Category Archives: Security

so richtig schlechtes Netflix-Phishing

Posted on by

Heute Nacht trudelte so richtig schlechtes Phishing für NetFlixAccounts in unsere Spamfalle,
den ich Euch nicht enthalten will. Schon deswegen, weil das so selten passiert dank funktionierendem SpamFilter 😀

Return-path: <orion@host.searchexperts.net>
Delivery-date: Tue, 16 Apr 2019 00:34:21 +0200
Received: from host.searchexperts.net ([72.52.192.29]) by YYYYYYYYYYYYYY
 (XXXXXXXXXXXXXXXXXXXXX) with ESMTPS (Nemesis) id 1M9p5t-1hAOsQ2HvJ-005wSE
 for <XXXXXXXXXXXXXXXXXXXXXXXXXXX>; Tue, 16 Apr 2019 00:34:11 +0200
Received: from [41.251.250.236] (port=61967 helo=srv-odeis)
	by host.searchexperts.net with esmtpsa (TLSv1:ECDHE-RSA-AES256-SHA:256)
	(Exim 4.91)
	(envelope-from <orion@host.searchexperts.net>)
	id 1hG1s7-0001P1-N5
	for <XXXXXXXXXXXXXXXXX>; Mon, 15 Apr 2019 09:42:08 -0400
MIME-Version: 1.0
From: "Netflix" <orion@host.searchexperts.net>
X-AntiAbuse: This header was added to track abuse, please include it with any abuse report
X-AntiAbuse: Primary Hostname - host.searchexperts.net
X-AntiAbuse: Original Domain - web.de
X-AntiAbuse: Originator/Caller UID/GID - [47 12] / [47 12]
X-AntiAbuse: Sender Address Domain - host.searchexperts.net
X-Get-Message-Sender-Via: host.searchexperts.net: authenticated_id: sales@orionsolarracking.com
X-Authenticated-Sender: host.searchexperts.net: sales@orionsolarracking.com
Subject:  Please Update Your Payment Method

Die fetten Texte sind die offensichtlichen Fehler, an denen man schon im FROM sieht, das es eine richtig schlechte Fälschung ist. Persönliche Anmerkung: „TLS 1.0“ IM ERNST ??? Mit einem EXIM !??!? … grumpf.

Dear customer,

Sorry for the interruption, but we are having trouble authorizing your credit card. Please visit the account payment page at www.netflix.com/YourAccountPayment to enter your payment information again or to use a different payment method. When you have finished, we will try to verify your account again. If it still does not work, you will want to contact your credit card company.

If you have any questions, we are happy to help. Simply call us at 1-866-579-7172.

Ja, was soll man dazu anderes sagen als: Falsche Sprache Ihr Penner! 😀 Wenn man mit dem Mauszeiger über den angeblichen NetFlix Link geht, sieht man auch die gefälschte (von mir entschärfte ) URL zum gehackten Webserver.

Also ab in die digitale Mülltonne damit 😉

Supermicro IPMI mit Remote-Exploit < FW 3.8

Posted on by

WARNUNG: Wer einen SuperMicro Server betreibt und noch die IPMI Firmware < 3.80 betreibt und extern erreichbare IPs benutzt, wird bald unerwünschten Besuch erhalten!

CVE-2019-6260

In der 3.65 Version der Firmware ist eine Schwachstelle enthalten, über die Hacker Zugriff auf das System bekommen können. Ein sofortiges Update ist angeraten, aber vorher prüfen, ob Ihr nicht schon infiziert seid, weil sonst Beweise vernichtet werden.

Workaround: die IP auf eine lokale IP umstellen

$ ipmitool lan set 1 ipaddr 192.168.1.2
$ ipmitool lan set 1 ipsrc static

Static, damit sich das nicht per DHCP Update wieder umstellt! DHCP als DEFAULT für eine IPMI !!! unglaublich!

Wie kommt man darauf? Wenn man einen Anruf bekommt, daß das Cluster XZY plötzlich so langsam reagiert und ein XenServer Mensch da mal nachsehen soll. Warum war es langsam, weil da jemand BitCoin gemint hat, mit allen 52 Kernen 😀

Für den Fall, daß Euch das auch passiert, hier eine Checkliste:

CHECKLISTE

  1. last -ai
    Wenn im last-Output „tty“ als Konsole auftaucht, ohne IP, dann ist es die IPMI.
  2. /etc/passwdDie müßt Ihr auf einen weiteren Rootuser hin checken, also 0:0 als UID:GID. Wenn da, dann auch in der /etc/shadow löschen
  3. crontab -lPrüfen ob der Miner per Cron neugestartet wird.
  4. CronjobsPrüfen ob die Cronjobs unter /etc/cron* manipuliert oder welche hinzugefügt wurden.
  5. Verbindungen checkenmit „netstat -lnap| grep LISTEN“ prüfen ob da Dienste laufen, die da nicht hingehören.
    mit „netstat -lnap| grep VERBUNDEN“ prüfen, ob da grade aktiv was ausgeleitet wird.
  6. System überprüfen, z.b. „yum reinstall *“ um unveränderte Software zu bekommen, aber Vorsicht, daß kann auf einem Produktionssystem auch in die Hose gehen. Vielleicht weniger invasiv mal nach kürzlich geänderten Dateien suchen:find / -ctime -30
    find / -mtime -30

Im Beispiel sind es 30 Tage. Wenn man dann „verdächtige“ Files hat, kann man z.b. rpm -qf filename benutzen und sieht, ob die über das System kamen oder von Hand sind.

Kleines Update: „rpm -qa | awk ‚{print „rpm -V „$1;}‘ | bash“ sehr nützlich beim prüfen von korrekten Files.

WICHTIG: ERST MIT TAR ARCHIVIEREN, DANN LÖSCHEN! Gilt auch für Logfiles.

Link: https://nvd.nist.gov/vuln/detail/CVE-2019-6260

WordPress Security-GAU in iOS App

In der WordPress iOS App klaffte 2 Jahre eine dicke Sicherheitslücke, die die Authentifizierungstokens der eigenen WordPressinstallation an Dritte übermittelt hat.  „Dritte“ meint hier z.b. Bildhoster wie Flickr, Imgur usw. .

Wer also sein WP Blog mit der iOS App bedient hat, sollte jetzt mal sein Adminpasswort ändern, denn jetzt werden die mit dem Token beglückten Webseiten mal die Logs durchforschen, ob sie das was tolles finden können 😉

Quelle: thehackernews.com/2019/04/wordpress-ios-security.html