Vill du se om din sajt är drabbad? Sök då på Google efter
site:dindomän.se viagra|cialis|levitra
Byt ut dindomän.se mot din egen domän. Om du inte får några resultat kan du istället gotta dig åt alla andra som har drabbats av hacket genom att istället googla på
site:.se online viagra|cialis|levitra wordpress
När man hittar en välkänd sajt, som unt.se, egenblogg.se, uplandsnation.se eller varför inte mpbloggar.se kan man göra sökningen mer specifik och bara titta på den domänen. Här en sökning på mpbloggar.se, en av de drabbade sajterna:
site:mpbloggar.se viagra|cialis|levitra

Viagr/Cialis-spamet finns på hela mpbloggar-nätverket.

Effekten av sökningen ovan är slående för hur det här hacket fungerar. Den som går direkt in på någon av de drabbade bloggarna märker ingenting alls. Bloggarna på mpbloggar.se ser ut som vanligt, utan några som helst tecken på att det finns några länkar på den. Den som går direkt in på t.ex. riksdagsgrupp.mpbloggar.se märker alltså ingenting eftersom sajten ser ut, och fungerar precis som vanligt:

riksdagsgrupp.mpbloggar.se utan Viagra-spam

Om man däremot tittar på hur Google ser sidorna på sajten, genom att titta på Googles cachade version av en sida, så ser sajten helt annorlunda ut. Namnet på bloggen har ändrats, liksom alla kategorilänkar:

riksdagsgrupp.mpbloggar.se som Google ser sajten

Skulle däremot, någon sida från en hackad sajt (och det finns otroligt många fler än bara mpbloggar.se, den här sökningen hittar skrämmande många), så skickas besökaren direkt till North American Pharmacy, men fortfarande under den ursprungliga domänen. Så här ser det ut:

Så här ser sajten ut om man kommer från en Google-sökning som innehåller något av läkemedelsnamnen

Dessutom (tack @anderseriksson ) visar det sig att AVG hindrar användare från att gå in på sidor från mpbloggar.se som är drabbade av det här hacket.

Så vad har hänt?

Så vad har hänt här då? Det vet jag faktiskt inte ännu eftersom jag inte har haft möjlighet att titta på just den här sajten. Men högst troligen har sajten hackats genom en svaghet i något plugin eller funktion som används i sajtens tema. Det är inte helt otroligt att det är timthumb som är den ursprungliga svagheten här. Men det behöver inte vara så.

Jag har alltså ännu inte kommit åt att se hur exakt den här  versionen av hacket fungerar, men jag fick för några veckor sedan möjlighet att studera en tidigare version av hacket. Då lades länkar till innan innehållet på sidan, och igår såg jag ännu en variant, som inte hade ändrat kategorinamn och blogg-title, utan bara hade lagt till länkar i bloggfoten.

Den gången hade hacket gått in och modifierat en rad i filen /wp-includes/general-template.php och sagt åt WP-installationen att ladda in en fil med det oskyldiga och mycket troliga namnet wp-image.php som skulle ligga i samma katalog. Den filen är, i sin tur, base64-kodad, och är den som kollar huruvida det är en vanlig besökare eller Google som kommer på besök och därefter förändrar innehållet på sajten.

En extra rad i filen /wp-includes/general-template.php

Den gången åtgärdade jag problemet helt enkelt genom att kommentera bort den raden där wp-image.php laddades in, och sedan ordnade det hela upp sig själv på en vecka.

Förhoppningsvis kommer det vara lika lätt för Miljöpartiet att åtgärda detta. Jag skulle dels leta efter filer som har modifierats vid någon udda tidpunkt, desl leta efter om något plugin, eller själva temat använder en gammal version av timthumb.php, som tyvärr, i de allra flesta fall verkar vara upphovet till hela den här hackvågen.

Just på sajten ovan fanns ett plugin som inte ens användes, som heter IGIT Related Post With Thumb och som inkluderade en gammal opatchad version av timthumb.php, som nästan alltid verkar vara upphovet till det onda.

Så hur städar man bort Timthumb-hack från sajten?

Tyvärr räcker det oftast inte med att bara ta bort de pluggar som använder timthumb.php eftersom de som utnyttjar svagheten, mycket väl kan ha lagt upp liknande funktionalitet, under andra namn, på helt andra ställen på sajten. Den som vill säkra upp ordentligt bör därför se till att ta bort alla plugins som inte anvvänds, manuellt byta ut alla filer och kataloger i sin wp-content, och sedan byta ut hela WP-installationen separat.

Om du vill förstå mer om hur timthumb.php kan ha åstadkommit så mycket skada så ger den här bloggposten en ganska bra beskrivning.

Men du kan skydda dig!

Om du vill scanna av dina bloggar efter förekomster av timthumb.php rekommenderar jag att du installerar ett plugin som heter Timthumb Vulnerability Scanner och som letar igenom din sajt efter just denna svaghet, även i filer som kan ha helt andra namn. Jag själv hittade, i gamla versioner av Thesis (som nu är bortplockade från sajten) och i temat Artemia som jag mig veterligen aldrig har använt på någon sajt, timthumb-funktionalitet som ligger i filer med helt andra namn.

Med blygselns rodnad på kinderna och i transparensens namn… Här låg de:

Thesis och Artemia inkluderar Timthumb-kod

Jag har under natten mot söndag och söndagsförmiddagen försökt nå någon på Miljöpartiet, men utan resultat. Det är ju inte så vansinnigt svårt att bli av med detta. Jag hjälper gärna till, men vill framförallt ge Miljöpartiet och andra som använder WordPress rådet att börja scanna av sina WP-installationer bättre och hänga med i säkerhetsnyheterna kring WordPress.

För trots detta, är WordPress fortfarande min favoritplattform. Det krävs dock, liksom med alla andra CMS, att man håller koll på sin sajt, och håller den uppdaterad. Ett extra gott råd i sammahanget är att ta bort teman och plugins som inte används.

Jag har alltså hittat timthumb.php i två teman och en plugin nu på förmiddagen. Om du hittar svagheten i andra pluggar och teman, tipsa gärna andra i kommentarsfunktionen här nedan.

Uppdatering: Jag har under måndagen haft kontakt med Johan Schiff på Miljöpartiet som har följt instruktionerna i den här bloggposten och framför allt i Björn Alsborgers kommentar, och nu verkar ha rensat ut i WordPress-installationen på mpbloggar.se. Nu gäller det bara att Google snabbt re-indexerar sidorna. 

Se även:
WordPress-sajter hackade med TimThumb
How to protect your WordPress site as hackers exploit TimThumb security hole
You shouldn’t run too many plugins, and here’s why

Liknande

• 2010-06-17 -- WordPress 3 är här (och jag har uppdaterat)
• 2010-04-16 -- Sverigedemokraterna.net hackad två gånger
• 2010-03-08 -- Skärmsläckare på bloggen
• 2010-01-26 -- Disqus (jag gav efter för trycket)
• 2010-01-25 -- Aktiva WordPress-plugins på Lindqvist.com
• 2009-05-18 -- Två SEO-buggar i Thesis (och hur du fixar dem)
• 2009-05-07 -- Nytt tema (igen)
• 2009-02-18 -- Otroligt onödig defacement av ifpi.se
• 2008-12-17 -- NoFollow Free uppdaterad till 1.5.9 för WordPress 2.7
• 2008-10-15 -- Bra sammanställning av den mörka sidan av SEO
• 2008-09-30 -- Det här är inte bra Google
• 2008-09-26 -- Säkerhetshål i Googles kontorutiner?

Så här såg sajten ut, både inatt och nu på morgonen (tack Simon för biden):

Efter att jag med stort intresse följt sajten i sökmotorresultaten under de senaste veckorna har jag flera gånger konstaterat att IT-kompetensen hos partiet har stora brister. Men att det var så här illa trodde jag inte. Det visar sig att säkerhetshålet på servern har varit känt sedan i september 2009 då det publicerades på Flashback. Nu kan man ju inte anklaga Sverigedemokraternas IT-ansvariga för att de inte jämt och ständigt hänger på Flashbacks forum för IT-säkerhet, men det kanske skulle vara bra att byta lösenord någon gång ibland åtminstone.

Liknande

• 2011-12-29 -- Bing vs Google (Sverigedemokraterna suger)
• 2011-12-16 -- Sverigedemokraterna och ansvaret
• 2011-10-16 -- Länkar din WP-sajt till viagra-försäljning?
• 2011-07-12 -- Hjälp SD med registreringen av meningsmotståndare
• 2011-07-09 -- #Almedalen är inte riktigt slut ännu
• 2010-12-15 -- Sverigedemokraterna.se slutgiltigt tillbaka?
• 2010-11-25 -- Sverigedemokraterna.de – sammanfattning och överlämning
• 2010-11-24 -- SVT Kulturnyheterna om Sverigedemokraterna.de
• 2010-09-28 -- Från idé till t-shirt-butik på 24 timmar
• 2010-09-21 -- Sverigedemokraternas kontaktregister publicerat
• 2010-09-20 -- Sorgfärger för Sverige
• 2010-09-16 -- Thursday, September 16th 2010

Tack till Mymlan som gjorde skärmdumpen och som också har fångat en del talande kommentarer från mikrobloggarna.

Mer kritik, och ännu fler kritiska kommentarer finns hos Projo.

Uppdatering: Brokep ber idag, via sin blogg, supporters att låta bli med den här typen av aktiviteter: http://blog.brokep.com/2009/02/19/were-winning-stop-hacking-plz/

Our case is going quite well as most of you have noticed. In the light of that it feels very bad that people are hacking web sites which actually puts us in a worse light than we need to be in. I just got back home and read on blogs that ifpi.se was hacked and the rumour on IRC now is that something is going on with ifpi.org and (my old domain) ifpi.com. If anyone involved in the acts going on is reading this – please stop, for our sake. We don’t need that kind of support.

The internets is having a fever and this might be a way to get cooled down. But I hope it’s over now and that we can go back to winning our case without taking these measures. The hacking can only reflect on us badly and if you want to help us, please stop with the attacks.

Klart besked så det räcker tycker jag.

Liknande

• 2010-08-26 -- The Piratebay har stulit 382 biljoner dollar från skivbolagen!
• 2009-10-03 -- TPB är tillbaka i Google
• 2009-07-28 -- Idel galenskaper
• 2009-06-30 -- The Pirate Bay säljs för 60 miljoner SEK
• 2009-02-17 -- Det mest subversiva rummet norr om Afghanistan
• 2009-02-08 -- Strömlöst hos The Pirate Bay
• 2008-01-07 -- VFH för ett år sedan
• 2008-01-07 -- VFH gör avtryck på webben
• 2008-01-05 -- Vuxna förbannade hackare – del 2
• 2011-10-16 -- Länkar din WP-sajt till viagra-försäljning?
• 2010-08-25 -- The PirateBay gör reklam för Piratpartiet
• 2010-04-16 -- Sverigedemokraterna.net hackad två gånger

Joakim Jardenberg på Mindpark lyckades få bort blockeringen av de berörda bloggarna och berättade i en bloggpost om hur det hade gått till. Tydligen var huvudorsaken till avstängningen en kvarlämnad ”vacation responder” som kanske hade studsat lite för frekvent i olika e-postlistr.

Idag är bloggarna avstängda igen. Så här ser det ut när man försöker ta sig till http://allandnothing.tryggve.se/:

Det här är inte bra Google – det är faktiskt riktigt, riktigt oroande.

Liknande

• 2008-09-26 -- Säkerhetshål i Googles kontorutiner?
• 2012-01-25 -- Google byter sekretesspolicy och användarvillkor
• 2012-01-24 -- Google deltar i dokumentären
• 2011-12-29 -- Bing vs Google (Sverigedemokraterna suger)
• 2011-11-30 -- Google bygger in sökrutan i topp-menyn
• 2011-10-30 -- Dittforetagonline.se – Google ökar sin kundbas
• 2011-10-16 -- Länkar din WP-sajt till viagra-försäljning?
• 2011-09-27 -- Grattis på födelsedagen Google
• 2011-02-08 -- Google är tomt
• 2010-11-17 -- Spotlife borta från Google pga felanvänd canonical
• 2010-10-29 -- Google laborerar med förhandsvisning av sajten
• 2010-10-26 -- Google TV – din TV får en hemsida

Nu har det framkommit att de har stängts eftersom Jockes GMail-adress har spamflaggats. Enär har väldigt svårt att tänka mig att Jocke extraknäcker som spammare från sin privata GMail på nätterna så kan jag inte annat än tolka detta som ett enormt säkerhetshål i Googles kontohantering.

Om det är möjligt att stänga bloggar genom att spamma från den e-postadress de är kopplade till, vad kan man då inte göra med någons AdSense- eller AdWords-konto? Vilka skumma driveby-tjänster öppnar inte detta för?

Jag hoppas verkligen att det som Jocke har råkat ut för är en tillfällig glitch, för annars måste man börja råda folk att hemlighålla sin GMail-adress. Åtminstone den som man använder till någonting annat än att skicka mail – och det vore inte någon bra 10-årspresent till Google.

Liknande

• 2008-09-30 -- Det här är inte bra Google
• 2012-01-25 -- Google byter sekretesspolicy och användarvillkor
• 2012-01-24 -- Google deltar i dokumentären
• 2011-12-29 -- Bing vs Google (Sverigedemokraterna suger)
• 2011-11-30 -- Google bygger in sökrutan i topp-menyn
• 2011-10-30 -- Dittforetagonline.se – Google ökar sin kundbas
• 2011-10-16 -- Länkar din WP-sajt till viagra-försäljning?
• 2011-09-27 -- Grattis på födelsedagen Google
• 2011-02-08 -- Google är tomt
• 2010-11-17 -- Spotlife borta från Google pga felanvänd canonical
• 2010-10-29 -- Google laborerar med förhandsvisning av sajten
• 2010-10-26 -- Google TV – din TV får en hemsida

Uppdateringen klassas av WordPress själva som en ”urgent security release” och problemet är att någon illvillig rackare har hittat på ett sätt att pinga bloggar på ett sätt så att det går att ändra i texterna på bloggen. Problemet är litet om du inte tillåter andra att anmäla sig som användare på bloggen, men om du tillåter anmälan av andra användare, så kan en spammare utnyttja säkerheltshålet till att skicka en RPC-ping som är utformad på ett sånt sätt att andra användares poster kan ändras.

Inte riktigt som det var tänkt kan man säga.

Nu räcker det med att byta ut filen xmlrpc.php, även om WordPress även har gjort iordning ett helt nytt paket, med versionsnumret 2.3.3. Båda går att ladda ner från: http://wordpress.org/development/2008/02/wordpress-233/

Liknande

• 2011-10-16 -- Länkar din WP-sajt till viagra-försäljning?
• 2010-10-23 -- WordPress bug regarding custom menues
• 2010-10-23 -- WordCamp Stockholm – Uppstädning pågår
• 2010-08-09 -- Sökmotoroptimering – en föreläsningsserie
• 2010-04-16 -- Sverigedemokraterna.net hackad två gånger
• 2010-02-19 -- Wordpress.com nere i 2 timmar
• 2010-02-16 -- Old School hack av MKSE.com
• 2010-02-16 -- Drömmer om WordPress VIP
• 2009-12-16 -- Jajja testar publiceringssystem i år igen
• 2009-12-12 -- Nu begår jag SEO-mässigt självmord!
• 2009-09-10 -- WordPress 2.7.1 och Tamiflu
• 2009-08-31 -- 200 000 spam-kommentarer!

Här är texten som VFH hade placerat på LOs sajt för ett år sedan:

Efter hatobjekt ett så kommer hatobjekt två!

Under 2007 kommer LO fortsätta kämpa för att alla ska få samma usla lön! Medlemsavgifter osv kommer gå direkt till att smutskasta småföretagare! GOTT NYTT ÅR!

Pablin77, YOU SUCK!!

Polisen: När vi hackade SSU så lämnade vi fyra påhittade spår för att kontrollera hur snabba ni var. Tyvärr hittade ni bara ETT av dem och sprang iväg och beslagtog datorer hos en helt oskyldig stackars liten kille! Skäms på er! Men vad kan man förvänta sig när polisen.se körs på en gammal webbserver med ett säkerhetshål som rapporterades 2004!

Även denna gång har vi lämnat roliga spår! Lycka till!

Vuxna Förbannade Hackare – Det slutar inte här.

dinapengar.se/Avdelningar/Artikel.aspx?ArticleID=2007%5C01%5C01%5C5123

Aftonbladet.se minns också: www.aftonbladet.se/nyheter/article470916.ab
De har till och med en bild:

Tänk vad fort ett år går. Så mycket man hinner glömma.

Liknande

• 2009-02-18 -- Otroligt onödig defacement av ifpi.se
• 2008-01-07 -- VFH gör avtryck på webben
• 2008-01-05 -- Vuxna förbannade hackare – del 2
• 2011-10-16 -- Länkar din WP-sajt till viagra-försäljning?
• 2010-04-16 -- Sverigedemokraterna.net hackad två gånger
• 2008-09-30 -- Det här är inte bra Google
• 2008-09-26 -- Säkerhetshål i Googles kontorutiner?
• 2008-04-02 -- Hackade Wordpress-bloggar sprider trackback-spam
• 2008-02-15 -- SJ har ingen koll på webbläsarna
• 2008-02-05 -- Uppdatera din WordPress-installation till 2.3.3
• 2007-12-26 -- Mac är säkrare… ännu så länge
• 2007-09-26 -- Jag uppgraderar till WordPress 2.3

Idag dök en film upp på Youtube, som påstås vara gjord av den tidigare kända hackergruppen Arga Unga Hackare [AUH] (som stängde Antipiratbyråns sajt en gång i tiden). Jag känner mig mycket skeptisk till att det verkligen skulle vara AUH som har gjort videon. Den känns snarast parodisk med sina kommentarer om ”fina arbetargrabbar”, men det hör egentligen inte hit. Det är ytterligare uppmärksamhet för VFH.

Men VFH-attacken mot Aftonbladet har också börjat göra bra avtryck. Reklam- och mediaforumet Bold.se skickade just ut nedanstående mail till sina medlemmar där de rekommenderar alla att byta sina lösenord. Ett bra initiativ tycker jag (som så sent som igår bytte till ett ännu starkare lösenord för mina Google-tjänster):

Hej N!kke @ bold.se,

Några som kallar sig Vuxna Förbannade Hackare har ställt till det rejält för Aftonbladet. I ett inlägg på Flashback beskriver man attacken. Bland annat har man postat 1030 användarnamn och lösenord till mailservern, och det orsakade rena läsfesten innan teknikerna drog ur pluggen. Ur ett källskyddsperspektiv är det naturligtvis inte alls bra, och belyser igen hur viktigt det är att vi alla försöker tar vårt ansvar för tekniken. Flera av lösenorden som användes av högt uppsatta chefer på tidningen är verkligen ett skämt, och då hjälper det inte hur hårt it-avdelningen än jobbar.

Därefter har man även tagit sig in i tidningens annonssystem och på samma sätt publicerat både mailadresser till annonsörer/byråer med flera med lösenord.

Det är många som använder sig av samma användarnamn och lösenord på olika forum eller t ex Facebook osv.

Vi uppmanar nu att våra medlemmar att byta lösenord för att säkerställa att ingen tar sig in på era konton.

På Bold gör du det här: http://bold.se/forum/profile.php?do=editprofile

Därefter knappen: ”redigera e-post och lösenord”.

på TV sade en expert att bör ha stora och små bokstäver, siffror och till antalet åtta i sina lösenord för att känna sig säkrare. Och då olika på de ställen man använder.

Med vänlig hälsning
Kenneth
——————————

——
Mötesplats för reklam, medier och design.
http://www.bold.se
http://butik.bold.se

Liknande

• 2009-02-18 -- Otroligt onödig defacement av ifpi.se
• 2008-01-07 -- VFH för ett år sedan
• 2008-01-05 -- Vuxna förbannade hackare – del 2
• 2011-10-16 -- Länkar din WP-sajt till viagra-försäljning?
• 2010-04-16 -- Sverigedemokraterna.net hackad två gånger
• 2008-09-30 -- Det här är inte bra Google
• 2008-09-26 -- Säkerhetshål i Googles kontorutiner?
• 2008-04-02 -- Hackade Wordpress-bloggar sprider trackback-spam
• 2008-02-15 -- SJ har ingen koll på webbläsarna
• 2008-02-05 -- Uppdatera din WordPress-installation till 2.3.3
• 2007-12-26 -- Mac är säkrare… ännu så länge
• 2007-09-26 -- Jag uppgraderar till WordPress 2.3

Det är häpnadsväckande läsning. Hur i allsin dar kan det komma sig att man ännu inte har åtgärdat säkerhetsluckor som man har känt till sedan i Juni 2006?

www.flashback.info/showthread.php?t=598838

Aftonbladet bjuder in VFH på fika

Aftonbladets primära reaktion på det inträffade var en lång tystnad. Det kan man i och för sig förstå. Flera timmar efter att den första tråden hade lagts ut på Flashback publicerades den här notisen. Även dagens forumtråd blev en notis, och först därefter började Aftonbladet göra rätt.

Någon gång i kväll skrev Aftonbladets nytillträdde chefredaktör Jan Helin en krönika där han bjuder in VFH på fika. Han vill försöka förstå var det är som har gjort dem så arga skriver han:

Jag är nytillträdd chefredaktör för Aftonbladet och på riktigt intresserad av vad i vår journalistik som gör Vuxna Förbannade Hackare så upprörda att de begår brott. Därför säger jag så här:

Kom och hälsa på mig på redaktionen söndag klockan 15.00, eller på måndag samma tid. Vi kan göra något så omodernt men mysigt som att dricka eftermiddagskaffe. Jag ska med spänning lyssna på er och förklara hur jag ser på saken.
http://www.aftonbladet.se/nyheter/article1573466.ab

Det är riktigt smart. Jan Helin lägger sig med strupen bar, bjussar på fika och räcker ut en hand. Det ger folkets sympatier och ställer de upprörda och förbannade i skuggan. I Flashback-tråden ser man också hur oppinionen så smått har svängt. Vad är det de är så förbannade över? Och varför hojtar de så högt och ljudligt över det? Vill de bara ha uppmärksamhet?

Om Aftonbladet tar itu med säkerheten ordentligt nu och ser till att samtliga lösenord byts ut så tror jag att de kan komma ut ur den här affären starkare än förut. Och helt säkert säkrare i alla fall.

Per Hellqvist om det inträffade:
http://blog.perhellqvist.se/?p=275

Liknande

• 2009-02-18 -- Otroligt onödig defacement av ifpi.se
• 2008-01-07 -- VFH för ett år sedan
• 2008-01-07 -- VFH gör avtryck på webben
• 2011-10-16 -- Länkar din WP-sajt till viagra-försäljning?
• 2010-04-16 -- Sverigedemokraterna.net hackad två gånger
• 2009-09-30 -- Aftonbladet och Strix lurar riksdagsledamöter
• 2008-09-30 -- Det här är inte bra Google
• 2008-09-26 -- Säkerhetshål i Googles kontorutiner?
• 2008-09-15 -- Panschocommunity av GetUpdated?
• 2008-04-02 -- Hackade Wordpress-bloggar sprider trackback-spam
• 2008-02-15 -- SJ har ingen koll på webbläsarna
• 2008-02-05 -- Uppdatera din WordPress-installation till 2.3.3

Från IDG:

Redan i dag har US Army cirka 20 000 Macar i sina nätverk, men majoriteten av arméns sammanlagt 700 000 datorer och servrar är Windowsbaserade. Nu väljer armén att satsa på Mac och OS X för att höja säkerheten.

US Army är tillsammans med bl.a. Pentagon, Boeing och Raytheon favoritmål för hackare, och även för spioneriförsök.

Kan de inte börja använda Ubuntu eller något annat obskyrt istället? Jag har inte använt något som helst antivirusprogram på någon av mina Macar sedan 1997. Sedan jag slutade använda Word och Excel har jag inte heller stött på något som helst virusaktigt. Nu börjar det kanske bli dags att tänka om…

Tillägg: Läs gärna introduktionen till datorvirus och maskar som Kristoffer tipsar om nedan om du vill veta vad det egentligen är vi skyddar oss ifrån.

Liknande

• 2011-10-16 -- Länkar din WP-sajt till viagra-försäljning?
• 2010-04-16 -- Sverigedemokraterna.net hackad två gånger
• 2009-08-28 -- Snow Leopard installerad över Tiger
• 2009-02-18 -- Otroligt onödig defacement av ifpi.se
• 2008-09-30 -- Det här är inte bra Google
• 2008-09-26 -- Säkerhetshål i Googles kontorutiner?
• 2008-02-05 -- Uppdatera din WordPress-installation till 2.3.3
• 2008-01-07 -- VFH för ett år sedan
• 2008-01-07 -- VFH gör avtryck på webben
• 2008-01-05 -- Vuxna förbannade hackare – del 2
• 2005-05-19 -- Sober.q worm spamming from whitehouse.gov
• 2005-05-18 -- Loads of German political spam via Sober.q