Piccolo mistero internettiano
Gmer è, o megio era, un famoso software per rilevare e rimuovere rootkit.
Come segnalatomi da un lettore del blog, da un po’ di tempo il sito www.gmer.net punta a 127.0.0.1 ossia localhost.
Le policy di DNS, tra l’altro, dovrebbero vietare questo tipo di risoluzione del nome a dominio.
Qualche idea?
Questa immagine che vedete qui su è l’aspetto della pagina che si potrebbe aprire cliccando su un link all’interno di una email inviata gi? a molti italiani.
Generalmente in questa email un ipotetico studio legale avverte che è giunto un virus all’interno di una email proveniente da un nostro account di posta. Lo scrivente suggerisce alcuni link per poter scaricare i tool per la rimozione del virus dal nostro pc.
Ed ecco la pagina. Ben fatta e incentrata su un programma che, addirittura, ha vinto premi assegnati da prestigiose testate di settore per la sua efficacia.
Peccato che sia tutto falso. Il programma non è un antivirus ma il trojan SpamBot e, ovviamente, i premi sono fasulli.
I siti che vengono consigliati sono (allo stato attuale)
www.adwaredestroyer.biz
www.adwarezap.biz
www.adwarewipe.biz
www.cleanyourpc.biz
www.free-spyware-killer-software.biz
www.killmalaware.biz
www.mycleanpc.biz
www.notmorespyware.biz
www.personalspywareremover.biz
www.privacywall.biz
www.protectyourpc.biz
www.safemaster.biz
www.SpyProductKiller.biz
www.SpyStuffKiller.biz
www.TenKillerDirect.biz
www.watchwareassassin.biz
Se il malware ha gi? infettato il vostro computer potete scaricare ‘SpamBot trojan cleaner’ (software per la rimozione del virus) che trovate al sito: http://www.nod32.it
Per motivi di sicurezza molti provider non permettono di connettersi direttamente dalle applicazioni desktop ai db MySQL remoti. In pratica viene negato l’accesso alla porta 3306 a ciò che proviene al di fuori della rete ‘conosciuta’.
Si può ovviare in due modi o usando un tunnel SSH o un file php che funga da tunnel (tunneling).
Descriverò la prima tecnica usando Putty e MySQL Administrator.
La prima azione è quella di aprire un tunnel SSH con Putty (si presuppone che il provider supporti SSH):
Dopo aver creato il tunnel SSH col server siamo pronti per collegare il MySQL Administrator:
Un post sui rootkit era un po’ inutile visto che in giro per il web è stato già scritto tanto in maniera esauriente.
Riassumo quindi la letteratura che c’è, i metodi e i software di rilevazione, come immunizzarsi e i siti di riferimento.
Storia, letteratura, informazioni
Siti di riferimento
Software
Come sempre. Se vi va, segnalatemi altre risorse significative.
Akismet ha bloccato 77 messaggi di spam da quando lo hai installato.
I bot che riempiono di spam i commenti ai post sono odiosissimi. C’è cascato anche il nostro ‘tecnologico’ ministro dell’istruzione Fioroni che poi ha replicato dimostrando che non ne capisce tanto di spam, accusando fantomatici hacker. Stendiamo un velo pietoso…
Il plugin di Akismet per WordPress funziona benissimo e fino ad adesso non ho neanche avuto falsi positivi (segnalazioni di spam non vere).
Statistiche dal sito di Akismet:
379,916,572 spams caught so far
895,985 so far today
93% of all comments are spam
L’ultimo dato è terrificante.
Il rootkit è forse il più noioso tra i nuovi pericoli per la sicurezza del nostro pc.
Primo perchè è difficile da rilevare e secondo perchè è altrettanto difficile da rimuovere.
GMER è un software (semplice e gratuito) che ci dà una mano per la sicurezza.
GMER ricerca e rimuove:
Ho trovato sul mio pc strane chiavi agganciate ad alcune immagini scaricate dalla rete (immagini normalissime 😉 ).
Sto cercando disperatamente notizie a riguardo (ho chiesto inutilmente anche al creatore di GMER) e se queste chiavi possono essere pericolose.
Vi terrò informati.
UPDATE: i codici sono ADS . In poche parole sono informazioni addizionali che vengono aggiunte al nome del file. Spesso sono lecite. Nell’immagine sovrastante si vede chiaramente che alcuni di questi sono chiavi di registro. Altre volte sono informazioni che poi possono essere raccolte con differenti finalità. Un po’ come i cookie traccianti.
L’argomento può essere tema per un post ma devo studiare meglio.
I sistemi Windows NT, Windows 2000, Windows XP, Windows 2003, Windows Vista e Windows Longhorn Server proteggono i loro account utente tramte password. Che si può fare quando ci si dimentica della password (per esempio) di amministrazione? Si può utilizzare Login Recovery! Quest’ultimo è un servizio (legale) on line di recupero della password senza esser costretti a resettare parti di sistema e senza dover installare niente sul pc. Questa tecnica funziona solo con account locali (no account remoti) ed è necessario avere accesso fisico al pc di cui si vuol recuperare la password. Ecco i passi da seguire:
Il servizio gratuito può impiegare anche 48 ore per il recupero delle password. Il servizio prioritario impiega qualche decina di minuti ma è a pagamento. [via My Digital Life]
UPDATE [02/02/2010]: il servizio sembra essere diventato completamente a pagamento per cui chiudo i commenti e si può considerare obsoleto questo tutorial
A vulnerability has been identified in Mozilla Firefox, which could be exploited by remote attackers to gain knowledge of sensitive information. This isse is due to an error in the Password Manager that does not validate URLs before automatically filling in forms with saved usernames and passwords, which could be exploited by remote attackers to trick users into sending their credentials for certain web sites to a malicious page on the same domain by convincing them to visit a specially crafted Web page and perform certain actions that will cause saved usernames and passwords to be inadvertently submitted.
In sostanza, se abbiamo salvato la solita accoppiata user/password per quel determinato sito basta che qualcuno crei una pagina simile e con un url contraffatto per ingannare Firefox.
Una tecnica tanto semplice quanto efficace.
Il bug non è stato ancora risolto.
Il consiglio è quello di utilizzare sempre strumenti di antiphishing come la Netcraft toolbar
Link utili:
http://www.frsirt.com/english/advisories/2006/4662
https://bugzilla.mozilla.org/show_bug.cgi?id=360493
Phil Harton dal blog Google Webmaster Central, segnala l’inserimento dei badware alerts negli strumenti per webmaster.
I webmaster possono vedere tramite gli strumenti di diagnostica del sito se una o più pagine sono state erroneamente inserite tra quelle che Google giudica distribuire ‘badware’.
Maggiori informazioni qui www.google.com/support/webmasters.
Dopo aver rimosso il software giudicato dannoso, il webmaster può inviare una email a appeals@stopbadware.org per chiedere una revisione.
E’ inutile sottolineare l’importanza di questo tool quando gestiamo un sito che permette il download di software.
Una segnalazione al volo per un ottimo freeware di backup.
SyncBack crea copie di backup di intere cartelle su drive remoti. Le copie possono tener conto di filtri personalizzati e profili di utilizzo diversi.
Il software, ovviamente, non si limita a copiare intere cartelle di file ma controlla se prima esistano duplicati. In quel caso se il file della cartella di destinazione ha una data antecedente al file della cartella sorgente, viene sovrascritto.
La versione a pagamento dello stesso software permette di: