Zit/zat er malware in een jpg?

Je geeft zelf al aan dat de jpg gehost was op zijn eigen server.. dus een fluitje van een cent om uit de logs van die server je ip-adres te achterhalen

Een JPG wordt geserveerd van een server. Op het moment dat jij de JPEG opvraagt weet de server vanaf welk IP adres het verzoek komt. Op zich geen hocus pocus of malware aan de pas gekomen.

Verwijderd schreef op vrijdag 16 juni 2017 @ 16:00:
Enkele minuten nadat ik op de link had geklikt kreeg ik een nieuwe reactie, waarin hij mijn ip-adres (or range) vertelde, en dus ineens wist waar ik woonde.

Hij heeft in z'n server logs gekeken en daarin stond gewoon netjes het IP adres waar jij het request vandaan hebt verstuurd. Daarna kan hij het IP adres door een van de talloze online tooltjes hebben gehaald om er een locatie aan te koppelen.

Iedere request kan in een log komen. Incl veel info over de browser.

Overigens is het niet onmogelijk om malware in een .jpg te hebben (theoretisch: misbruik van een bug in browser, foto viewer of OS), alleen in dit geval volkomen overbodig en zeer onwaarschijnlijk - zeker als je fatsoenlijk je OS, browser en andere applicaties uptodate laat.

[ Voor 2% gewijzigd door F_J_K op 16-06-2017 16:10 . Reden: theoretisch: ]

Verwijderd schreef op vrijdag 16 juni 2017 @ 16:00:
In notepad en notepad++ begint het met een hoop "hokjes" en speciale tekens. Hoe kan ik die tekens ontcijferen of dit bestand verder inspecteren?

Met een hex-editor

Verwijderd schreef op vrijdag 16 juni 2017 @ 16:00:
Hoi,

Laatst stuurde een (vrijwel) onbekende mij een linkje toe, linkje ging naar een jpg (ja, ook bij hoveren was het een jpg). Ik snap dat je voorzichtig moet zijn met klikken op het internet, maar een jpg kan weinig kwaad dacht ik.

En hier maak je een grote fout.
Tav veiligheid is dit zeer gevaarlijk, en dit zou je nooit moeten doen.
En er over hoveren, en dan info vinden!, dit is /kan gebruikt worden om je voor de gek te houden, want wat je ziet hoeft niet waar te zijn.

En van vreemde iets openen, hoe d........

En voor als je niet weet, in office zit een fout, dat al je over een link hover doet, je pc helemaal over genomen kan worden.

Denk er aan, dat wat iedere gebruiker als normaal vind, een hacker/virus daar gaat zitten, en gebruik van de normale werk methode van gebruikers.
Bijv inloggen op websites, via google /facebook inlog, dit moet je natuurlijk nooit doen, want dit kan onderschept worden.

Veel virussen komen binnen via mail, dit ligt dus aan de gebruiker zelf.

Elke file kan je hacken.
Bij een zero day fout in software, kan alles je hacken, want op dat moment ben je niet veilig.
jpg, zelfs je lettertypes kan je hacken, dus via je eigen software wordt je dus gehackt, dus alles van vreemde personeen is gevaarlijjk.
En updaten is zeer belangrijk.
En het liefst zwaarder beveiligen, dan de rest van de gebruikers.
En nog beter linux gebruiken.

[ Voor 14% gewijzigd door jan99999 op 16-06-2017 16:24 ]

Het is ook mogelijk dat de "jpg" eigenlijk een PHP page is... die dan code uitvoert en dan $_SERVER['HTTP_USER_AGENT'] ofzo uitvoert.. en dan kun je met PHP een Jpg 'file' on the fly genereren...

bv http://php.net/manual/en/function.imagejpeg.php

[ Voor 12% gewijzigd door Icekiller2k6 op 16-06-2017 16:20 ]

Verwijderd schreef op vrijdag 16 juni 2017 @ 16:05:
Ah, ik wist niet dat servers dat bijhielden. Dacht dat je dan al gauw tracking code nodig zou hebben, had niet verwacht dat jpg requests ook in een log kwamen. Bedankt!

Sterker nog, het is zelfs mogelijk dat een webserver het plaatje on-the-fly even aanpast om jouw IP-adres er in te zetten. Ook kan een plaatje ter plekke gegenereerd zijn.

En, een *.jpg file hoeft geen jpeg-afbeelding te zijn. Het kan ook een ander filetype zijn omdat de extentie in de communicatie tussen een webserver en webbrowser vaak ondergeschikt is. Het is het mime-type wat telt. Als de server opgeeft dat plaatje.jpg een image/gif is dan zal de browser in eerste instantie proberen om het plaatje zichtbaar te maken met de gif-routines. Als dat niet lukt dan kan de browser andere routines proberen.

Maar het is juist die methode die er voor zorgt dat je wel eens een grafiek ziet met als naam/URI iets als 'grafiek.php' of 'grafiek.php?freespace=10'. PHP maakt het plaatje dan on-the-fly, roept tegen de webbrowser dat er een document met mime-type image/... aankomt en gooit de ruwe data er achteraan. De browser weet dan precies wat hij moet doen: een plaatje tonen.

Je leest gewoon alle eentjes en nullen uit in het bestand maar dan gepresenteerd in hexadecimale bytes. Hoe deze eentjes en nullen geïnterpreteerd ('gelezen') moeten worden hangt af van het type bestand. Die .jpg 'lees' je dus met je favoriete image viewer, een .txt kun je nog lezen omdat het gewoon ascii karakters zijn maar een .doc zul je weinig leesbare karakters vinden. Je zult eerst de documentatie van een bestandsformaat moeten uitpluizen (als die er is) om er achter te komen hoe je iets moet lezen.

Verwijderd schreef op vrijdag 16 juni 2017 @ 20:30:
Vergeef me de volgende domme vraag, maar ik ben nu gewoon even nieuwsgierig: hoe lees je "hex"? Moet dit nog weer door een ander programma gehaald worden?

Wat Cheezus zegt is waar, je 'leest' hex met je een programma die het bestandsformaat kan ontcijferen. Maar dat is waarschijnlijk niet het antwoord op je eigenlijke vraag...

Gezien jouw naam, vermoed ik dat je enige wiskundige achtergrond hebt en dat je mij begrijpt als ik zeg dat hex-code niets meer of minder is dan een poging om het tweetallig talstelsel waar de computer mee werkt om te zetten naar iets wat een mens kan relativeren/onthouden. Met andere woorden:
oftewel 1000001₂ = 41₁₆
Zeg nu zelf, welke van de twee is makkelijker te onthouden? De linker (binair) of rechter (hexadecimaal)?

Om teksten weer te geven heb je natuurlijk niets aan een hexadecimaal talstelsel, dat kent enkel de cijfers 0-9 en A-F. Maar met 2 hexadecimale cijfers heb je toch al 16x16 = 256 mogelijkheden. Dus het moet wel mogelijk zijn om daar op een of andere manier tekst in op te slaan toch? Ik bedoel, er past bijna 10x het alphabet in! Dat heeft men dus ook gedaan. In de welbekende ASCII-standaard is vastgelegd welke hexwaarde welk teken vertegenwoordigt. 0x41 is dus de hoofdletter A.

Om het makkelijker te maken doet bijna elke Hex-editor al een poging tot omzetting van de hex-codes naar Ascii. Ik zeg bewust 'poging tot' omdat er ook stuurtekens in kunnen zitten zoals 'backspace' of 'escape' en de Ascii-standaard ook maar 128 tekens omvat. Effectief kunnen enkel de cijfers 0x20 tot en met 0x7E worden omgezet. Vandaar dat je in je hexeditor wel teksten ziet als 'JFIF' en 'EXIF' maar veel meer placeholders (puntjes, blokjes, spaties). In dit voorbeeld zijn 'JFIF' en 'EXIF' gewoon leesbare afkortingen voor: 'Jpeg File Interchange Format' en 'Exchangable Image Format'. De overige tekens die je in de 'ASCII' tekst ziet, zijn waarschijnlijk gewoon toeval.

Bedenk altijd dat de 'oude' bestandsformaten zo ruimtebesparend mogelijk zijn opgesteld en dus niet gemaakt zijn om voor het menselijk oog leesbaar te zijn. Dat er vaak toch een leesbaar component in zit heeft te maken met het feit dat het gemiddelde file-formaat wel een paar unieke herkenningspunten bevat zodat een programma die het document opent kan vaststellen hoe het formaat geinterpreteerd moet worden. Die zijn vaak voor het gemak ook leesbaar voor de mens. Dus JFIF voor JPEG, GIF98a voor GIF formaat 98a, PDF1.2 voor PDF versie 1.2, enz. Als er bijvoorbeeld in een bestand moet worden opgeslagen dat de ingesloten afbeelding 1024x786 pixels bevat in 16 milioen kleuren, dan kun je iets verwachten als: . Je kunt die formaten dus niet 'lezen' zonder dat je weet hoe ze zijn opgesteld.

Nieuwere bestandformaten zijn vaak wel leesbaar of kunnen dat eenvoudig gemaakt worden. Denk dan bijvoorbeeld aan de direct leesbare HTML of XML bestanden. Of neem de verschillende office-documenten (odf / docx / xlsx), dat zijn eigenlijk zipfiles met XML en andere bestanden.

Je IP is


Een webserver weet vanaf welk IP een plaatje wordt opgehaald. In dit geval wordt dat IP in het plaatje zelf gestopt.
Schrik niet; wij zien niet hetzelfde plaatje als jou, net als dat jij niet mijn IP in jouw plaatje ziet.

Zie http://www.ipnow.org/ wat een server allemaal kan zien als je daar een bestandje op opent.

[ Voor 88% gewijzigd door frickY op 19-06-2017 13:04 ]

frickY schreef op maandag 19 juni 2017 @ 09:07:
Je IP is
[afbeelding]

Een webserver weet vanaf welk IP een plaatje wordt opgehaald. In dit geval wordt dat IP in het plaatje zelf gestopt.
Schrik niet; wij zien niet hetzelfde plaatje als jou, net als dat jij niet mijn IP in jouw plaatje ziet.

Zie http://www.ipnow.org/ wat een server allemaal kan zien als je daar een bestandje op opent.

Ik krijg het IP adres van Tweakers.net te zien. Net als iedereen hier, dus we zien wel allemaal hetzelfde plaatje.

[ Voor 10% gewijzigd door Chrisz op 19-06-2017 09:15 ]

Icekiller2k6 schreef op vrijdag 16 juni 2017 @ 16:20:
Het is ook mogelijk dat de "jpg" eigenlijk een PHP page is... die dan code uitvoert en dan $_SERVER['HTTP_USER_AGENT'] ofzo uitvoert.. en dan kun je met PHP een Jpg 'file' on the fly genereren...

bv http://php.net/manual/en/function.imagejpeg.php

Dat kan, maar dat doet er niet aan toe in dit verhaal. Met beide manieren (serverlog webserver, of eigen gegenereerde image) kan je precies dezelfde data ophalen. Hoogste zou het laatste makkelijker zijn voor de diegene die aanvalt, die kan een makkelijke tool eromheen bouwen om het bij te houden.

Chrisz schreef op maandag 19 juni 2017 @ 09:13:
[...]

Ik krijg het IP adres van Tweakers.net te zien. Net als iedereen hier, dus we zien wel allemaal hetzelfde plaatje.

Komt door de Camo proxy die Tweakers heeft geinstalleerd. Tenzij je hem via SSL zou serveren (staat die site niet toe, prutsers )
Maar normaal zou iedereen hun eigen IP-adres zien .

[ Voor 23% gewijzigd door AW_Bos op 19-06-2017 13:56 ]

Heb je al eens steganografie gezocht en met bijv. het tooltje steghide dat bestandje onderzocht?