Jag vill bara upplysa er om att samma javascript som används för att injicera skadlig XSS mot VHS även finns i några trådar.

Gör en Google-sökning på src=http://www.nihaoel3.com så hittar ni några Pellesoft-trådar..

Har du hittat någon sida där det ligger kvar? Detta inträffade natten till måndag och jag tror allt plockades bort måndag morgon.

/Johan

Vad gör det där då? Vad händer om man har gått in på en sida med scriptet?


/Thomas

Jag lade in en tråd om detta, men tråden togs bort. Man skickas runt mellan en rad olika javascript som försöker installera skadlig kod (utnyttja svagheter i diverse läsare). På pellesoft fanns det åtminstone i forumsrubrikerna, så att "Skrivklåda" nu istället hette "Skrivklåda <script ... >".


Som tur är har ju tydligen majoriteten Firefox, och då har väl alla noscript installerat ändå, så då ska det inte vara någon större skada? ;-)

Nu har det åkt in referenser till http://www.banner82.com/b.js

Jag messade Pelle om det nyss.

[citerat Alexander Hjalmar Medlem:4565 [Pellesoft - Sårbar för XSS]#267969]
<citat>
hur kmr sådana saker in i forumet?
</citat>

Generellt skulle man kunna säga att eftersom det är rubrikerna som är ändrade (på alla ställen där rubrikerna står) så är det sannolikt SQL-injections eller något annat liknande säkerhetsproblem, som gör att någon kommer åt själva tabellen med rubriktexten.

Jag skulle alltså inte själv kalla det för XSS, utan snarare "vanlig hacking".

Är inte rubrikerna som är ändrade, är bara namnen på forumen

[citerat Oskar Johansson Medlem:10615 [Pellesoft - Sårbar för XSS]#267976]
<citat>
Är inte rubrikerna som är ändrade, är bara namnen på forumen
</citat>

Kanske var otydlig där. Det var exakt det jag menade. alltså "forumsrubrikerna". Inser nu att det tolkas snett. Men min poäng kvarstår, eftersom man (förmodligen?) inte kan lägga in länkar till andra skript bara genom att posta en tråd så måste det vara på en något högre nivå => ej XSS enligt min syn.

Ja, jo, det stämmer :P Jag satsar på en sql-injection-attack

Är det bara en tillfällighet att det började ungefär samtidigt som Pellesoft.Extra började användas?

Mest troligt inte, kan inte komma på någonting skulle orsakat det här.. Är ju inte direkt så att jag har tillgång till databasen, så vitt jag vet så finns det inte ens någon officiell väg att ändra i den där tabellen, mer än ren sql

För det första råkar ju alla, inkl. IE-användare ut för det, så det är ju inte .Extra som mellanlager som är problemet.

Det man skulle kunna tänka sig är att någon med högre säkerhetsprivilegier än övriga (har "blå pratbubblor" möjlighet att göra något?), t.ex. Pelle, har blivit infekterad genom att använda .extra.

Men då låter det ju mer som att det är grundlig kontroll över en dator (åtminstone lösenord till server) någon har fått snarare än "enkel hackning", men då borde man ha gjort det snyggare, så det känns inte sannolikt. Det är nog iaf tveklöst frågan om lagbrott.

Jag gissar sql-injection eller "ordentligt illa", med stark lutning mot förstnämnda.

Jag har "blå bubbla" men ingen högre behörighet, så för att den teorin ska stämma måste det vara Pelle. Men det kan knappast vara .Extra, den har ju ingen högre behörighet på siten, så även om det kommer därifrån fanns problemet redan innan.

Tycker att en angripare skulle kunna göra mycket "roligare" saker än detta om det var via "sql-injection" och denne har kontroll över hela databasen. Detta behöver analyseras i detalj.

/Johan

Mjo, jag tror iis-loggarna är en bra start

Har hittat det på ett till ställe: http://www.pellesoft.se/area/support/pageerrorsdetail.aspx?id=495

[edit 2008-05-22 18:15:45]
Hittade en till: http://www.pellesoft.se/area/support/pageerrorsdetail.aspx?id=245, å här: http://www.pellesoft.se/area/support/pageerrorsdetail.aspx?id=472, http://www.pellesoft.se/area/support/pageerrorsdetail.aspx?id=442

Känns lite som att det inte är bara en tabell som är drabbad..?
[/edit]

Det ligger även med om man ska posta en fråga i forumet och ska välja vilket forum den ska in i.
Nu syns den även när man svarar på ett inlägg.

[citerat Anna-Karin Söderberg Medlem:948 [Pellesoft - Sårbar för XSS]#267999]
<citat>
Det ligger även med om man ska posta en fråga i forumet och ska välja vilket forum den ska in i.
Nu syns den även när man svarar på ett inlägg.
</citat>

Mjo, inte så konstigt, är ju tabellen över forumnamn

Lite info om botnet-attacken: http://blogs.zdnet.com/security/?p=1122

[edit 2008-05-22 18:37:13]
Det är sql-injection. IIS-loggarna tror jag är ända chansen
[/edit]

Har fått tag på sql-injection-programmet nu, och tittat lite i binären, hittat en lång harang sql som när den exekveras listar alla tabeller, och för var och en av tabellerna går igenom och lägger till den där script-grunkan efter.

Per Persson undrade:
<b>Är det bara en tillfällighet att det började ungefär samtidigt som Pellesoft.Extra började användas?</b>

Oskar Johansson svarade:
<b>Mest troligt inte</b>

Är det INTE en tillfällighet att det började samtidigt?

"Bara" att ta reda på var sql:en har säkerhetshål, då?

Borde väl inte vara mer än att söka igenom hela koden efter alla databasanrop, kolla så att det inte finns ett enda ställe med konkatenerade strängar (så länge det inte är konstanta strängar man slår ihop)?

Eller är det ett problem i ASP.NET?

[citerat Per Persson Medlem:14730 [Pellesoft - Sårbar för XSS]#268005]
<citat>
Är det INTE en tillfällighet att det började samtidigt?
</citat>

Det är en tillfällighet ;)

[citerat Niklas Jansson Medlem:4287 [Pellesoft - Sårbar för XSS]#268006]
<citat>
Borde väl inte vara mer än att söka igenom hela koden efter alla databasanrop, kolla så att det inte finns ett enda ställe med konkatenerade strängar (så länge det inte är konstanta strängar man slår ihop)?
</citat>

IIS-loggarna kommer nog ge svaret :) Attackerna sker via GET-anrop så det borde dykt upp i iis-loggarna.

Sitter nämligen med en instans av IDA och tittar igenom nu, har kollat lite, och själva anropet sker (i den här versionen) med GET, och accept-language är satt till en-gb. Så det borde gå att hitta

<b>Man skickas runt mellan en rad olika javascript som försöker installera skadlig kod (utnyttja svagheter i diverse läsare).</b>

Hur allvarligt är det där? Är det nått jag måste göra efter att ha besökt PS för att få bort eventuell installerad kod?

Jag använder IE8 Beta 1 i emulerat IE7-läge i Vista med UAC aktiverat, hoppas att det skyddar på nått sätt :-)


/Thomas

[citerat Thomas Roman Medlem:118 [Pellesoft - Sårbar för XSS]#268011]
<citat>
Man skickas runt mellan en rad olika javascript som försöker installera skadlig kod (utnyttja svagheter i diverse läsare).

Hur allvarligt är det där? Är det nått jag måste göra efter att ha besökt PS för att få bort eventuell installerad kod?

Jag använder IE8 Beta 1 i emulerat IE7-läge i Vista med UAC aktiverat, hoppas att det skyddar på nått sätt


/Thomas
</citat>

Det ska inte vara något problem då, det här programmet har jag för mig körs som en service, och en sådan kan du inte installera om du inte är admin så.. Dessutom är det ju inte säkert att du har de säkerhetshål som den attackerar mot

Crap.. Har hittat att den kör både GET- och POST-anrop, gissa vilken som inte fastnar i loggen.. Kanske kan ta den på useragent dock..?

<b>Kanske kan ta den på useragent dock..?</b>

Vore ju väldigt korkat av den kodat om den inte uppger sig för att vara IE eller FF...

/Johan

[citerat Johan Djupmarker Medlem:28 [Pellesoft - Sårbar för XSS]#268035]
<citat>
Vore ju väldigt korkat av den kodat om den inte uppger sig för att vara IE eller FF...
</citat>

Det jag hittat på nätet är att den uppger sig för att vara både firefox _och_ opera om jag inte minns fel :P

Nu har jag en ny dator och jag slank in en sväng här på Pellesoft innan jag hade lagt in nått antivirusprogram. Annars samma förutsättningar som tidigare, Vista med UAC aktiverat. Dock är det äkta IE7 istället för emulerad IE7 i IE8.

Inget att oroa sig för nu heller?


/Thomas

Tror inte det, och så måste du haft säkerhetshålen