Computerbeveiliging - Hoe je bad guys buiten de deur houdt

Link in de mail

28-12-2022, 20:59 door Anoniem, 10 reacties
Link in de mail:

Ik kreeg mail van een onbekende maar was geïnteresseerd wat deze link (heb deze geanonimiseerd)doet:
https://linkadreshier.hu/to/index.php?EPRER=10

Wat doet:
index.php?EPRER=10

Is dit een query dat uitgevoerd wordt, of als ik erop klik iets wordt uitgevoerd op mijn machine?
Of wordt er dan eventueel een query op mijn systeem uitgevoerd?
Reacties (10)
28-12-2022, 22:33 door Anoniem
Dat is een parameter die wordt verzonden van jouw computer naar het script op de website (index.php).
Wat er daar mee gedaan wordt weet je niet, als je die file (PHP programma) niet hebt.
Het programma stuurt vervolgens (meestal) een HTML file naar jouw computer en die wordt daar dan getoond.
Dat tonen voert uiteraard code uit op je machine (de browser) en het kan ook bijvoorbeeld javascript starten.
29-12-2022, 07:00 door Anoniem
• https: is het communicatieprotocol;
• linkadreshier.hu is de domeinnaam, die identificeert de server waarmee je webbrowser contact maakt;
• to/index.php geeft aan welke webpagina wordt opgevraagd;
• EPRER=10 is een parameter voor die webpagina.

Een uitgebreidere beschrijving voor URLs in het algemeen kan je op Wikipedia vinden:
https://nl.wikipedia.org/wiki/Uniform_Resource_Locator

EPRER=10 wordt inderdaad een query genoemd, maar het is aan de webserver om te bepalen wat die ermee doet, en dat gebeurt op de server.

Er wordt hoe dan ook iets uitgevoerd op jouw machine, maar dat is niet wat in die URL staat. De webserver stuurt als reactie op zo'n URL HTML naar je pagina. De HTML bevat tekst, opmaak, scripts, links naar meer opmaak en meer scripts, naar afbeeldingen, video's etc. Op jouw machine worden al die zaken omgezet in de pagina zoals je die je ziet. Dat wordt in ieder geval op jouw machine uitgevoerd. Als er scripts in de pagina zitten of worden geladen (wat bij de meeste websites zo is) worden ook die op jouw machine uitgevoerd, tenzij je ze via browser-add-ons blokkeert.

De URL bevat niet al die dingen, dat is alleen maar een manier om tegen de server te zeggen welk stukje van de totale inhoud van de website je wilt zien. Dat is maatwerk per website, de bouwers ervan bepalen hoe dit allemaal in elkaar zit.

En een query op jouw systeem? Technisch gesproken is het antwoord daarop: ja, maar ik kan me voorstellen dat het antwoord nee is bij waar jij aan denkt bij een query.

Die technische kant is dat een webbrowser van alles bijhoudt in een setje databases. Hij houdt bij welke webpagina's je hebt bezocht (de browse-historie), en nog allerlei informatie daar rondomheen. Dat leidt tot queries op die databases, maar dat is niet iets om je zorgen om te maken.

Webpagina's kunnen aan je browser vragen om gegevens voor ze op te slaan, in de vorm van cookies, en sinds HTML versie 5 ook uitgebreidere opslag. De browser zorgt dat een website alleen aan gegevens kan komen die die zelf eerst heeft opgeslagen. Ook dat levert queries die op op jouw systeem worden uitgevoerd, maar ze zijn beperkt tot de genoemde opslag. Omdat cookies en dergelijke voor tracking gebruikt kunnen worden is dit niet meer helemaal onschuldig. Er bestaan allerlei add-ons voor browsers die de mogelijkheden van websites beperken.

Ik vermoed dat je bij een query op jouw systeem dacht aan een website die lekker in alles wat jij op je harde schijf hebt staan kan gaan grasduinen. Dat kan een website niet. Moderne browsers passen zelfs allerlei sandbox-technieken toe om de kans te minimaliseren dat eventuele bugs in hun code het toch mogelijk maken. Tegen dat soort bugs wapen je je met de bekende adviezen: houd je software up-to-date, installeer niet zomaar alles, draai antivirus-software etc.

En al die verschillende soorten queries op jouw computer hebben niets te maken met de query-string in een URL. Die bevat informatie waarmee op de server wordt bepaald wat er precies voor jouw verzoek moet worden gedaan.
29-12-2022, 07:03 door Anoniem
Zoek eens naar http-get querys
De querys worden op de server gedaan in php. Waarschijnlijk wordt er in de volgende stap een javascript gestuurd dat een iso f zip download.
29-12-2022, 08:29 door Anoniem
Aangezien je het belangrijkste deel (de domeinnaam) hebt vervangen kunnen securitymensen daar weinig mee. Servers in links zijn geen mensen, die hebben geen anonimisatie nodig.

Het deel achter het vraagteken is van geen belang bij veel links naar gehackte sites in spamberichten. De spammer kan daar van alles van maken. Wanneer het wel iets doet, verschilt de betekenis van server tot server. Op legitieme servers wordt deze methode gebruikt om gegevens door te geven, bijvoorbeeld https://example.com/?pagina=2 . In dit voorbeeld heeft het de betekenis van pagina 2.

index.php wordt gebruikt op servers waar web site programmeertaal php draait, het bevat dan een stukje programmeercode, bijvoorbeeld om iets weer te geven. Maar het kan ook een bestandsnaam zijn met willekeurige inhoud.
29-12-2022, 09:23 door Anoniem
Wordt ook wel een query string genoemd. Waarde EPRER kan programmatisch uitgelezen worden op de server en doet niet direct iets op jouw machine maar kan wel aan jouw gelinked zijn als ze voor iedere gebruiker / url een andere parameter gebruiken.
29-12-2022, 09:26 door Anoniem
De web server kan iets met het stuk achter het vraagteken doen, het is input voor een query op de server niet op jouw computer.
Je kunt hier meer info vinden: https://en.wikipedia.org/wiki/Query_string
29-12-2022, 09:44 door Anoniem
No security vendors flagged this URL as malicious
https://linkadreshier.hu/to/index.php?EPRER=10
linkadreshier.hu

https://www.virustotal.com/gui/url/dbf84f7b6b35f906f9458e210ac72418554634de16952ef698cbaa8ebaaaa194?nocache=1

Misschien kan je hier wat mee.
Je link laten controleren door virustotal, zij kunnen niks vinden in de link.
29-12-2022, 10:16 door Anoniem
Door Anoniem: Link in de mail:

Ik kreeg mail van een onbekende maar was geïnteresseerd wat deze link (heb deze geanonimiseerd)doet:
https://linkadreshier.hu/to/index.php?EPRER=10

Wat doet:
index.php?EPRER=10

Is dit een query dat uitgevoerd wordt, of als ik erop klik iets wordt uitgevoerd op mijn machine?
Of wordt er dan eventueel een query op mijn systeem uitgevoerd?

:-)

Welkom in de wondere wereld van het programmeren.

Het bestand index.php wordt aangeroepen. EPRER zal een variabele of een functie markering zijn.

Wil je weten wat er gaat gebeuren, dan zul je het bestand index.php moeten bemachtigen, en in een tekst editor bekijken.
29-12-2022, 11:09 door passer
Door Anoniem: zij kunnen niks vinden in de link.
tuurlijk niet, het was ook een fakeadres..
29-12-2022, 19:42 door Anoniem
Het bestand index.php wordt aangeroepen. EPRER zal een variabele of een functie markering zijn.

Als het een gehackte server is, is dat heel waarschijnlijk een onzin parameter waar niets mee wordt gedaan server side.
Google maar eens naar die string.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.