×

Help Tweakers weer winnen!

Tweakers is dit jaar weer genomineerd voor beste nieuwssite, beste prijsvergelijker en beste community! Laten we ervoor zorgen dat heel Nederland weet dat Tweakers de beste website is. Stem op Tweakers en maak kans op mooie prijzen!

Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Zit/zat er malware in een jpg?

Pagina: 1
Acties:

  • WOstudent
  • Registratie: mei 2017
  • Laatst online: 07-08 11:08
Hoi,

Laatst stuurde een (vrijwel) onbekende mij een linkje toe, linkje ging naar een jpg (ja, ook bij hoveren was het een jpg). Ik snap dat je voorzichtig moet zijn met klikken op het internet, maar een jpg kan weinig kwaad dacht ik.

Enkele minuten nadat ik op de link had geklikt kreeg ik een nieuwe reactie, waarin hij mijn ip-adres (or range) vertelde, en dus ineens wist waar ik woonde.

Er zijn natuurlijk tig manieren waarop iemand hier achter kan komen, maar ik heb toch het idee dat het met die jpg te maken had.

Virustotal geeft in ieder geval geen enkele melding. Er zit exif data in het bestandje, en de jpg was ook gehost op die persoon z'n eigen server (vermoed ik, zelfde registratieadres als een andere site van hem, allebei op een soort "dummy"persoon in het buitenland) Op internet vond ik wel wat over exif-data malware, maar ik heb dit nog niet kunnen achterhalen. Heb het plaatje via TOR nogmaals bekeken, gedownload als .txt. In notepad en notepad++ begint het met een hoop "hokjes" en speciale tekens. Hoe kan ik die tekens ontcijferen of dit bestand verder inspecteren?

Ik wil ook best een linkje geven, maar weet niet wat policy daarover is.

WOstudent wijzigde deze reactie 16-06-2017 16:02 (5%)


Acties:
  • +4Henk 'm!

  • krietjur
  • Registratie: februari 2001
  • Laatst online: 20:54

krietjur

Where am I?

Je geeft zelf al aan dat de jpg gehost was op zijn eigen server.. dus een fluitje van een cent om uit de logs van die server je ip-adres te achterhalen ;)

  • KirovAir
  • Registratie: september 2009
  • Laatst online: 21-10 01:29
Een JPG wordt geserveerd van een server. Op het moment dat jij de JPEG opvraagt weet de server vanaf welk IP adres het verzoek komt. Op zich geen hocus pocus of malware aan de pas gekomen. ;)

"The only thing more dangerous than a hardware guru with a code patch is a programmer with a soldering iron."


  • Rannasha
  • Registratie: januari 2002
  • Laatst online: 23:50

Rannasha

aka "Species5618"

quote:
WOstudent schreef op vrijdag 16 juni 2017 @ 16:00:
Enkele minuten nadat ik op de link had geklikt kreeg ik een nieuwe reactie, waarin hij mijn ip-adres (or range) vertelde, en dus ineens wist waar ik woonde.
Hij heeft in z'n server logs gekeken en daarin stond gewoon netjes het IP adres waar jij het request vandaan hebt verstuurd. Daarna kan hij het IP adres door een van de talloze online tooltjes hebben gehaald om er een locatie aan te koppelen.

Dutch StarCraft League || Vierkant voor Wiskunde || Olympus OM-D E-M1 MkII, 9-18, 12-40, 40-150, 70-300, 50


  • WOstudent
  • Registratie: mei 2017
  • Laatst online: 07-08 11:08
Ah, ik wist niet dat servers dat bijhielden. Dacht dat je dan al gauw tracking code nodig zou hebben, had niet verwacht dat jpg requests ook in een log kwamen. Bedankt!

Acties:
  • +1Henk 'm!

  • F_J_K
  • Registratie: juni 2001
  • Niet online

F_J_K

Moderator SWS

Front verplichte underscores

Iedere request kan in een log komen. Incl veel info over de browser.

Overigens is het niet onmogelijk om malware in een .jpg te hebben (theoretisch: misbruik van een bug in browser, foto viewer of OS), alleen in dit geval volkomen overbodig en zeer onwaarschijnlijk - zeker als je fatsoenlijk je OS, browser en andere applicaties uptodate laat.

F_J_K wijzigde deze reactie 16-06-2017 16:10 (2%)
Reden: theoretisch:

'Multiple exclamation marks,' he went on, shaking his head, 'are a sure sign of a diseased mind' (Terry Pratchett, Eric)


  • DJMaze
  • Registratie: juni 2002
  • Niet online
quote:
WOstudent schreef op vrijdag 16 juni 2017 @ 16:00:
In notepad en notepad++ begint het met een hoop "hokjes" en speciale tekens. Hoe kan ik die tekens ontcijferen of dit bestand verder inspecteren?
Met een hex-editor

Maak je niet druk, dat doet de compressor maar


  • jan99999
  • Registratie: augustus 2005
  • Laatst online: 23:09
quote:
WOstudent schreef op vrijdag 16 juni 2017 @ 16:00:
Hoi,

Laatst stuurde een (vrijwel) onbekende mij een linkje toe, linkje ging naar een jpg (ja, ook bij hoveren was het een jpg). Ik snap dat je voorzichtig moet zijn met klikken op het internet, maar een jpg kan weinig kwaad dacht ik.
En hier maak je een grote fout.
Tav veiligheid is dit zeer gevaarlijk, en dit zou je nooit moeten doen.
En er over hoveren, en dan info vinden!, dit is /kan gebruikt worden om je voor de gek te houden, want wat je ziet hoeft niet waar te zijn.

En van vreemde iets openen, hoe d........

En voor als je niet weet, in office zit een fout, dat al je over een link hover doet, je pc helemaal over genomen kan worden.

Denk er aan, dat wat iedere gebruiker als normaal vind, een hacker/virus daar gaat zitten, en gebruik van de normale werk methode van gebruikers.
Bijv inloggen op websites, via google /facebook inlog, dit moet je natuurlijk nooit doen, want dit kan onderschept worden.

Veel virussen komen binnen via mail, dit ligt dus aan de gebruiker zelf.

Elke file kan je hacken.
Bij een zero day fout in software, kan alles je hacken, want op dat moment ben je niet veilig.
jpg, zelfs je lettertypes kan je hacken, dus via je eigen software wordt je dus gehackt, dus alles van vreemde personeen is gevaarlijjk.
En updaten is zeer belangrijk.
En het liefst zwaarder beveiligen, dan de rest van de gebruikers.
En nog beter linux gebruiken.

jan99999 wijzigde deze reactie 16-06-2017 16:24 (14%)


Acties:
  • +1Henk 'm!

  • Icekiller2k6
  • Registratie: februari 2005
  • Laatst online: 21:11
Het is ook mogelijk dat de "jpg" eigenlijk een PHP page is... die dan code uitvoert en dan $_SERVER['HTTP_USER_AGENT'] ofzo uitvoert.. en dan kun je met PHP een Jpg 'file' on the fly genereren...

bv http://php.net/manual/en/function.imagejpeg.php

Icekiller2k6 wijzigde deze reactie 16-06-2017 16:20 (12%)

Hackerspace Brixel te Hasselt (BE) - http://www.brixel.be


  • RiDo78
  • Registratie: juli 2002
  • Niet online
quote:
WOstudent schreef op vrijdag 16 juni 2017 @ 16:05:
Ah, ik wist niet dat servers dat bijhielden. Dacht dat je dan al gauw tracking code nodig zou hebben, had niet verwacht dat jpg requests ook in een log kwamen. Bedankt!
Sterker nog, het is zelfs mogelijk dat een webserver het plaatje on-the-fly even aanpast om jouw IP-adres er in te zetten. Ook kan een plaatje ter plekke gegenereerd zijn.

En, een *.jpg file hoeft geen jpeg-afbeelding te zijn. Het kan ook een ander filetype zijn omdat de extentie in de communicatie tussen een webserver en webbrowser vaak ondergeschikt is. Het is het mime-type wat telt. Als de server opgeeft dat plaatje.jpg een image/gif is dan zal de browser in eerste instantie proberen om het plaatje zichtbaar te maken met de gif-routines. Als dat niet lukt dan kan de browser andere routines proberen.

Maar het is juist die methode die er voor zorgt dat je wel eens een grafiek ziet met als naam/URI iets als 'grafiek.php' of 'grafiek.php?freespace=10'. PHP maakt het plaatje dan on-the-fly, roept tegen de webbrowser dat er een document met mime-type image/... aankomt en gooit de ruwe data er achteraan. De browser weet dan precies wat hij moet doen: een plaatje tonen.

  • WOstudent
  • Registratie: mei 2017
  • Laatst online: 07-08 11:08
Ik vermoed dat het inderdaad gewoon een plaatje was.

Onderstaande is het begin van de jpg, via de hex editor zoals gesuggereerd werd (hierna begint de normaal leesbare exif data). Vergeef me de volgende domme vraag, maar ik ben nu gewoon even nieuwsgierig: hoe lees je "hex"? Moet dit nog weer door een ander programma gehaald worden?

hex
quote:
FF D8 FF E0 00 10 4A 46 49 46 00 01 01 01 03 60 03 60 00 00 FF E1 02 6C 45 78 69 66 00 00 4D 4D 00 2A 00 00 00 08 00 0B 01 06 00 03 00 00 00 01 00 02 00 00 01 0E 00 02 00 00 00 FD 00 00 00 92 01 12 00 03 00 00 00 01 00 01 00 00 01 1A 00 05 00 00 00 01 00 00 01 90 01 1B 00 05 00 00 00 01 00 00 01 98 01 28 00 03 00 00 00 01 00 03 00 00 01 31 00 02 00 00 00 26 00 00 01 A0 01 32 00 02 00 00 00 14 00 00 01 C6 01 3B 00 02 00 00 00 14 00 00 01 DA 82 98 00 02 00 00 00 20 00 00 01 EE 87 69 00 04 00 00 00 01 00 00 02 0E 00 00 00 00
Text naast de hex
quote:
 ě Ó..JFIF.....`.`.. ß.lExif..MM.*.........................ř...’...................................˜.(...........1.....&...á.2.........Ă.;.........┌‚˜..... ...ţ‡i..............

  • Cheezus
  • Registratie: februari 2001
  • Laatst online: 21:53

Cheezus

Luiaard

Je leest gewoon alle eentjes en nullen uit in het bestand maar dan gepresenteerd in hexadecimale bytes. Hoe deze eentjes en nullen ge´nterpreteerd ('gelezen') moeten worden hangt af van het type bestand. Die .jpg 'lees' je dus met je favoriete image viewer, een .txt kun je nog lezen omdat het gewoon ascii karakters zijn maar een .doc zul je weinig leesbare karakters vinden. Je zult eerst de documentatie van een bestandsformaat moeten uitpluizen (als die er is) om er achter te komen hoe je iets moet lezen.

Acties:
  • +1Henk 'm!

  • RiDo78
  • Registratie: juli 2002
  • Niet online
quote:
WOstudent schreef op vrijdag 16 juni 2017 @ 20:30:
Vergeef me de volgende domme vraag, maar ik ben nu gewoon even nieuwsgierig: hoe lees je "hex"? Moet dit nog weer door een ander programma gehaald worden?
Wat Cheezus zegt is waar, je 'leest' hex met je een programma die het bestandsformaat kan ontcijferen. Maar dat is waarschijnlijk niet het antwoord op je eigenlijke vraag...

Gezien jouw naam, vermoed ik dat je enige wiskundige achtergrond hebt en dat je mij begrijpt als ik zeg dat hex-code niets meer of minder is dan een poging om het tweetallig talstelsel waar de computer mee werkt om te zetten naar iets wat een mens kan relativeren/onthouden. Met andere woorden:
code:
1
0b01000001 = 0x41

oftewel 10000012 = 4116
Zeg nu zelf, welke van de twee is makkelijker te onthouden? De linker (binair) of rechter (hexadecimaal)?

Om teksten weer te geven heb je natuurlijk niets aan een hexadecimaal talstelsel, dat kent enkel de cijfers 0-9 en A-F. Maar met 2 hexadecimale cijfers heb je toch al 16x16 = 256 mogelijkheden. Dus het moet wel mogelijk zijn om daar op een of andere manier tekst in op te slaan toch? Ik bedoel, er past bijna 10x het alphabet in! Dat heeft men dus ook gedaan. In de welbekende ASCII-standaard is vastgelegd welke hexwaarde welk teken vertegenwoordigt. 0x41 is dus de hoofdletter A.

Om het makkelijker te maken doet bijna elke Hex-editor al een poging tot omzetting van de hex-codes naar Ascii. Ik zeg bewust 'poging tot' omdat er ook stuurtekens in kunnen zitten zoals 'backspace' of 'escape' en de Ascii-standaard ook maar 128 tekens omvat. Effectief kunnen enkel de cijfers 0x20 tot en met 0x7E worden omgezet. Vandaar dat je in je hexeditor wel teksten ziet als 'JFIF' en 'EXIF' maar veel meer placeholders (puntjes, blokjes, spaties). In dit voorbeeld zijn 'JFIF' en 'EXIF' gewoon leesbare afkortingen voor: 'Jpeg File Interchange Format' en 'Exchangable Image Format'. De overige tekens die je in de 'ASCII' tekst ziet, zijn waarschijnlijk gewoon toeval.

Bedenk altijd dat de 'oude' bestandsformaten zo ruimtebesparend mogelijk zijn opgesteld en dus niet gemaakt zijn om voor het menselijk oog leesbaar te zijn. Dat er vaak toch een leesbaar component in zit heeft te maken met het feit dat het gemiddelde file-formaat wel een paar unieke herkenningspunten bevat zodat een programma die het document opent kan vaststellen hoe het formaat geinterpreteerd moet worden. Die zijn vaak voor het gemak ook leesbaar voor de mens. Dus JFIF voor JPEG, GIF98a voor GIF formaat 98a, PDF1.2 voor PDF versie 1.2, enz. Als er bijvoorbeeld in een bestand moet worden opgeslagen dat de ingesloten afbeelding 1024x786 pixels bevat in 16 milioen kleuren, dan kun je iets verwachten als:
code:
1
04 00 03 00 10

. Je kunt die formaten dus niet 'lezen' zonder dat je weet hoe ze zijn opgesteld.

Nieuwere bestandformaten zijn vaak wel leesbaar of kunnen dat eenvoudig gemaakt worden. Denk dan bijvoorbeeld aan de direct leesbare HTML of XML bestanden. Of neem de verschillende office-documenten (odf / docx / xlsx), dat zijn eigenlijk zipfiles met XML en andere bestanden.

  • frickY
  • Registratie: juli 2001
  • Laatst online: 21:43
Je IP is


Een webserver weet vanaf welk IP een plaatje wordt opgehaald. In dit geval wordt dat IP in het plaatje zelf gestopt.
Schrik niet; wij zien niet hetzelfde plaatje als jou, net als dat jij niet mijn IP in jouw plaatje ziet.

Zie http://www.ipnow.org/ wat een server allemaal kan zien als je daar een bestandje op opent.

edit:
Ouch. De HTTPS proxy van Tweakers gooit roet in het eten

frickY wijzigde deze reactie 19-06-2017 13:04 (88%)


  • Chrisz
  • Registratie: mei 2005
  • Laatst online: 20-10 16:55
quote:
frickY schreef op maandag 19 juni 2017 @ 09:07:
Je IP is
[afbeelding]

Een webserver weet vanaf welk IP een plaatje wordt opgehaald. In dit geval wordt dat IP in het plaatje zelf gestopt.
Schrik niet; wij zien niet hetzelfde plaatje als jou, net als dat jij niet mijn IP in jouw plaatje ziet.

Zie http://www.ipnow.org/ wat een server allemaal kan zien als je daar een bestandje op opent.
Ik krijg het IP adres van Tweakers.net te zien. Net als iedereen hier, dus we zien wel allemaal hetzelfde plaatje. ;)

Chrisz wijzigde deze reactie 19-06-2017 09:15 (10%)

Mijn gaming rigs | Steam: xitro01 | Cozen Gaming TeamSpeak: ts.cozen.nl | PS4: Xitro1


Acties:
  • +1Henk 'm!

  • AW_Bos
  • Registratie: april 2002
  • Laatst online: 01:53

AW_Bos

⏰ Time after time ⏰

quote:
Icekiller2k6 schreef op vrijdag 16 juni 2017 @ 16:20:
Het is ook mogelijk dat de "jpg" eigenlijk een PHP page is... die dan code uitvoert en dan $_SERVER['HTTP_USER_AGENT'] ofzo uitvoert.. en dan kun je met PHP een Jpg 'file' on the fly genereren...

bv http://php.net/manual/en/function.imagejpeg.php
Dat kan, maar dat doet er niet aan toe in dit verhaal. Met beide manieren (serverlog webserver, of eigen gegenereerde image) kan je precies dezelfde data ophalen. Hoogste zou het laatste makkelijker zijn voor de diegene die aanvalt, die kan een makkelijke tool eromheen bouwen om het bij te houden.
quote:
Chrisz schreef op maandag 19 juni 2017 @ 09:13:
[...]

Ik krijg het IP adres van Tweakers.net te zien. Net als iedereen hier, dus we zien wel allemaal hetzelfde plaatje. ;)
Komt door de Camo proxy die Tweakers heeft geinstalleerd. Tenzij je hem via SSL zou serveren :P (staat die site niet toe, prutsers :P)
Maar normaal zou iedereen hun eigen IP-adres zien ;).

AW_Bos wijzigde deze reactie 19-06-2017 13:56 (23%)

🎵Inner joins, outer joins, oh wat een feest! 🎵
🎵Insert, Update en Select, die gebruik je toch het meest! 🎵


  • Kabouterplop01
  • Registratie: maart 2002
  • Laatst online: 21-10 10:50

Kabouterplop01

chown -R me base:all

Heb je al eens steganografie gezocht en met bijv. het tooltje steghide dat bestandje onderzocht?

  • deathgrunt
  • Registratie: maart 2009
  • Niet online

code:
1
AddHandler application/x-httpd-php5 .jpg


code:
1
2
3
4
5
6
7
8
9
10
<?php
$fh = fopen('ip_list.txt', 'a');
fwrite($fh, $_SERVER['REMOTE_ADDR']."
");
fclose($fh);
$im = imagecreatefromjpeg("n00b.png");
header('Content-Type: image/jpeg');
imagejpeg($im);
imagedestroy($im);
?>

Eerste is een .htaccess file, de tweede een php-scriptje.

Samen zorgen ze er voor dat je denkt een JPG te openen, maar feitelijk open je eerst een PHP-code die vervolgens een JPG uitspuugt.

Los daarvan...

http://php.webtutor.pl/en...-carried-in-a-jpeg-image/

http://thehackernews.com/2016/10/openjpeg-exploit-hack.html

https://www.sophos.com/en...9/va_critical16sep04.aspx

En er zijn zat voorbeelden van malafide linkjes die al actief worden als je 'hovered', helaas...

https://deathgrunt.com/tmp/image.gif

  • deathgrunt
  • Registratie: maart 2009
  • Niet online
- edit - Ja, flauw... maar alle IP's en meta-data van deze thread worden nu hier getracked...

https://deathgrunt.com/tmp/logger.html

  • deathgrunt
  • Registratie: maart 2009
  • Niet online
whatever, eigenlijk is het ook logisch;

je bekijkt een afbeelding, en dus word je getracked...

deathgrunt wijzigde deze reactie 27-06-2017 01:42 (78%)

Pagina: 1


Apple iPhone X Google Pixel 2 XL LG W7 Samsung Galaxy S8 Google Pixel 2 Sony Bravia A1 OLED Microsoft Xbox One X Apple iPhone 8

© 1998 - 2017 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Hardware.Info de Persgroep Online Services B.V. Hosting door True

*