Security Professionals - ipfw add deny all from eindgebruikers to any

Fishing mail, server niet beveiligd, wat te doen?

23-11-2012, 10:47 door Patrick_st, 16 reacties
Ik kreeg vanmorgen een mooie email van de ABNAMRO met het verzoek om wat gegevens in te vullen.

Na een klein onderzoekje blijkt dat de link in de mail verwijst naar een server in China en via FTP heb je zonder inloggevens volledige schijfrechten in de www directory van de server.

Het is dus heel eenvoudig om de site te verwijderen of te vervangen door een waarschuwingspagina zodat andere mensen hier niet in kunnen trappen.

Wat zouden jullie doen? De site aanpassen, verwijderen of is het beter gewoon niets te doen?
Reacties (16)
23-11-2012, 11:00 door SirDice
Stuur een abuse email naar de hoster, laat hun dat spul uit de lucht halen. En verder gewoon negeren.
23-11-2012, 11:24 door Anoniem
De meeste hosters negeren zo'n abusemail. Zeker die in China.
23-11-2012, 12:41 door AdVratPatat
Door Patrick_st: Wat zouden jullie doen? De site aanpassen, verwijderen of is het beter gewoon niets te doen?
https://www.fox-it.com/nl/contact/ anoniem of niet...
23-11-2012, 14:14 door SirDice
Door Anoniem: De meeste hosters negeren zo'n abusemail. Zeker die in China.
Dat is niet mijn ervaring. Op de meeste abuse meldingen die ik gedaan heb werd adequate gereageerd.

Voorwaarde is wel dat de abuse e-mail platte tekst is (dus geen HTML), geen attachments bevat en geen analyses. Gewoon plain dit-en-dit is er aan de hand en een stukje log of een kopie van de mail (inclusief headers).
23-11-2012, 15:23 door Anoniem
Die voorwaardes wisselen per hoster/provider.
Anderen willen weer dat je het stuurt in standaard abuse format, wat dan betekent juist WEL weer mime-parts (attachments).
Of ze replyen met een mail dat je het in hun webformulier moet plakken want dan kunnen ze het sneller afhandelen (kennelijk geen programmeur in dienst die een mail naar ticket gateway kan maken).
Ergste zijn nog degenen die je abuse mail rejecten omdat er spam content in voorkomt. Ja DUH.
(voor hen heb ik nu een 2e script wat alleen de headers stuurt en niet de body. hoe ze dan moeten bepalen of het abuse is weet ik ook niet)

Maar de meesten reageren gewoon niet en doen gewoon niks.
24-11-2012, 00:28 door Patrick_st
Ik heb zelf nog nooit een reactie op een abuse mail gekregen. Ik heb er ook nog niet veel verstuurd.
In dit geval zie ik diverse adressen verschijnen bij een whois op IP adres maar niet een duidelijk abuse adres.

De server is duidelijk gehackt, de originele site staat er nog op en deze werkt normaal. Het is een Chinese webshop in schoonheidsproducten.

Ik zie iemand een link naar Fox-IT geven, zitten hun wel te wachten op dit soort meldingen? De email gaat over een Nederlandse bank maar de site staat in China.
24-11-2012, 07:24 door Anoniem
Tuurlijk zit Fox-IT hierop te wachten. Als jij ze betaalt... Feitelijk zitten ze dus op je geld te wachten.
24-11-2012, 10:30 door Security Scene Team
Door Patrick_st: Ik kreeg vanmorgen een mooie email van de ABNAMRO met het verzoek om wat gegevens in te vullen.

Na een klein onderzoekje blijkt dat de link in de mail verwijst naar een server in China en via FTP heb je zonder inloggevens volledige schijfrechten in de www directory van de server.

Het is dus heel eenvoudig om de site te verwijderen of te vervangen door een waarschuwingspagina zodat andere mensen hier niet in kunnen trappen.

Wat zouden jullie doen? De site aanpassen, verwijderen of is het beter gewoon niets te doen?

jup, aanpassen die hap of verwijderen. misschien een leuke aangepaste pagina met eentekst "Oops i stole your fishing rod, u mad?"
kun je nietbij server logs komen? if so.. zet z'n IP of dergelijke gegevens op de index.
vervolgens kun je voor de zekerheid ook eventjes een melding maken, niet dat dat al te veel zalhelpen in china..

ze zouden burgers de mogelijkheid moeten bieden om dit legaal te doen. mocht iemand je willen phishen, dan mag jij een tegen aanval organiseren. mijn zegen heb je,verwijderen die handel! zorg wel dat je je eigen IP afschermt.
25-11-2012, 19:16 door Flexxy
Slippery slope.. Aan de ene kant gewoon een nieuwe page op die FTP aanmaken met een waarschuwing maar aan de andere kant kan die FTP ook gekraakt zijn en dan ben jij ook strafbaar als je er wat op plaatst.. Dus probeer maar als eerste betreffende ISP te mailen.. (of achter een pr0xy of 2 en dan die page swappen) =)
26-11-2012, 10:12 door Anoniem
Email doorsturen naar ABN AMRO, deze gaan er dan achteraan
26-11-2012, 10:36 door Anoniem
Door Anoniem: Email doorsturen naar ABN AMRO, deze gaan er dan achteraan
Als je tenminste niet een "mail geweigerd want dit is spam" retour krijgt.
Ze hebben bij ABN wel een adres waar je phishing op kunt rapporteren (valse-email@nl.abnamro.com) maar daar draaien ze een spamfilter op.... Losers.
26-11-2012, 13:51 door Anoniem
Melden bij de bank zelf is de juiste weg. Die zullen daar echt wel adequaat op reageren. Als het hun spam-filter dat blokkeert, dat gewoon even per e-mail aangeven; kunnen ze dat ook meteen corrigeren ;)
26-11-2012, 14:23 door Anoniem
Het spamfilter is erg fanatiek, ik heb wel eens geprobeerd de bouncemessage te forwarden maar dat werd ook meteen weer als spam geblokkeerd.
Ik stuur 10-15 phishing mails per week door naar dat adres, ik zou verwachten dat ze er blij mee zijn maar ongeveer de helft ervan wordt geblokkeerd als spam.
Er was een weekje dat dit even niet gebeurde, ik dacht nog "ze hebben het opgelost" maar dit was kennelijk gewoon een slechte week voor hun spamdetectie want inmiddels is het weer als voorheen.
26-11-2012, 16:13 door Security Scene Team
Door Flexxy: Slippery slope.. Aan de ene kant gewoon een nieuwe page op die FTP aanmaken met een waarschuwing maar aan de andere kant kan die FTP ook gekraakt zijn en dan ben jij ook strafbaar als je er wat op plaatst.. Dus probeer maar als eerste betreffende ISP te mailen.. (of achter een pr0xy of 2 en dan die page swappen) =)

wil niet de wijsneus uithangen hoor, maar een "open" FTP is toch het zelfde als je fietssleutel in het slot laten zitten? of je voordeur open laten bij het weggaan en vervolgens gaan roepen "er is ingebroken"... hoezo ingebroken of fiets gestolen? bij de verzekering moetje ook 2 sleutels kunnen laten zien anders krijg je niks. en voor het inbreken, er is niks gebroken om erin te komen hijs gewoon door een opendeur gewandelt tijdens het toevallig passeren. vogens mij ziet de politie dit ook niet als een inbraak... of wel?

deze ftp stond open, zoals er wel meer open staat als je gaat google dorken, dus eigenlijk is er niks 'gekraakt'

iemand 'n theorie? roept u maar!
26-11-2012, 16:15 door Security Scene Team
Door Anoniem: Tuurlijk zit Fox-IT hierop te wachten. Als jij ze betaalt... Feitelijk zitten ze dus op je geld te wachten.

hahaha +1 .... dat rijst de vraag bij mij (wie is dan de phisher?) LOL

Door Flexxy: Slippery slope.. Aan de ene kant gewoon een nieuwe page op die FTP aanmaken met een waarschuwing maar aan de andere kant kan die FTP ook gekraakt zijn en dan ben jij ook strafbaar als je er wat op plaatst.. Dus probeer maar als eerste betreffende ISP te mailen.. (of achter een pr0xy of 2 en dan die page swappen) =)

wil niet de wijsneus uithangen hoor, maar een "open" FTP is toch het zelfde als je fietssleutel in het slot laten zitten? of je voordeur open laten bij het weggaan en vervolgens gaan roepen "er is ingebroken"... hoezo ingebroken of fiets gestolen? bij de verzekering moetje ook 2 sleutels kunnen laten zien anders krijg je niks. en voor het inbreken, er is niks gebroken om erin te komen hijs gewoon door een opendeur gewandelt tijdens het toevallig passeren. vogens mij ziet de politie dit ook niet als een inbraak... of wel?

deze ftp stond open, zoals er wel meer open staat als je gaat google dorken, dus eigenlijk is er niks 'gekraakt'

iemand 'n theorie? roept u maar!
27-11-2012, 13:02 door Anoniem
Kort door de bocht: Het mag dan open staan, het is niet van jou dus heb jij daar niets te zoeken.

Net als met de achterdeur van thuis. Bij veel mensen zit die overdag niet op slot, maar dat wil niet zeggen dat je dan ongestraft naar binnen mag lopen. Het is en blijft dan gewoon insluiping danwel huisvredebreuk. Ongeacht of je iets meeneemt.

Bij een openstaande server is dat niet anders, alleen noemen ze het dan computervredebreuk en dat is gewoon een misdrijf. Ongeacht of je er zaken manipuleert. Tot 2005 moest er sprake zijn van het "doorbreken van enige beveiliging al dan niet met behulp van technische ingrepen danwel het aannemen van een valse hoedanigheid".
Op dit moment ligt er een voorstel (en dat ligt het al een aantal jaar) om dat deel los te laten. Dit i.v.m. misbruik van onbeveiligde WiFi netwerken. Wat zou betekenen dat je al wederrechtelijk bent bezig geweest door in te loggen op die FTP server.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.