Tag Archives: Security

Github 遭受 Baidu JavaScript 的攻擊

最近幾天網路安全的大新聞應該是這一條, 大略看了一下, 大家都說是中國利用防火牆攻擊 Github.

2015年3月30日外交部发言人华春莹主持例行记者会
基於大家對於政府的不信任, 一定會覺得中國政府都沒有回答. 其實我看起來也是.

這二天在翻相關新聞的時候, 有看到有人提到 TTL 這件事. 讓我覺得有些有趣,
回家翻了一下這個攻擊方式, 這個案例很有趣, 有人說是 Man On The Side Attack .
Read more »

[評] 晶片留後門程式危資安 威盛助中國打壓法輪功

這是壹週刊的標題.

【壹週刊】晶片留後門程式危資安 威盛助中國打壓法輪功

內容提到

宏達電(HTC)創辦人王雪紅兼任董事長的威盛電子,才剛淪為全額交割股,旋即又遭爆料,指6年前推出的一款手機晶片,近來在香港一起國際商業仲裁案中, 被指為配合中國監控法輪功,在晶片留有後門(Back Door)程式,若用在手機或筆電,即可對使用者進行監視、監聽及收集個資,嚴重侵犯個人隱私

我好奇了一下, 有什麼 IC Design House 的黑科技可以做到這樣的技術, 關於這篇文章提到的訊息太少, 所以又找了其他二篇文章.

Read more »

Android Dev Phone 升級 Eclair (2.1)

其實 Android 升級也不是像想像中麻煩, 但是升級之前需要做很多準備工作, 如果不是熟門熟路的話, 會不知道在做什麼, 但是如果熟悉了以後, 換 ROM 大概就像喝水一樣容易 .

以下就是我花一堆時間升級得到的心得. 希望對大家有用

本文章僅適用於 ADP1 (Android Dev Phone 1), 其他不適合.
其他相同的機型有 HTC Magic 和 T-Mobile G1

* 免責聲明: 任何改機行為皆有極大風險, 請自負風險, 本人不負任何責任 *

Read more »

某些 ISP 疑似被 hijacking 攻擊

事情應該就是最近發生的, 只要你連到下列網站,

http://www.msn.com.tw
http://tw.msn.com
http://taiwan.cnet.com

即有可能會被導到
http://www.dachengkeji.com/aritcle/index.htm

經過分析, 問題出在 Client 傳出 GET HTTP/1.1 之後, 馬上就會回傳一個帶有其他網址的封包, 而這個封包是帶有 FIN Flag.
這是第五個封包.
Packet 5

正常的封包是第八個
Packet 8

所以不論你用的是 IE/Firefox 還是 Windows XP/Vista or Linux
不管 Server 是 IIS 或是 Apache
統統都有可能被導向到新的網站.

從有限的資料
1) Hinet 3IP/ADSL
2) 大陸
有可能被導向
TANET 似乎沒有問題.

有網友猜測是
1) 被種木馬
2) ROOT DNS 攻擊
3) DNS Cache 攻擊
個人看法統統都不是, 因為我連的 IP 仍然是 taiwan.cnet.com 和 tw.msn.com 的 IP. 而有問題的封包是搶在 SERVER 回應之前送來的.

從 Packet 回傳的 delta time 來看, 個人猜測可能狀況為下
1. Hinet 和大陸到 taiwan.cnet.com 和 tw.msn.com 的 ISP 被 mirror port, 偵側到 GET HTTP/1.1 隨機送出網址
2. Abovenet 被破台了, 木馬是種在 Abovenet Transparent proxy 內. (會猜 Abovenet 是因為這二家都是很大家的入口網站)
3. IDC 被 ARP Spoofing, 流量被導到某些被破台的機器.

後續發展就需要再觀察了, 這段期間請大家小心,
尤其是 hinet 的用戶. cnet.com 和 msn.com 暫時就不要去了, 到 Google 多好, 沒事.
儘量不要用主流的瀏覽器, 像是 IE. 可以省掉不少潛在的風險.

網路是很危險的, 也是很脆弱, Internet 不如我們想像中安全呀~~~

Ref.
連tw.msn.com就被導向http://www.dachengkeji.com/article/index.htm

Update:

小小修正一些內容, 放個假回來好像變得更精彩, 大家也愈寫愈詳細.
這邊補充一下使用的工具是 Wireshark, 這是一套跨平台功能強大的 Packet Logger. 配合發展的 libpcap 也是一個強大的 Packet capture library.

再補二個相關的 URL

好樣的富邦呀~~~

昨天(2/14), 才在富邦申請了網路銀行的帳號,

今天就在艾克索夫實驗室看到公告(2006-0214):富x邦金控網站被植入Rootkit !!

還好一來本人不用 IE , 二來目前我的系統都換 Linux 了, 最好是 Linux kernel 可以植入 Windows DLL Rootkit 啦 XD ……

你還在用 M(Dangerou)S 的系統嗎? 那自己保重….

目前是 2/15 01:44 . 富邦的首頁似乎是關站維修中 ……

台証證卷的蛇油….

大家都知道 snakeoil.dom 是 apache 內預設的憑證.
只要裝好就有了

今天我在登入台証證卷的時候, 就出現了蛇油選單了…..
更~
雖然進去以後, 就是 VerSign 簽的, 不過心中還是毛毛的~
來換一家好了

arpstar

最近這一台機器放的地方被 arp 攻擊. 所以三不五時就會斷線, 然後等待 route arptable time out.
目前管理人查出來, 似乎是使用大陸人寫的軟體 netcut 網路剪刀手攻擊的.
因為這個原因, 在還沒有找出兇手之前, 也是要保護一下自己的電腦.

Linux 下有一套 arpstar
號稱可以防止 arpspoof. 不過目前只支援 kernel 2.6
可以做以下設定
1. trust ip/arp
2. drop collection, 就是發一個 arp request , 會有不止一個 arp reply .
3. heal network . 可以恢復其他電腦被污染的 arp cache.

我主要還是用 1. trust ip/arp 這個功能. 再加上 ping .
這樣一來, 攻擊結束後馬上就可以恢復網路, 在沒有抓到人以前
這也是沒有辦法中的辦法了.

如果要找兇手, 就要掛上 management switch 查 mac address/port 了.
如果有心要抓, 是一定抓的到的.

Anti-Virus and Personal-Firewall……

大概是在 c7b 喝了 Coffee 太興奮了, 除了睡不著, 還處在亢奮狀態, 就來寫寫 Blog 吧.

同事一直在 complain 他朋友的電腦一直中毒. 聊了一半, 其實發現很多人裝了 Anti-Virus and Personal-Firewall 根本沒有用.
我不記得我上次裝 Anti-Virus 是什麼時候了, 大概是 2003 年吧. 印像中是 Norton Anti-Virus 2003, 2004 以後的我統統沒有裝過了, 連 Personal Firewall 也不裝, 因為裝之前 Notebook 記憶體就不夠了, 裝之後更慢. 反正習慣好, 就不裝囉………

什麼是習慣好, 我綜合我的經驗, 整理出來幾個要點
1. 能不用 Microsoft 出品的東西就不要用.
Windows XP 是一定沒有辦法, 所以只好用了.

IE 儘量不用就儘量不要用, ActiveX 的問題, 不知道 IE 己經是什麼版了,
Mozilla Firefox netscape 都可以 Opera 又快又小

Outlook/Outlook Express : 我自己不用 Outlook Express, Outlook 用來管理連絡人
我用的是 Becky

總是讓我不受任何 E-mail 病毒影響

強烈建議不要使用 IE 和 Outlook/Outlook Express 系的軟體

2. 在 Mail Server 上裝 Anti-Virus . Anti-Virus 不用多, 一套就好, 夠用就好.
For Example : clamav
or Symmantec Antivirus

3. 絕不執行任何的 .exe , 不管是好朋友, 男朋友女朋友炮友, 只要是 .exe 都不執行.
請對方改用其他的檔案格式.

4. 絕不隨意執行來路不明的 .doc .xsl 之類的檔案, 即使啟動, 也不要啟動巨集功能

5. 在 Home Gateway/Home Route 後面安裝完 Windows 再放到網路上.
如果你直接接到網路上, 還沒有 update 完 Windows , 就中毒了.

6. 小心使用外掛和 Keygen , 必要時請在 VMWARE 開一個 Windows 算.
外掛很多都會放木馬, 愛養驢子的人也請做好安全防護措施, 誰知道驢子會
去拉什麼狗屁倒灶的東西回來.

7. Keep Windows Update 在最新的狀況, 雖然 Microsoft 記錄不良, 有 Update
後有舊漏洞跑出來的記錄, 除此之外, 這還算是保護 Windows 的好方法

目前照這些 Rule, 這一年多來, 也沒有中過病毒. 我連 SP2 的 Firewall 都沒有開
或許是我的工作環境單純, 不過也給大家參考…..

—-
現在: …. 大多數時間在 Linux 下, Virus 也很難找上我吧….. 而且只有留一個 ssh 連到 notebook 內的 Linux ………. 保持最新就沒有問題囉.

日盛是沒有人了嗎 ???

太誇張了,日盛證卷的某個站台被 hacker 己經超過三天了,都沒有人注意到…..
這真是太歡樂了,以後要在那邊開戶知道了吧

查了一下,日盛是用 Microsoft 的 IIS5 .
目前 IIS5 如果不好好照顧,的確會是大問題,台灣的金融業大多使用 Microsoft 系統
而安全稽核的素質又很差,所以漏洞百出
所以以後出事就當澳客好了,就推說你們的系統被 hacker 攻進去過,你怎麼證明我的帳
號沒有被盜用。

被 hacker 不知道是日盛的那一個站台,連結
日盛金控被 hacker

好吧,如果有用 IIS5,可以用華駿國際出的 SafetyWeb 擋下許多
攻擊,如果你有 IIS5 放在外面,可以考慮去買一套,記得要報我皮皮的名字,看會不會打折 :p

更新, 華駿國際原先開發SafetyWeb的台灣 RD 工程師己經全部離職, 聽說目前是在大陸開發.
由於華駿經營者及技術團隊己非原先團隊, 本人不再建議購買華駿國際的產品. 特此聲明.

Web Worm

這世界真是驚奇…. 果然 Google 是邪惡的

有一隻 Worm 透過 Google Search 有漏洞的 phpBB , 再從這個管道散播出去….

Net worm using Google to spread