En liten kodesnutt fra en side som ligger på en server som tilhører "Telenor Research and Development".
<html> <head> <title> Online Payment, Merchant Accounts, Credit Card Processing - PayPal </title> <META HTTP-EQUIV="Refresh" CONTENT="0;URL=http://heydasch. net/vv/pics/paypal"> </head>
<body></body> </html>
Linken var http://coob.tele.no/ajaxexplorer/logon.php (nå tatt ned).
I et forsøk på å si det enkelt:
På en av Telenors servere ligger det en webside med tittelen "Online Payment, Merchant Accounts, Credit Card Processing - PayPal" som automatisk omdirigerer deg til en webside på et annet nettsted, heydasch.net. Som høyst sannsynlig også er hacket.
Et skjermbilde fra heydasch.net (klikk på det for et større):
Ser ut som en innlogging til PayPal, men se på linken.
Dette er en klassisk "phish page" hvor hackeren/spammeren prøver å lure deg til å gi fra deg ditt brukernavn og passord.
Jeg får som regel noen slike spam i uka, enten det er PayPal eller banker.
Det er imidlertid svært sjelden jeg ser at norske servere er involvert.
Det ligger også noen andre filer i et annet directory på den samme serveren til Telenor.
Blant annet ei som inneholder linker til en nedlasting av fila "SuperTare.scr".
Denne gjenkjennes av flere antivirusprodusenter som en "bakdør" til maskina di.
Se analyse hos virustotal.com.
I tillegg ligger det ei lita loggfil tilgjengelig. Ser ut som om det har vært noen forsøk fra en rumensk IP-adresse, Romania er et skummelt "nettland". Mye uhumskheter derifra.
Om de lyktes? Vet ikke. Siste treff (bortsett fra meg selv) ser ut til å være fra et universitet i USA, uten at jeg helt hva det betyr. Datoinnstillingene på serveren harmonerer ikke helt med norsk tid, så det er også litt vanskelig å fastslå når det kan ha skjedd noe.
Det ser til og med ut som om denne Telenorserveren er plassert her i Tromsø med IP-adressen 193.156.17.87:
% Information related to '193.156.17.0 - 193.156.17.255' inetnum: 193.156.17.0 - 193.156.17.255 netname: NTO5 descr: Norwegian Telecom Research, Tromso country: NO admin-c: KM39-RIPE tech-c: AG221 rev-srv: gorgon.tft.tele.no rev-srv: aun.uninett.no status: ASSIGNED PA mnt-by: UNINETT-MNT source: RIPE # Filtered person: Kurt Moen address: Telenor Research and Development address: N-1331 Fornebu address: Norway phone: +47 67 89 00 00 fax-no: +47 67 89 18 14 e-mail: kurt. moen@nta. no nic-hdl: KM39-RIPE source: RIPE # Filtered person: Anike Gardsjord address: Telenor Research and Developement address: N-1331 Fornebu address: Norway phone: +47 67 89 00 00 fax-no: +47 67 89 18 14 e-mail: Anike. Gardsjord@nta. no nic-hdl: AG221 source: RIPE # Filtered % Information related to '193.156.0.0/15AS224' route: 193.156.0.0/15 descr: UNINETT-AGG-2 origin: AS224 mnt-by: UNINETT-MNT source: RIPE # Filtered
Ser ut som om coob.tele.no virker.
Et par åpne directories, det ene er http://coob.tele.no/apache2-default/.
Med teksten: "It works". Javisst, som redirector for en hacker/spammer gjør den nå det.
Jeg tar en liten snarvei her og tenker at Telenor er Telenor. Uansett om det er forsking og utvikling eller sikkerhet.
Så kanskje Telenor Security Operation Centre burde ta en titt?
Etter eget utsagn: "Sikkerhetspersonell ved Telenor Security Operation Centre (TSOC) er på jobb døgnet rundt, og vil avdekke og rapportere mistenkelig aktivitet i ditt nettverk.".
De har ikke hatt "flaks" i Tromsø denne gangen, eller som Telenor selv skriver:
"Hackeren trenger bare flaks en gang. Du må ha flaks hele tiden!"
Et "Security Operation Centre" som operer med begrepet "flaks"?
Når de ikke har "flaks" med sine egne servere, hva da med kundenes?
Fant en e-postadresse på bloggen deres, så får vi se om det skjer noe.
De skal visstnok være til stede 24 timer i døgnet.
Oppdatering mandag 4. august, 10:35
Noen har tydeligvis reagert ganske nylig, innholdet er ikke tilgjengelig lenger.
