Overblog
Suivre ce blog Administration + Créer mon blog
6 novembre 2011 7 06 /11 /novembre /2011 21:12

 

Autre équipe Turque, autres motivations, autre victime...?

 

 

capture_page-accueil_annon.JPG

 

A première vue, rien à voir avec une publication satyrique sur une icône religieuse (cf. cas Charlie Hebdo : http://www.itespresso.fr/piratage-la-galere-de-charlie-hebdo-sur-internet-47804.html )...

 

Pourtant, avec :

- un Apache 2.2.14 (Unix) au lieu de 2.2.21  (cf. http://httpd.apache.org/security/vulnerabilities_22.html)

- un PHP 5.2.5 au lieu de 5.3.5, moins les rétro-ports (cf. www.php.net)

- un Joomla obsolète (generator content=Joomla! 1.5), au mot de passe faible pour le compte admin...  

tout était réuni pour permettre une intrusion (avec défacement) très facile.

 

Mais avec en outre plus de 200 sites hébergés sur le même serveur, le pauvre webmestre de celui-ci ne peut pas faire grand chose à lui tout seul, et  en aucun cas mettre à jour Apache/PHP/Joomla...! D'ailleurs, il n'a même pas d'accès SSH !

 

Puis-je recommander aux gens de Amen, de faire une petite passe de sécurisation sur leurs serveurs?

 

PS : on notera que des ressources extérieures au site sont appelées (par la page de défacement) :

- http://adkgaming.com/herzamankigibi.mp3   (pour le son)

-  http://www.deviantart.com/download/87945411/Turk_Bayragi___Wallpaper_by_LephistoDesign.jpg   (pour l'image)

Partager cet article

Repost0
1 novembre 2011 2 01 /11 /novembre /2011 21:27

I just found out that one of my NIPS' reports seems pretty clear regarding the daily top alerts:

alert_NIPS_65.98.36.50.JPG

 

For those who forgot to secure a lil bit their (open)SSH server, time's running...

What about that IP address 65.98.36.50? Well, it is the reverse DNS pointer of http://argi9cure.com/.

Just have a look at it: CentOS default webpage! :( And above all, Apache 2.2.3, most likely obsolete.

 

Quite interesting, what (McAfee) TrustedSource says about it:

 

trustedsource.org_65.98.36.50.JPG

 

So, not only massive SSH sessions attempts are being launched from that server, but its mail volume (as a sender) has drastically changed, and got 500% bigger!

Another compromised server being used to stealthily spam, uh?

Furthermore, this IP address has also been reported in the DShield's stats: 

http://www.dshield.org/ipinfo.html?ip=65.98.36.50&update=yes

This once again shows the relevance of IP's reputation based filtering.

 

Partager cet article

Repost0
30 octobre 2011 7 30 /10 /octobre /2011 22:52

En navigant sur le web, j'ai eu la surprise de voir KAV 2011 alerter lors de l'accès à un site (trojanedbinaries.com). Voici le message complet :

alerte_trojanedbinaries.com_rss_301011.JPG

Analysons donc le sens du message, via le nom de la détection :

- HEUR pour Heuristique, certainement. 

- Exploit, comme son nom l'indique ?

- Script.Generic, pour une détection de script ?

 

J'ai bien peur que KAV fasse erreur : une soumission de l'URL à VT donne des résultats plutôt rassurants 

http://www.virustotal.com/url-scan/report.html?id=b222631fa7d0b88d67c630272c3c9690-1320007826

URL Analysis tool Result
Avira Clean site
BitDefender Clean site
Dr.Web Error
G-Data Clean site
Malc0de Database Clean site
MalwareDomainList Clean site
Opera Clean site
ParetoLogic Clean site
Phishtank Clean site
TrendMicro Unrated site
Websense ThreatSeeker Unrated site
Wepawet Unrated site
Normalized URL: http://trojanedbinaries.com/blog/?feed=rss2//trojanedbinaries
URL MD5: b222631fa7d0b88d67c630272c3c9690

 

Bref, si simplement le nom du fichier suffit à KAV pour le bloquer, le risque faux-positif me semble réel.

Solution : ne pas "supprimer" directement les objets détectés, mais toujours les mettre en quarantaine pour inspection à posteriori !

Partager cet article

Repost0
20 octobre 2011 4 20 /10 /octobre /2011 00:24

Si certains pensaient (comme moi) pouvoir utiliser la Freebox v6 comme espace de sauvegarde réseau, je leur recommande de lire ce qui va suivre.

Le contexte est :

- des postes, notamment Whistler (XP) et Vienna (Win7)

- une solution de sauvegarde automatisée (Cobian Backup), programmée de nuit.

 

J'ai constaté que le journal d'erreur de Cobian Backup était régulièrement bien plus rempli que prévu.

Exemple :

ERR  2011-10-02 06:20 Erreur rencontrée pendant la vérification de "\\freebox\Disque dur\SVG\[couic]\images\perso\[couic\SL371848.JPG.7z": Le nom réseau spécifié n’est plus disponible

Le fichier (texte) de journal pouvait alors faire 1 Mo en taille !

Et surtout, voici le type de messages qui apparaissait sur le bureau Windows, après une tentative de sauvegarde de nuit :

err_acces_freebox.jpg

L'accès à la ressource réseau de la Freebox, via SMB, a donc échoué à de nombreuses reprises, ce qui a généré de nombreuses erreurs pour l'outil de sauvegarde.

Ceci se reproduisant plusieurs fois, j'ai donc voulu surveiller l'état de la Freebox, en mon absence. 

Pour cela, j'utilise l'outil IPHost Network Monitor, et je posterai bientôt quelques stats. A première vue, il semble que quasiment toutes les nuits, la Freebox coupe ses services réseau (type SMB, voire même HTTP) sans prévenir, et sans pour autant redémarrer...

En l'état, je conseille vivement à ceux qui considèrent le disque embarqué dans la Freebox v6 comme un espace de stockage réseau (NAS), de faire attention à ces problèmes de coupure intempestives qui peuvent mener à de la corruption de fichier et de sauvegarde ! le comble...

 

Mise à jour 1 :

Voici donc quelques stats, pour la nuit du 21 au 22/10 :

DNS :

Fbox_DNS_211011-copie-1.JPG

 

On voit donc clairement des coupures ! 4% du temps quasiment.


Accès à un fichier par SMB :

Fbox_fichier_211011.JPG

 

Là par contre, pas de coupure... la résolution de nom freebox vers IP, ainsi que le partage de fichier SaMBa n'ont visiblement pas connu de coupure.

Partager cet article

Repost0
14 octobre 2011 5 14 /10 /octobre /2011 01:15

 

L'échantillon parle de lui-même :

 

email.JPG

 

L'utilisation d'un compte GMail, comme point de contact pour une promo "Orange", semble loufoque. Au pire, un Wanadoo aurait déjà pu semer le trouble pour les "nouveaux internautes"...

 

Et le comble, c'est que le message est émis depuis la (fausse) adresse : contact@free.fr ! Là, on mélange carrément tout !

 

Inutile de dire que je ne recommande ni de leur écrire, ni de leur envoyer un SMS...

 

---------------------------------------------------------------------------

Concernant le numéro de téléphone 81168, il est présent sur d'autres sites, pas forcément très clairs/recommandables, comme :

http://www.hacker-msn.org/hacker-msn/ 

http://www.hack-paradize.net/products/sms.aspx

http://hacker-dofus.net/generer-des-kamas.html

toujours avec le même mot-clef "STAR"... 

 

----------------------------------------------------------------------------

Concernant le serveur émetteur du courriel : 91.122.206.1, il est signalé par 21 listes noires Internet au 14/10 !

Cf : http://ip-blacklist.e-dns.org/91.122.206.1

 Warning! This IP is listed in 21 DNS blacklists.

LISTED 30ms 510 Software Group Blackholes
LISTED 31ms APEWS Level 2
LISTED 30ms Barracuda Reputation Block List
LISTED 30ms Barracuda Reputation Block List (for SpamAssassin)
LISTED 30ms CBL
LISTED 94ms D. D. N. S. B. L.
LISTED 38ms nsZones.com Dyn
LISTED 38ms nsZones.com SBL+Dyn
LISTED 134ms no-more-funn
LISTED 30ms SORBS Aggregate zone (problems)
LISTED 30ms SORBS Spamhost (any time)
LISTED 30ms SORBS Spamhost (last year)
LISTED 70ms SpamCop Blocking List
LISTED 30ms SpamRATS! all
LISTED 57ms Spamhaus ZEN Combined Block List
LISTED 76ms SpamRATS! Dyna
LISTED 106ms Spamhaus XBL Exploits Block List
LISTED 151ms Spamhaus SBL-XBL Combined Block List
LISTED 30ms GBUdb Truncate
LISTED 30ms UCEPROTECT Level 2
LISTED 30ms UCEPROTECT Level 3

Partager cet article

Repost0
5 octobre 2011 3 05 /10 /octobre /2011 23:57

I wanted to benchmark a little bit the level of protection that Trusteer offers for real. Trusteer is said to be a leader in Internet content security filtering. See (in French): http://lesbanquesenligne.fr/articles-banques-en-ligne/boursorama-lutte-contre-la-fraude-bancaire-avec-%C2%ABtrusteer%C2%BB/

So I looked for URL phishing reports. I knew a few dedicated portals, such as Phishtank, Netcraft... I decided to try this time Clean-MX.dehttp://support.clean-mx.de/clean-mx/phishing.php

One of the first links in the list is marked as targeting eBay. Alright, eBay is in the list of "trusted websites being watched by Trusteer".

Here is the Phishtank's report of the phish I picked up: 

http://www.phishtank.com/phish_detail.php?phish_id=1288180

The problem is that Trusteer did not alert me while accessing the malicious website, whereas Internet Explorer did prompt an alert (and the address bar remained red, good point).

test1_phish_ebay_061011.JPG

So, a well known phishing, publicly reported, targeting a "Trusteer's trusted website" would not be blocked nor at least trigger a warning by Trusteer... I find it a pity.

Partager cet article

Repost0
2 octobre 2011 7 02 /10 /octobre /2011 21:35

Je milite depuis pas mal de temps déjà pour que les sites de banque (au moins) engagent des actions afin de vérifier la sécurité des postes de leurs clients qui s'y connectent.

En effet, il est peu utile de "blinder" un serveur Web si le poste client qui s'y connecte est compromis (porte dérobée, enregistreur de frappes au clavier, code viral détournant les fonctions réseau, etc).

J'ai donc été doublement intéressé par l'initiative de banques comme Boursorama qui proposent un utilitaire pour "durcir" le navigateur : Trusteer.

Mais peu après avoir installé l'engin, voici le premier rapport qu'il me sort :

rapport1_trusteer_021011.JPG

"activation.trusteer.com" aurait un certificat invalide...

Que dois-je faire ? désinstaller le produit ? 
La suite, bientôt... 

 

============== Executive summary ==============

 

After having installed Trusteer, its first report told me that activation.trusteer.com had an invalid certificate...

Quite surprising, isn't it?


Partager cet article

Repost0
17 septembre 2011 6 17 /09 /septembre /2011 21:44

Suivant régulièrement les évolutions des suites bureautiques "volatiles", leur système de mise à jour centralisé et realtivement réactif reste à mon avis une référence.

Cependant, ce soir, un message surprise est apparu pour la Liberkey :

 

alert_certif_liverbey.com_170911.jpg

 

Un certificat expiré en 2001 ? étrange.

L'avis d'Opéra sur le sujet est assez éloquent :

(1) Le nom du serveur "www.liberkey.com" ne correspond pas au nom du certificat "www.snakeoil.dom". Quelqu'un est peut être en train de vous espionner.

(2) Le certificat pour "www.snakeoil.dom" est signé par une autorité de certification inconnue "Snake Oil CA". Impossible de vérifier que ce certificat est valide

(3) Ce certificat pour "www.snakeoil.dom" a expiré 20/10/2001 19:21:00 GMT. Le webmaster devrait le mettre à jour 

Entre temps, est-ce que le système de mise à jour automatique de Liberkey a pu être détourné pour télécharger une charge virale ? tout est envisageable...


Partager cet article

Repost0
17 septembre 2011 6 17 /09 /septembre /2011 00:23
To those who believe russian web tends to be safer, please first read Kaspersky's threat report Q2 2011.

Then, have a look at the following.
 
Here is the mail I received (14th of September):
mail_gyuntere.ru_170911.jpg
The contact who sent this email is most likely to have a compromised computer.
 
The URL to be spread is:
It is not even hidden (like displaying a different URL between source code and HTML rendered).
 
As you can see, it is a Wordpress powered websit (the "wp-content" part within the URL).
 
But the funny thing is the message being displayed on this webpage:
 
You are here because one of your friends have invited you
to try our free trial.
Hurry up! Limited quantity available!
We try to be helpful for you.
Page loading, please wait....
 
 
Then there is an automatic redirection in the source code. The most simple way:
meta http-equiv="refresh" content="4; url=http://gyuntere.ru"
 
 
Now, what Netcraft says about this website?
netcraft_url_170911.jpg
Hosted in Romania, while the ccTLD is Russia (.ru).

And last, the "real" webpage, which content is likely to be related to "male enhancement"... hum.
 
site_170911.jpg
 
Netcraft's riskrating bar is red, but no warning while accessing the website.
And yes, Nginx is also being used to render "spam related" websites...

============================
Update 1:

More about the "bouncing" server:
It seems that the whole folder 
http:///www.margotta.info/wp-content/uploads/developer_tools/EnableCustomHeaderThemeOption/
has been compromised, since there are a lot of files with kindda random names, and most of them contain a message like:
"You are here because one of your friends have invited you."

bounce_srv_files_170911.jpg

But what I find the most interesting is that almost each of those files seems to contain a different redirection URL!

A few examples:
- http:///www.margotta.info/wp-content/uploads/developer_tools/EnableCustomHeaderThemeOption/1111.htm
- > http:///caretabgalaxy.com/

- http:///www.margotta.info/wp-content/uploads/developer_tools/EnableCustomHeaderThemeOption/domvkf.htm
-> http:///wikimedicare.com/

- http:///www.margotta.info/wp-content/uploads/developer_tools/EnableCustomHeaderThemeOption/dttnba.htm
- > http:///gyuntere.ru/

- http:///www.margotta.info/wp-content/uploads/developer_tools/EnableCustomHeaderThemeOption/mmarfd.htm
- >  http:///ommatorepillstablets.net/ 

And BTW, the same scenario seems to happen to another website:
http:///dev.studiolumierefilms.com/wp-content/plugins/extended-comment-options/        

Thus we have: 
- http:///dev.studiolumierefilms.com/wp-content/plugins/extended-comment-options/crsrtfh.htm  
- >  http:///carepillhealth.com/

- http:///dev.studiolumierefilms.com/wp-content/plugins/extended-comment-options/1111.htm
- > http:///caretabgalaxy.com/

- http:///dev.studiolumierefilms.com/wp-content/plugins/extended-comment-options/aaa.htm
- > http:///counterpunchdietmeds.com/

It looks like a real global spam campaign, taking advantage of compromised websites running Wordpress, to lure antispam/URL filters and spread over the Internet...

Partager cet article

Repost0
7 septembre 2011 3 07 /09 /septembre /2011 22:08

As some people and I said earlier, a few Firefox extensions could be really useful regarding the Diginotar situation.

 

Here is what says Certificate Patrol after a few weeks of sleep (meaning not being used; until tonight):

 

Gmail_https_cert-patrol_070911.jpg

 

There is a clear warning about the fact that the renewal wasn't due yet...

 

But, even worse, as you can see, the Calomel extension turns now to orange! here is what it says:

 

gmail_calomel_070911.jpg

 

A weak symetric cypher, a weak hash, and a weak key length... well the certificate is said to be genuine this time, whereas it is most likely to be less secure that the former one?

Remember: the Calomel light used to be green about GMail...!

 

How could this be logical? I cannot assure the connection to GMail is more secure than during the DigiNotar operation!

 

 

Update 1 (8th of September):

 

Google API also running after a new certificate....

googleapis_cert-patrol_080911.jpg

 

Also encrypted.google.com, the one you use when you ask for "Google secured search engine":

encrypted-google_Cert-patrol_080911-copie-1.jpg

 

As you can see, Equifax provided the former certificate, but also the new one. This probably means Google doesn't want to take any risk, and changes every certificate; even if the Equifax' AC was not said to be compromised AFAIK.

BTW, keep in mind that the equifax.com domain was in the list of certificate-compromised websites.

See: https://isc.sans.edu/diary.html?storyid=11500&rss

 

And a last one: Google Analytics:

analytics_cert-patrol_080911.jpg

So Google apparently changes certificates even coming from its own AC... (Google Internet Authority).

 


 

==================================================

 

What about Facebook? well, just have a look at the warning below, still coming from Cert Patrol:

 

facebook_certificatge-patrol_080911.jpg

 

Bye VeriSign!

Partager cet article

Repost0