Category Archives: Security

*SPAM* Frohes neues Jahr

Posted on by

Willkommen im Jahr 2016!

Wie wir auf dem 32C3 lernen konnten, wird erstmal alles schlimmer werden. Das fängt schon damit an, daß die „Frohes neues Jahr“-Wünsche per Email Hackversuche sein können. So eine Email ist uns heute morgen ins Netz gegangen:

Date: Fri, 01 Jan 2016 05:17:24 +0100
From: "Laura" <email@frohesneuesjahr2.xyz>
Reply-To: email@frohesneuesjahr2.xyz
Content-Type: text/html; charset="UTF-8"
Content-Transfer-Encoding: quoted-printable
Subject:  Frohes neues Jahr ! :-)

Hallo

Frohes neues Jahr ! :-)

Grüße 
Vanessa L. 

Die URL sieh mehr als komisch aus. Da sie dynamische Parameter hat, ist es vermutlich ein Programm zum …

  • Verifizieren der Emailadresse
  • Analysieren der Browserheader
  • Teil eines Exploitkits

Wie immer: Nicht ansehen, gleich in die digitale Tonne hauen !

Frohes neues Jahr!

Kleines Update: Stand 10:02 Uhr Natürlich habe ich mir die URL angesehen und das Script scheint im Suff programmiert worden zu sein 😉 Der URL Parameter „image“ gibt vor, daß es ein „.jpg“ sein soll, aber zurück kommt ein GIF 🙂 Allerdings ohne Schadcode. Es handelt sich also nur um ein Verifikator Script.

Vor Joomla wird gewarnt

Posted on by

In den letzten 2 Wochen sind vermehrt schwere Sicherheitslücken im Joomla aufgetaucht, die von 1.5 bis 3.4.8 enthalten waren.

Heute kam die nächste SQL-Injection Lücke, etwas, so finde ich, daß 100% vermeidbar ist, wenn auch nur grundlegende Sicherheitsvorkehrungen getroffen hat.

Da Joomla schon einmal so derbe Lücken hatte, so daß bei Hostern reihenweise Installationen pro Woche umgefallen sind, sollte man wohl auch zukünftig vorsichtiger mit Joomla sein.

Sicherheitslücken und Fehler treten immer mal wieder auf, niemand macht das 100% im ersten Versuch, aber es sollte kein zweites mal vorkommen und das ist bei Joomla wohl der Fall.

der neue Javascript Virus nervt

Vorgestern, als der erste Javascript Virus bei mir aufgeschlagen ist, fand ich ihn ja noch interessant, heute und gefühlt hunderte Deppenversuche später meinen Rechner zu infizieren, nervt das Teil nur noch.

So richtig ausgebufft ist das Javascript nicht, viel Obfuscation zur Ablenkung von Antivirentools,
aber sonst eher 0815. An die Deppen, die das Absenden :

Ihr wurdet schon beim ersten Versuch als SPAM und VIRUS klassifiziert ! Jeder weitere Versuch ist kompletter Fail!

Die Muster der EMails gleichen sich:

  1. Es soll immer eine Rechnung sein
  2. Es ist immer ein ZIP, daß eine .JS Datei enthält.
  3. Immer in Englisch
  4. die genutzten BOTRechner  sind allesamt in diversen Spamlisten gelistet,