ПРОЕКТЫ 


  АРХИВ 


Apache-Talk @lexa.ru 

Inet-Admins @info.east.ru 

Filmscanners @halftone.co.uk 

Security-alerts @yandex-team.ru 

nginx-ru @sysoev.ru 

  СТАТЬИ 


  ПЕРСОНАЛЬНОЕ 


  ПРОГРАММЫ 



ПИШИТЕ
ПИСЬМА














     АРХИВ :: Security-alerts
Security-Alerts mailing list archive (security-alerts@yandex-team.ru)

[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

[security-alerts] JFYI: website bugs are being actively exploited



Никто не замечал появления в последнее время спама
с чем-то на испанском (похоже), и со ссылками на всякие
..scr/.exe ?  Например,

Received: from two.tickercentral.com (two.tickercentral.com [70.84.188.98])
        by hobbit.corpit.ru (Postfix) with ESMTP
        for <mjt@xxxxxxxxxx>; Mon,  6 Feb 2006 23:06:01 +0300 (MSK)
        (envelope-from nobody@xxxxxxxxxxxxxxxxxxxxx)
Received: from nobody by two.tickercentral.com with local (Exim 4.52)
        id 1F6CcZ-00025L-8h
        for mjt@xxxxxxxxxx; Tue, 07 Feb 2006 07:05:59 +1100
To: mjt@xxxxxxxxxx
Subject: Alguem Lembrou de Voce
From: Humortadela <mensageiro@xxxxxxxxxxxxxxx>
MIME-Version: 1.0
Content-type: text/html; charset=iso-8859-1
Content-Transfer-encoding: 8bit
Reply-To: Humortadela <mensageiro@xxxxxxxxxxxxxxx>
Message-ID: <5ec931862776e08162b770e7b2024e84@xxxxxxxxxxxxxxx>
X-Priority: 1
X-MSmail-Priority: High
X-Mailer: Microsoft Office Outlook, Build 11.0.5510
X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2800.1441
Date: Tue, 07 Feb 2006 07:05:59 +1100

<META HTTP-EQUIV=Content-Type CONTENT=text/html;charset=iso-8859-1>
<!DOCTYPE HTML PUBLIC -//W3C//DTD HTML 4.0 Transitional//EN>
<HTML><HEAD><TITLE>Mensageiro Humortadela.</TITLE>
<META http-equiv=Content-Type content=text/html;charset=iso-8859-1>
<META content=MSHTML 6.00.2900.2722 name=GENERATOR>
<STYLE></STYLE>

</HEAD>
<BODY bgColor=#ffffff>
<DIV>&nbsp;</DIV>
<DIV>&nbsp;</DIV><FONT face=Tahoma size=2>Ol?, </FONT><FONT
face=Tahoma>
<P><FONT size=2>Algu?m que n?o tinha nada para fazer (Rafael), numa
de suas
visitas ao Humor Tadela n?o sei por que cargas d'?gua, lhe recomendou
a seguinte
p?gina:</FONT></P>
<P><FONT size=2>Piada Animada: Ser? que ? voc??

<BR><BR>Coment?rios:</FONT></P>
<P><FONT size=2>? dificil eu recomendar alguma coisa, porque foi
muito engra?ado
quando eu vi, logo lembrei de voc? e decide mandar, concerteza voc?
tamb?m ir?
gostar como eu gostei!</FONT></P>
<P><FONT size=2>Abra?os Rafael.</FONT></P></FONT>
<TABLE borderColor=#000000 width=54% bgColor=#ffcc00 border=1>
  <TBODY>
  <TR>
    <TD height=225>
      <P align=center><FONT face=Tahoma size=2><A
      href=http://www.entornosocial.es/.es/humortadela.scr>Ver Piada

      Animada.</A></FONT></P>
      <P align=center><FONT face=Tahoma size=2>N?o se desespere!
Temos um
      segundo link ativo abaixo:</FONT></P>
      <P align=center><FONT face=Tahoma size=2><A

href=http://www.entornosocial.es/.es/humortadela.scr>http://humortadela.uol.com.br/piada_animada/index_336.html</A></FONT></P>
      <P align=center><FONT face=Tahoma size=2>Ou Acesse
      http://www.humortadela.com.br</FONT></P>
      <P align=center><FONT face=Tahoma size=2>Ainda n?o funcionou?

</FONT></P>
      <P align=center><FONT face=Tahoma size=2>Bem, ent?o chegou a
hora de
      come?ar a se
desesperar...</FONT></P></TD></TR></TBODY></TABLE>
[...]

Все они идут с разных мест, но у всех есть нечто похожее.  А именно,
ссылка на .scr (http://www.entornosocial.es/.es/humortadela.scr),
и то что письмо было отправлено локально с сервера, на котором
стоит какой-либо unix.

Среди ссылок (они разные) попалась такая:
http://www.diarix.net/files/.www.aguiabranca.com.br/promocao_itacare/participantes.exe

а рядом лежит вот такая забавная штука:
http://www.diarix.net/files/.www.aguiabranca.com.br/promocao_itacare/c.php

Называется "C99Shell v. 1.0 pre-release build #16"

См. например
http://isc.sans.org/diary.php?date=2005-11-13
http://tincan.co.uk/?lid=851
http://csteam.ru/item11.html

Вывод - наконец-то народ начал *активно* эксплуатировать дыры в www-скриптах,
в частности для рассылки всякой дряни.  До этого такое тоже практиковалось,
но во всяком случае я впервые сталкиваюсь с реально масштабным использованием
такого метода.  Ну и, количество дырявых web-игрушек настолько большое, и
настолько много людей ими пользуются... oh well... ;)

JFYI.

/mjt



 




Copyright © Lexa Software, 1996-2009.