Posts by K.Rens

  • Linux certificaat

    Zo'n certificerings-programma's zijn bijna altijd slimme economische trucjes om geld te verdienen met iets.
    Om een certificaat moet je een dure cursus volgen, verplicht bij hun en daarna een duur examen afleggen...

    Ik hoop dat het geen geld-verdien-trucje is. Want dan doe ik zeker niet mee. ;)

  • UTAdRemovalApp 2.0

    Wat een raar bedrijfsbeleid.

    UTAdRemovalApp is een zware malware, die zoals een rootkit zich diep in je systeem nestelt.
    Het toont extra pop-ups en banners bij op sites.
    Waarschijnlijk is het gewoon verwijderen van wat bestanden en het registery niet genoeg.

    Wat ik zou doen, indien mogelijk is:
    1) Vragen aan je dienst IT om dit voor jou op te lossen.
    Ze hebben admin rechten en kunnen dit soort zaken wel doen.
    Bovendien worden ze er voor betaald en kost het je zo geen tijd.

    2) Indien dat niet lukt:
    je kan proberen je google chrome te resetten.
    Bij hun help of instellingen staat ergens bij geavanceerd een optie om je gehele browser te resetten.
    Als het na de reset er nog in staat, is het zeker dat de rootkit diep in je systeem zit.
    Ik zou ook zeker eens hitman pro draaien op je systeem.
    Deze vindt meestal vrij veel en kan het redelijk opkuisen.

  • Wordpress site / Localhost HELP!

    Oei, wat maakt men het ingewikkeld in die tutorial...
    Slecht.

    Het is echt super simpel:
    1) maak een export van je database via phpmyadmin
    2) download de site gegevens via (s)ftp
    3) upload de bestanden naar de nieuwe server via (s)ftp en importeer de database
    4) wijzig je config.inc.php bestand zodat de juiste database gegevens worden gebruikt.
    5) ga naar de tabel wp_options en verander overal de url naar de nieuwe url en de interne mappenstructuur van de server naar de nieuwe.
    Bv:
    /home/user/public_html/
    naar
    /var/www/userb/public_html/

    En dan zou het moeten werken. :)
    Zorg er wel voor dat je bestanden op de nieuwe server dezelfde rechten hebben.
    Dat er kan worden geschreven naar de juiste mappen bij uploads.

    Succes en bij problemen: hier meteen vragen! ;)

    @Ferhat, offtopic: indien de localhost mysql enkel via localhost benaderbaar is, kan het niet veel kwaad om root zonder wachtwoord te gebruiken.
    Enkel op de productie server moet je inderdaad een goed lang wachtwoord hebben.

  • Winnaar Juli blog

    Het moment is eindelijk aangebroken....
    De winnaar van onze Juli blog wedstrijd is:
    ...
    ...
    ...
    Ferhat
    Met zijn blog: Algemene Wordpressproblemen oplossen

    Hij wint een eenjarige .nl domeinnaam of een hostingpakket o.b.v. DirectAdmin met 1,5GB opslag en 15GB dataverkeer per maand (eigen keuze).
    Deze prijzen worden maandelijks verzorgd door Solutsoft International.

    Nogmaals bedankt aan alle deelnemers!
    Koen en het ICTscripters team

  • Oneplus One

    Dat ligt aan de apps eerder denk ik. ;)

    Ik heb zonet al mijn gewicht in de schaal gelegd om zo een toestel vast te krijgen, ik ben benieuwd.
    Ik hou jullie op de hoogte als ik hem heb en nadien de invites krijg.

  • Oneplus One

    Wat is de link?
    Als het niet te duur is en er veel leden dit willen, kan ik eventueel kijken om dit te kopen van het icts reclame budget.
    Dan worden de adsense inkomsten (dankzij jullie kliks ^^) hierin geïnvesteerd. :p

  • Oeps: gehackt sql injectie

    Ja hoor, maar zelfs dan is het nuttig.
    Alle providers van alle ip's hebben geantwoord dat ze hun klant hebben gewaarschuwd.
    Dus als het botnet is, weten nu tenminste de mensen dat hun computer gehackt is of deel is van een botnet.

  • Oeps: gehackt sql injectie

    Geen nood, heb de ip's ondertussen verwijderd.
    Verder gaat Telfort de zaak onderzoeken en een waarschuwing geven aan hun klant.

    Het jammere is dat rechtzaken zo lang duren, zucht.
    Als ze al niet geseponeerd worden.

    Update: vandaag probeerde de aanvaller vanuit een ander ip opdrachten uit te voeren zoals:
    pagina.php?parameter='&&BeNChMaRK(2999999,mD5(NOW()))&&'1
    Verder probeerde hij ook een aantal sleep commando's uit te voeren, om zo de database veel open verbindingen te krijgen.
    Lijkt dus alsof hij wraak wilt nemen, maar dat dit niet lukt...
    De opdrachten werken gelukkig niet meer.

  • Oeps: gehackt sql injectie

    Sorry, het was al laat ;)

    Verder heb je absoluut gelijk: ik overtreed de regels hier.
    Desondanks is er een klein verschil:
    Hier kies ik er bewust voor om iets illegaals te doen, ik deel privacy gevoelige gegevens.
    De volledige verantwoordelijkheid ligt dan ook bij mij.

    Als jullie privé gegevens posten, ben ik er mee voor verantwoordelijk, terwijl ik dit dan onbewust doe en het zelfs niet weet.

    Ik zal de ip's straks weghalen. Ik hoop ondertussen op een gouden tip van een van de leden hier.

    Ps: heb nog een derde ip gevonden van de aanvaller. Dit zou wel eens zijn thuis ip kunnen zijn, want het begint met wat af te tasten. Deze deel ik hier niet.

  • Oeps: gehackt sql injectie

    Ja, zelfs de besten maken fouten.
    Ik heb zonet ontdekt dat ik een sql injectie foutje had gemaakt in Onlinegamemanager.com => Start your own free game! ***

    De fout kwam doordat een bepaalde functie een waarde controleerde, maar aangezien deze controle enkel in die ene functie zat, heb ik er niet aan gedacht dit een jaar later in een andere nieuwe functie ook te doen.
    Ik ging er vanuit dat de input werd gefilterd in het begin van het script en heb dit niet gecontroleerd.

    Ik merkte dit doordat er hoge load was op de mysql database en er veel nginx foutmeldingen waren opeens op een van mijn servers.

    Deze url werd aangeroepen bv in de logs:
    pagina.php?parameter=de11111111111111111111111111%27 UNION SELECT CONCAT(CHAR(100,100,100),CHAR(91,88,93),GROUP_CONCAT(t.email),CHAR(91,88,88,93)) FROM (SELECT email FROM main.`options` WHERE `email` LIKE char(37,64,37) LIMIT 845,20)t limit 0,1 -- /* order by %27as

    Dit toont verder ook aan dat de persoon al vrij veel te weten was gekomen van mijn database structuur:
    hij wist de juiste tabel naam, welke velden in die tabellen zaten en was er bijna achter hoe de gegevens eruit te krijgen.
    Had ik 5 minuten later gereageerd, had hij alle gegevens in de tabel kunnen binnenhalen.
    Hij heeft wel wat buit gemaakt waarschijnlijk, een aantal email adressen, maar ik was er gelukkig snel bij.
    Zo te zien heeft hij vooral de oudere email adressen gestolen, welke voor 95% niet meer werken.

    Een tweede aanval zag er zo uit:
    =-4802%27 UNION ALL SELECT (SELECT CONCAT(0x71726e6571%2CIFNULL(CAST(email AS CHAR)%2C0x20)%2C0x6d697279656c%2CIFNULL(CAST(pass AS CHAR)%2C0x20)%2C0x7168696471) FROM main.%60%5Busers%5D%60 LIMIT 859%2C1)%23

    Ik zie pass erin staan, maar zo noemt dat veld niet. Ik denk dus niet dat hij het wachtwoord heeft kunnen stelen.
    Dat is bovendien ook uniek encrypted per user, met aparte salts. Oef.
    De query had gelukkig ook een LIMIT 1 op het einde, waardoor hij rij per rij eruit diende te halen.

    Wil je mee op onderzoek wie het was?
    Dit zijn de aanvallende ip's:
    - xxx.ip.telfort.nl => Klacht ingediend bij Telfort, eigenaar ip krijgt waarschuwing
    - xxx Hostname:killerbasement.tk => af laten sluiten
    (Ip's verwijderd)

    Conclusie:
    - reageer meteen in geval je opeens snel veel foutmeldingen hebt in je logs
    - kijk meteen naar welke queries er draaien op dat moment en hou je ogen open voor rare dingen
    - gebruik een LIMIT 1 op je queries waar nodig
    - altijd denken aan sql injectie

    Krijgen jullie die 2de query terug vertaald naar mensentaal? :)

  • Nieuwe ICTscripters

    Update 2 van de dag:
    vanaf heden zijn de menu kopjes ook klikbaar.
    Klik je bv op de titel "Latest posts in ICT news", dan ga je meteen naar het bijhorende forum overzicht.

    Oef, eindelijk. Het bleek uiteindelijk heel simpel, maar lang voor moeten zoeken in de code...