165 μηνύματα σε αυτό το θέμα

[puzzle]

Κάνατε jailbreak τη συσκευή σας.Θέλατε να δοκιμάσετε ''άλλες'' εφαρμογές ή να πειράξετε το interface του λειτουργικού.Πιθανόν να το κάνατε χωρίς να αλλάξετε το root password.
Πολύ πιθανόν να έχετε μολυνθεί απο ιούς και να είναι εκτεθειμένες οι πληροφορίες σας ακόμα και πιθανόν τραπεζικοί λογαριασμοί και κωδικοί που έχετε φυλαγμένοι στο iphone σας.
Διάγνωση:
Αυτή τη στιγμή υπάρχουν 3 γνωστοί ιοί. Ikee worm.
Αν το background σας ξαφνικά άλλαξε απο μόνο του με μια φωτό ενός νέου αγοριού με το μνμ "ikee is never gonna give you up" τότε έχετε μολυνθεί με τον παραπάνω ιό.
Εχετε παρατηρήσει δραματική πτώση της μπαταρίας ενώ το κινητό σας είναι σε sleep mode πολύ πιθανόν να έχετε μολυνθεί απο τον παραπάνω ιό. Αυτο οφείλεται σε μια εφαρμογή που συνεχίζει και τρέχει στο background σας. Αν δοκιμάσατε να αλλάξετε το root pass και δεν δουλεύει πολυ πιθανόν να έχετε μολυνθεί γιατί αλλάζει αυτόματα sto default ssh password.
Ο παραπάνω ιός πολύ πιθανόν να έχει περαστεί απο το openssh γι αυτό προτείνεται η άμεση αλλαγή pass οταν το περνάτε στη συσκευή σας. Ομως μπορει να έχει περαστεί και απο οποιαδήποτε άλλη εφαρμογή που κατεβάσατε απο το cydia.
Εδώ αξίζει να σημειώσουμε πως μπορεί κάποιος να έχει μολυνθεί απο τον παραπάνω ιό και ας μην γίνεται αλλαγή της background εικόνας και να παρατηρεί μόνο την δραματική πτώση της μπαταρίας.
Λύση του προβλήματος:
Είναι πολύ εύκολο να ξεφορτωθούμε να τον Ikee worm.
Αρκει να μπούμε στο root της συσκευή μας με οποιονδήποτε τρόπο γνωρίζει και βολεύεται ο καθένας.Ακόμα και με το ifile απο την ίδια τη συσκευή μας.
Τι πρέπει να σβήσουμε:

/bin/poc-bbot
/bin/sshpass
/var/log/youcanbeclosertogod.jpg
/var/mobile/LockBackground.jpg
/System/Library/LaunchDaemons/com.ikey.bbot.plist
/var/lock/bbot.lock

Να πούμε αρχικά οτι επειδή εισβάλουμε στο root της συσκευής ότι κάνετε είναι με δική σας ευθύνη.
Οπως συνέβη και σε εμένα προσωπικά μπορεί να μην έχουν περαστεί όλα τα παραπάνω αλλα ορισμένα απο αυτά.Σε εμένα το 1,2,4,5 είχαν περαστεί.
Τα σβήνετε και θα δείτε μεγάλη αλλαγή στη διάρκεια της μπαταρίας σας.

Αν αυτό δεν πιάσει εναλλακτικά μπορείτε να σβήσετε τα παρακάτω:
/usr/libexec/cydia/startup
/usr/libexec/cydia/startup.so
/usr/libexec/cydia/startup-helper
/System/Library/LaunchDaemons/com.saurik.Cydia.Startup.plist

Σε αυτή τη περίπτωση S.O.S και μόνο για τα 4 παραπάνω αν υα σβήσετε θα πρέπει να ξαναπεράσετε το Cydia.
Με τους παραπάνω τρόπους τα περισσότερα προβλήματα λύνονται.
Ας αναφέρουμε όμως και τους άλλους δύο ιούς.

iPhone/Privacy.A
Είναι πολυ πιο δύσκολος να ανιχνευτεί γιατί δεν αφήνει κάποιο σημάδι στο τηλ μας. Ομως μπορεί να περαστεί σε οποιονδήποτε υπολογιστή. Σε αυτή τη περίπτωση θα πρέπει να βασιζόμαστε στο antivirus μας. Ενα update kai scan πολύ πιθανόν να το εντοπίσει αν η εκάστοτε εφαρμογή μας φυσικά είναι ενημερωμένη για τον ιό. Για Mac to Intego's VirusBarrier X5 κάνει τη δουλειά.

Unnamed Worm
Ο ιός που δεν έχει πάρει επίσημα κάποια ονομασία ακόμα, είναι πολυ εύκολος να εντοπιστεί.Πρόκειται για έναν ιό που τρέχει συνεχώς στο background και προσπαθεί να μολύνει και άλλα iphone μέσω wifi.O συγκεκριμένος ιός αλλάζει απο μόνος του τα default pass ώστε να μην μπορεί να εντοπιστεί.
Η μόνη λύση ειναι restore kai set as a new device και όχι restore from back up γιατί θα ξανα μολυνθείτε.

Για να μην μολυνθούμε ξανά η μόνη λύση είναι αλλαγή του root password.

Change Root Password:

1: Αν δεν έχετε ήδη το mobile terminal πηγαίνετε στο Cydia κατεβάστε το και reboot τη συσκευή.
2: Ανοίξτε το MobileTerminal και γράψτε su και πατήστε return.
3: Θα ερωτηθείτε για το password σας. Default password alpine , γράψτε alpine και πατείστε return.
4: Τώρα έχετε μπει στο iphone σας.Θα αλλάξουμε τώρα το root pass. Γράψτε passwd και πατείστε return. Να είστε σίγουροι οτι θα γράψετε το passwd σωστά.
5: Θα ρωτηθείτε να βάλετε ένα νέο κωδικό. Γράψτε οτι θέλετε για νέο κωδικό και πατείστε return.
6: Θα ρωτηθείτε να βάλετε το νέο κωδικό ξανά.Κάντε το και πατείστε return.

Αυτό ήταν έχετε αλλάξει το root pass με επιτυχία. Τώρα φροντίστε να μη το ξεχάσετε ποτέ.

Πηγή: @computerworld

Τελευταία επεξεργασία από: puzzle, 16/09/2010 - 07:55

[Alexakos3]

Θέλω να ρωτήσω κάτι μπορεί να θεωρηθεί και χαζομάρα αλλά αξίζει τον κόπο. Αν έχουμε μια συσκευή χωρίς jb αυτή η συσκευή μπορεί να έχει μολυνθεί από ιούς?? Αν ναι πώς γίνεται αντιληπτό από τα παραπάνω ''συμπτώματα''??

[puzzle]

Οσο έχει αναφερθεί λέγεται οτι συσκευή χωρίς jb είναι αδύνατον να μολυνθεί απο τους παραπάνω ιούς. Κι αυτό γιατί οι συγκεκριμένοι περνιουντε μες ssh η εφαρμογών στο cydia.

[Noshiz]

καταρχάς φίλε puzzle έχεις κάνει μια εξαιρετική και αναλυτικότατη δουλειά! ένα μεγάλο ΜΠΡΆΒΟ σε σένα

Εχω μια απορια αν θα μπορουσες να μου διευκρινησεις.

Τα παρακάτω αρχεία:

/bin/poc-bbot
/bin/sshpass
/var/log/youcanbeclosertogod.jpg
/var/mobile/LockBackground.jpg
/System/Library/LaunchDaemons/com.ikey.bbot.plist
/var/lock/bbot.lock

σε τι χρησιμεύουν? δηλαδή τι θα επηρεαστεί σβήνοντας τα?

Παλιότερα όταν είχα το 3G και είχα σβήσει πάλι κάποια αρχεία προσπαθώντας να κερδίσω κάποια mb ο φίλος που είχε
κάνει το ποστ εξηγούσε τι έκανε το καθένα, αν μπορούσες να κάνεις κάτι παρομιο θα ήσουν πολύ ωραίος

[puzzle]

Η ιστορία έχει ως εξής:
Ο ιός δημιουργήθηκε απο ένα μικρό παλικαράκι 21 ετών με το πραγματικό του όνομα Ashley Towns.Ουσιαστικά ξεκίνησε απο χαζομάρα για να αποδείξει οτι μπορεί να εισβάλει στο λειτουργικού του iphone σπάζοντας τον συνηθισμένο κωδικό του Saurik.Οταν ξεκίνησε ο ιός αυτος ουσιαστικά σου άλλαζε τη background picture με αυτη ενος τραγουδιστή με το όνομα Rick Astley.Οπως έχει δηλώσει το έκανε με σκοπό μονο και μόνο για να τρομοκρατήσει το κόσμο και να τους υποδείξει ότι πρέπει οπωσδήποτε στις jb συσκευές να αλλάζουμε το root pass. Το παλικαράκι αυτό προσλήφθηκε στις 26 Νοεμβρίου του 2009 σε μια αυστραλιανή εταιρεία που βγάζει εφαρμογές με το όνομα “mogeneration”.
Ενας ολλανδός hacker όμως χρησιμοποίησε αυτο τον κωδικό για να εισβάλει σε iphone kai ipod και μέσω μηνύματος απειλούσε ότι θα τους απελευθερώσει απο τον ιό μόνο αν του κατέθεταν 5 ευρώ στο site του αλλιώς το μνμ παρέμενε στην οθόνη του κινητού χωρίς να μπορείς να κάνεις κάτι άλλο. Σύμφωνα με τα media κατάφερε να εισβάλει μεσω port scanning για να αναγνωρίσει iPhones που τρέχουν SSH στην κινητή T-mobile Netherlands network. Αυτό που ουσιαστικά ακριβώς έκανε ήταν να σου αλλάζει την εικόνα του background η οποία περιλάμβανε και το εξής μνμ. ''Important Warning Υour iPhone's been hacked because it's really insecure! Please visit doiop.com/iHacked and dsecure your iPhone right now!Right now, I can access all your files.. This message won't disappear until your iPhone's secure''. Οταν έμπενες λοιπόν στη σελίδα του έγραφε: Αν δεν με πληρώσεις είναι Ok απο εμένα.Δεν έχω σκοπό να σε βλάψω αλλα όπως μπηκα εγώ στο τηλ σου και εστειλα μνμ, είδα τις κλήσεις σου, πήρα τα αρχεία σου, με τον ίδιο τρόπο αλλοι hacker θα μπορεσουν να σου δημιουργήσουν περαιτέρω προβλήματα.
Το καλό είναι ότι ο συγκεκριμένος hacker έριξε τον Paypal λογαριασμό του, επέστρεψε πίσω όλα τα χρήματα και έδωσε οδηγίες για το πώς μπορούμε να προστατευθούμε απο τον παραπάνω ιό.
Ομως σίγουρα άλλοι hackers θα το χρησιμοποιούν ώστε να εισβάλουν στα κινητά και να απορροφάν όλες μας τις πληροφορίες.
Προσωπικά δεν μπορώ να κάνω περιγραφή λοιπόν για το τι κάνει κάνει η κάθε εντολή ξεχωριστά, αλλά σίγουρα οι παραπάνω εντολές προς σβήσιμο, δεν είναι εντολές που υπήρχαν στο iphone όταν το αγοράσαμε και σίγουρα δεν προκαλούν κανένα πρόβλημα όταν τις σβήνουμε. Δεν είναι διαδικασία απελευθέρωσης μνήμης αλλά διαδικασία προστασίας μας.
Προσωπική μου εμπειρία μετά το σβήσιμο, είδα τεράστια διαφορά όχι μόνο στη διάρκεια της μπαταρίας αλλά και στο πόσο κρατάει η μπαταρία χρησιμοποιώντας διάφορες εφαρμογές.
Το έψαξα πάρα πολύ το ανωτέρω θέμα, είδα αποτελέσματα και γι αυτό θεώρησα σωστό να το μεταφέρω και στο iphonehellas αφού ουσιαστικά όσα γνωρίζω τα οφείλω εδω μέσα και σε όλους εσάς.

[astalavista_thes]

Η ιστορία έχει ως εξής:
Ο ιός δημιουργήθηκε απο ένα μικρό παλικαράκι 21 ετών με το πραγματικό του όνομα Ashley Towns.Ουσιαστικά ξεκίνησε απο χαζομάρα για να αποδείξει οτι μπορεί να εισβάλει στο λειτουργικού του iphone σπάζοντας τον συνηθισμένο κωδικό του Saurik.Οταν ξεκίνησε ο ιός αυτος ουσιαστικά σου άλλαζε τη background picture με αυτη ενος τραγουδιστή με το όνομα Rick Astley.Οπως έχει δηλώσει το έκανε με σκοπό μονο και μόνο για να τρομοκρατήσει το κόσμο και να τους υποδείξει ότι πρέπει οπωσδήποτε στις jb συσκευές να αλλάζουμε το root pass. Το παλικαράκι αυτό προσλήφθηκε στις 26 Νοεμβρίου του 2009 σε μια αυστραλιανή εταιρεία που βγάζει εφαρμογές με το όνομα “mogeneration”.
Ενας ολλανδός hacker όμως χρησιμοποίησε αυτο τον κωδικό για να εισβάλει σε iphone kai ipod και μέσω μηνύματος απειλούσε ότι θα τους απελευθερώσει απο τον ιό μόνο αν του κατέθεταν 5 ευρώ στο site του αλλιώς το μνμ παρέμενε στην οθόνη του κινητού χωρίς να μπορείς να κάνεις κάτι άλλο. Σύμφωνα με τα media κατάφερε να εισβάλει μεσω port scanning για να αναγνωρίσει iPhones που τρέχουν SSH στην κινητή T-mobile Netherlands network. Αυτό που ουσιαστικά ακριβώς έκανε ήταν να σου αλλάζει την εικόνα του background η οποία περιλάμβανε και το εξής μνμ. ''Important Warning Υour iPhone's been hacked because it's really insecure! Please visit doiop.com/iHacked and dsecure your iPhone right now!Right now, I can access all your files.. This message won't disappear until your iPhone's secure''. Οταν έμπενες λοιπόν στη σελίδα του έγραφε: Αν δεν με πληρώσεις είναι Ok απο εμένα.Δεν έχω σκοπό να σε βλάψω αλλα όπως μπηκα εγώ στο τηλ σου και εστειλα μνμ, είδα τις κλήσεις σου, πήρα τα αρχεία σου, με τον ίδιο τρόπο αλλοι hacker θα μπορεσουν να σου δημιουργήσουν περαιτέρω προβλήματα.
Το καλό είναι ότι ο συγκεκριμένος hacker έριξε τον Paypal λογαριασμό του, επέστρεψε πίσω όλα τα χρήματα και έδωσε οδηγίες για το πώς μπορούμε να προστατευθούμε απο τον παραπάνω ιό.
Ομως σίγουρα άλλοι hackers θα το χρησιμοποιούν ώστε να εισβάλουν στα κινητά και να απορροφάν όλες μας τις πληροφορίες.
Προσωπικά δεν μπορώ να κάνω περιγραφή λοιπόν για το τι κάνει κάνει η κάθε εντολή ξεχωριστά, αλλά σίγουρα οι παραπάνω εντολές προς σβήσιμο, δεν είναι εντολές που υπήρχαν στο iphone όταν το αγοράσαμε και σίγουρα δεν προκαλούν κανένα πρόβλημα όταν τις σβήνουμε. Δεν είναι διαδικασία απελευθέρωσης μνήμης αλλά διαδικασία προστασίας μας.
Προσωπική μου εμπειρία μετά το σβήσιμο, είδα τεράστια διαφορά όχι μόνο στη διάρκεια της μπαταρίας αλλά και στο πόσο κρατάει η μπαταρία χρησιμοποιώντας διάφορες εφαρμογές.
Το έψαξα πάρα πολύ το ανωτέρω θέμα, είδα αποτελέσματα και γι αυτό θεώρησα σωστό να το μεταφέρω και στο iphonehellas αφού ουσιαστικά όσα γνωρίζω τα οφείλω εδω μέσα και σε όλους εσάς.

Το εφάρμοσα πριν από λίγο. Θα σας πω αν έχει αποτέλεσμα σε λίγες ώρες. Εμένα είχε μέσα τα αρχεία 1,2,5,6 και τα έσβησα. Μπορώ να επιβεβαιώσω οτι το σβήσιμο των αρχειο δεν φαίνεται να δημιούργησε κανένα πρόβλημα στην συσκευή.

[puzzle]

Το εφάρμοσα πριν από λίγο. Θα σας πω αν έχει αποτέλεσμα σε λίγες ώρες. Εμένα είχε μέσα τα αρχεία 1,2,5,6 και τα έσβησα. Μπορώ να επιβεβαιώσω οτι το σβήσιμο των αρχειο δεν φαίνεται να δημιούργησε κανένα πρόβλημα στην συσκευή.

Φιλε μου και εμένα τα 1,2,5,6 είχε. Ειναι λάθος τα νούμερα που αναφέρω στο πρώτο post αλλά οταν το αντιλήφθηκα δεν μπορούσα να κάνω edit.
Δες λίγο τη συμπεριφορά της συσκευής σου και αναμένουμε τις εντυπώσεις σου.

[Constademon]

Επιβεβαιώνω κι εγώ την ύπαρξη των 1,2,5,6

Το δοκίμασα μιας και έχω παρατηρήσει μεγάλη πτώση στην μπαταρία τον τελευταίο 1 μήνα περίπου (και τα αρχεία που έσβησα ειχαν όλα ημερομηνία 6/8 ... τυχαίο.
Στις επόμενες ώρες θα φανεί η διαφορά. Πάντως πρόβλημα στην συσκεύη μετά την διαγραφή των αρχείων
δεν παρατηρείται

Φίλε puzzle thnx 4 the tip

Τελευταία επεξεργασία από: Constademon, 17/09/2010 - 09:39

[kdelios]

καταρχάς φίλε puzzle έχεις κάνει μια εξαιρετική και αναλυτικότατη δουλειά! ένα μεγάλο ΜΠΡΆΒΟ σε σένα

Εχω μια απορια αν θα μπορουσες να μου διευκρινησεις.

Τα παρακάτω αρχεία:

/bin/poc-bbot
/bin/sshpass
/var/log/youcanbeclosertogod.jpg
/var/mobile/LockBackground.jpg
/System/Library/LaunchDaemons/com.ikey.bbot.plist
/var/lock/bbot.lock

σε τι χρησιμεύουν? δηλαδή τι θα επηρεαστεί σβήνοντας τα?

Παλιότερα όταν είχα το 3G και είχα σβήσει πάλι κάποια αρχεία προσπαθώντας να κερδίσω κάποια mb ο φίλος που είχε
κάνει το ποστ εξηγούσε τι έκανε το καθένα, αν μπορούσες να κάνεις κάτι παρομιο θα ήσουν πολύ ωραίος

Technical Information (Analysis)
Worm:iPhoneOS/Ikee.C is a worm that uses the default root password in SSH in order to spread among jail-broken iPhones. The worm also changes the affected machine's background image.
Installation
When run on an iPhone, this worm takes the following actions:


1. Attempts to set a file lock at /var/lock/bbot.lock in order to verify that only one copy of the worm runs at a time.
2. Attempts to copy the file /var/log/youcanbeclosertogod.jpg to /var/mobile/Library/LockBackground.jpg
3. Removes the /usr/sbin/sshd directory and stops the SSH daemon.
4. Attempts to spread using several hard-coded IP ranges.


When the worm infects a remote host, it does so by copying /bin/poc-bbot, /bin/sshpass and /var/log/youcanbeclosertogod.jpg from the local system to the remote system. It also copies /var/log/youcanbeclosertogod.jpg to /var/mobil/Library/LockBackground.jpg on the remote system.

The file /System/Library/LaunchDaemons/com.ikey.bbot.plist is also copied to the remote system and the following command is run:
"launchctl load /System/Library/LaunchDaemons/com.ikey.bbot.plist"

This command is used to load the worm remotely, and to add it to startup on reboot on the remote machine.

The worm then remotely stops the SSH daemon and deletes the automatic start on reboot option for the SSH service.

System changes
The following system changes may indicate the presence of this malware:

* The affected user's iPhone background image may change unexpectedly.

Με άλλα λόγια το χειρότερο που μπορείς να πάθεις με το Worm iPhoneOS/Ikee.C είναι να σου αλλάξει η εικόνα στο background και να μην μπορείς πια να συνδεθείς με SSH.

via [ms]

Τελευταία επεξεργασία από: kdelios, 17/09/2010 - 09:53

[kdelios]

Η παραλλαγή iPhoneOS/Ikee.B πάντως φαίνεται πιο επικίνδυνη:

Open ports
This worm's spreading routine consists of checking to see if TCP port 22 is open on the current device. If so, it attempts to use the default SSH password to run an arbitrary command on a target device from the current device.

It creates the following folder in a target device:
/private/var/mobile/home

It then copies the following file from the current device to the target device:
/private/var/mobile/home/cydia.tgz

It then runs this file using the following command:
cd /private/var/mobile/home/;tar xzf cydia.tgz;./inst

Components within the archive file 'cydia.tgz' may be detected as Worm:iPhoneOS/Ikee.B!script.
Payload
Installs components
The worm installs components from the archive file 'cydia.tgz' and from other websites including the following:

* Installs curl, which is an HTTP download tool
* May replace the syslog daemon with a fake version, which is detected as Worm:iPhoneOS/Ikee.B!A
* Downloads and installs an SQLite package, possibly to read SMS messages
* Downloads and installs several command packages
* Installs its own service, which is detected as Worm:iPhoneOS/Ikee.B!B, by running the following command:
/bin/launchctl load –w /System/Library/LaunchDaemons/com.apple.period.plist


Connects to a remote server
Worm:iPhoneOS/Ikee.B!script gathers information about the current device, which is then sent to the IP address 92.61.38.16. It may also download arbitrary files from the same IP address, which are then executed in the device.

/bin/launchctl -w /System/Library/LaunchDaemons/com.apple.period.plist

To ΠΡΩΤΟ πράγμα που πρέπει να κάνουμε μετά από κάθε j/b είναι να αλλάζουμε το root password αλλά και του user (mobile) καλού κακού, αλλιώς έχουμε την πόρτα μας σε κάθε είδους κακόβουλη ή μη επίθεση.

via [ms]

Τελευταία επεξεργασία από: kdelios, 17/09/2010 - 10:07

[sotoskawasaki]

Εναλλακτικά έχουμε το ssh πάντα κλειστό και το ανοίγουμε όταν θέλουμε να το χρησιμοποιήσουμε στην ασφάλεια του οικιακού ασύρματου δικτύου μας. Το λάθος ξεκινάει στο ότι αυτοί που μολύνθηκαν κακώς είχαν το ssh να τρέχει!

[puzzle]

Εναλλακτικά έχουμε το ssh πάντα κλειστό και το ανοίγουμε όταν θέλουμε να το χρησιμοποιήσουμε στην ασφάλεια του οικιακού ασύρματου δικτύου μας. Το λάθος ξεκινάει στο ότι αυτοί που μολύνθηκαν κακώς είχαν το ssh να τρέχει!

Απ οσο διαβασα ομως λεει οτι μπορει να περιέχεται και σε προγράμματα που κατεβαζουμε απο το cydia. αρα και κλειστο να το εχεις αμα δεν προσεχεις μπορει να την πατησεις.εγω προσωπικα το openssh το εχω βγαλει καιρο τωρα και χρησιμοποιω μονο το funbox.

[SolidSnake]

Εγώ που δεν είχα τπτ φαντάζομια πως χαίρομαι ;D

[astalavista_thes]

Όπως είχα πει, θα δοκίμαζα την διάρκεια της μπαταρίας μετά τις αλλαγές που πρότεινε ο puzzle. Η διαφορά λοιπόν στο δικό μου κινητό είναι πολύ μεγάλη. Πριν τισ διαγραφές των αρχείων είχα μέγιστη διάρκεια αναμονής 24 ώρες με χρήση περίπου 1-1:30 ώρα. Τώρα χωρίς να έχει προηγηθεί πλήρης φόρτιση (το έβγαλα στο 93%) έχω ήδη όπως φαίνεται και στο screenshot 38 ώρες αναμονή με 2:30 ώρες χρήση, ενώ έχω άλλο 19% της μπαταρίας. Το συμπέρασμα για εμένα είναι οτι όντως το κινητό μου είχε μολυνθεί από κάτι που μου έτρωγε την μπαταρία και προφανώς αυτό το κάτι ήταν το worm που περιγράφεται πάνω. Ευχαριστώ τον puzzle για το post!

[PanosI]

Κι εγω τα 1,2,5,6 είχα. Τα 'σβησα και τωρα φορτιζω.......
Ευχαριστούμε για το heads up !!!!