softwares.

 

Therefore, AV updates are not only getting more and more important to protect computers against malicious software, but to also avoid blocking harmless software (at least, a warning with context isolation untill the user validates or denies it...).

 

To be known fot the next future... 

 

 

Par Philippe V.
Ecrire un commentaire - Voir les 0 commentaires

 

Présentation

 

Articles récents

Liste complète

 

Recherche

 

Pages

 

Syndication

  • Flux RSS des articles

 

Catégories

 

Créer un Blog

Créez votre blog gratuit

 

Créer un blog gratuit sur over-blog.com - Contact - C.G.U. - Rémunération en droits d'auteur - Signaler un abus - Articles les plus commentés