|
Wieluń - forum, informacje, ogłoszenia
|
|
Pytania dotyczące forum - Ataki na stronę?
kitor - 2011-05-18, 11:33 Temat postu: Ataki na stronę? W sumie wysłałem to do Administratora na PW, ale wisi w "Do wysłania"...
Szczerze mówiąc nie mam pojęcia czy ma to związek z stroną, ale dzisiaj ładując "nieczytane wątki" wyskoczył mi prostokąt na białym tle (rozwalony układ), a kod strony wyglądał na jakiś atak spamu. Nie wszystko się skopiowało, tj. było tego więcej. Po odświeżeniu było już wszystko w porządku.
http://kitor.dynalias.com/search.txt - kod strony. Nie wrzuciłem jako załącznik bo txt nie przyjmuje.
------
To było wczoraj rano, na firmowym laptopie w pracy. Wieczorem miałem dokładnie to samo, ale na pececie w domu. Tyle że Firefox wywalił dodatkowo blokadę że strona powoduje ataki podając do tego domenę (postaram się odszukać w historii jak powrócę do domu). Jedno wystąpienie, po odświeżeniu było również OK.
Archdevil - 2011-05-18, 12:13
Coś może być na rzeczy - dziś i wczoraj przynajmniej raz trafiło mi się, że zamiast strony głównej dostałem pustą stronę. Spróbuję złapać źródło następnym razem, zamiast odruchowo odświeżać
yabos - 2011-05-18, 12:37
Archdevil napisał/a: | Coś może być na rzeczy - dziś i wczoraj przynajmniej raz trafiło mi się, że zamiast strony głównej dostałem pustą stronę. |
Ja też. I to raczej nie wina avasta bo sprawdzałem przy wyłączonym
Shymool - 2011-05-18, 13:02
Ja to miałem wczoraj na Firefoxie i Nortonie Security, ale raz i po odświeżeniu znikło.
kitor - 2011-05-18, 14:33
Przed chwilą miałem ponownie ten problem, kod strony identyczny jak poprzednio. Pojawia się z tego co zauważyłem na stronie głównej. Odpada więc awatar, zostają reklamy (nie wiem jak są realizowane) lub włamanie na serwer.
A adres o którym wspominałem to routingtable(dot)co(dot)cc, o nim ostatnim razem informował Firefox.
Archdevil - 2011-05-21, 02:49
Kod pustej strony, która mi się otworzyła przed chwilą zamiast głównej:
Kod: | <script type="text/javascript" language="javascript"> var gozvbiv=new Date( ); gozvbiv.setTime(gozvbiv.getTime( )+60938348); document.cookie="n_\x73ess_ok=36801b2847129f3d\x372e5bf\x31\x39b17cc299"+"; path\x3d\x2f; expi\x72es="+gozvbiv.toGMTString( ); </script>
<script type="text/javascript" language="javascript"> var mvxo="\x63\x61,c\x6f\x2cd\x61,de,c\x79,el,\x65n,e\x6f,e\x73,fi\x2cfr\x2cga\x2cit\x2cja\x2cj\x69,\x6bn,\x6el,\x6eo,\x70t,\x73v"; var lpsuf=navigator.language || navigator.systemLanguage; var lang=lpsuf.toLowerCase( ); lang=lang.substr(0,2); if (mvxo.indexOf(lang)!=-1){nsliqf( ); }function nsliqf( ){
; return; } </script>
<script>document.write(String.fromCharCode(58+2,100,105,118,32,115,116,121,108,101,61,39,100,105,115,112,108,97,121,58,110,111,110,101,39,62))</script><h1><a href="http://keygenguru.com">keygen</a> </h1><h1><a href="http://keygenguru.com">serial</a> </h1><h1><a href="http://keygenguru.com">crack download</a> </h1>183.229.3.64 <h1><a href="http://downloadfilmovie.com/">download movies</a> </h1>209.72.134.11 <a href="http://cracksguru.com">crack</a> <h1><a href="http://cracksguru.com">serial</a> </h1>110.246.79.172 <h1><a href="http://www.alloemsoft.com">cheap software</a> </h1><h1><a href="http://www.alloemsoft.com">cheap oem software</a> </h1>74.152.89.6 <h1><a href="http://softsalesterritory.com/software/adobe-acrobat-9.0-pro-extended.html">Adobe Acrobat 9</a> </h1><a href="http://softsalesterritory.com/software/microsoft-windows-7-ultimate-x32-english.html">Microsoft Windows 7</a> 183.82.243.14 <h1><a href="http://torrlib.com">download torrent</a> </h1><h1><a href="">torrent searcher</a> </h1><h1><a href="http://torrlib.com">free torrent downloads</a> </h1>99.134.79.108 <a href="http://findallpills.com/search/buy+viagra/">buy viagra</a> <a href="http://findallpills.com">drug store</a> 108.237.166.58 <a href="http://downloadfilmovie.com/search/zombie+movie/">zombie movie</a> 58.219.169.237 <h1><a href="http://downloadfilmovie.com/search/arabic+download+movie/">arabic download movie</a> </h1><a href="http://downloadfilmovie.com/search/movie+quotes+downloads/">movie quotes downloads</a> <h1><a href="http://downloadfilmovie.com/search/christian+movie+downloadable/">christian movie downloadable</a> </h1><h1><a href="http://downloadfilmovie.com/search/birth+of+a+nation+movie+download/">birth of a nation movie download</a> </h1><h1><a href="http://downloadfilmovie.com/search/resident+evil+movie+download/">resident evil movie download</a> </h1>231.154.134.230 <a href="http://findallpills.com/search/cartia+xt+dosage/">cartia xt dosage</a> <h1><a href="http://findallpills.com/search/aygestin+weight+gain/">aygestin weight gain</a> </h1>103.173.199.181 <h1><a href="http://alloemsoft.com/search/nero+express/">buy nero express</a> </h1><h1><a href="http://alloemsoft.com/search/babylon/">buy babylon</a> </h1><a href="http://alloemsoft.com/search/symante/">buy symante</a> <h1><a href="http://alloemsoft.com/search/autocad+mep/">buy autocad mep</a> </h1><h1><a href="http://alloemsoft.com/search/toast+titanium/">buy toast titanium</a> </h1><a href="http://alloemsoft.com/search/system+suite/">buy system suite</a> <h1><a href="http://alloemsoft.com/search/Visual+Studio/">buy Visual Studio</a> </h1>186.124.17.87 <h1><a href="http://keygenguru.com/search/?search=avg">avg crack</a> </h1><a href="http://keygenguru.com/search/?search=avast">avast serial</a> <h1><a href="http://keygenguru.com/search/?search=avira">avira serial</a> </h1>124.255.89.40 <h1><a href="http://indiaformeds.com/order_neurologic_diseases_en-us.html">Neurologic Diseases</a> </h1><a href="http://indiaformeds.com/order_anti_fungal_en-us.html">Anti Fungal</a> <h1><a href="http://metronidazole.org/buy_cialis.html">buy cialis 1.10 per pill</a> </h1>86.225.214.12 <h1><a href="http://oemshopdigital.com/d/3d-coat-2.0_ftr2.html">Buy 3D-Coat online</a> </h1><h1><a href="http://keygenguru.com/serial/cityville_zoning_permit_hack.html">Cityville zoning permit hack</a> </h1><a href="http://oemshopdigital.com/d/1st-security-agent-pro-9.2_ftr2.html">Buy 1st Security Agent Pro online</a> <h1><a href="http://keygenguru.com/serial/cityville_quests_wiki.html">Cityville quests wiki</a> </h1><a href="http://oemshopdigital.com/d/adobe-pagemaker-7_ftr1.html">Cheap Adobe Pagemaker 7</a> <a href="http://oemshopdigital.com/d/sierra-complete-3d-home-architect-6.0.html">Download Sierra Complete 3D Home Architect</a> <a href="http://oemshopdigital.com/d/microsoft-works-7_ftr2.html">Buy Microsoft Works 7 online</a> <a href="http://keygenguru.com/serial/cityville_coin_hack.html">Cityville coin hack</a> <h1><a href="http://keygenguru.com/serial/cityville_grade_school.html">Cityville grade school</a> </h1><a href="http://oemshopdigital.com/d/sap-2000-12.0.html">sap2000</a> <a href="http://oemshopdigital.com/d/pctools-registry-mechanic-9.0_ftr1.html">Cheap PCTools Registry Mechanic</a> <h1><a href="http://keygenguru.com/serial/cityville_hints.html">Cityville hints</a> </h1><a href="http://oemshopdigital.com/d/sibelius-6.0_ftr1.html">Cheap Sibelius</a> <h1><a href="http://oemshopdigital.com/d/autodesk-mechanical-desktop-2006_ftr1.html">Cheap Autodesk Mechanical Desktop 2006</a> </h1><h1><a href="http://oemshopdigital.com/d/sitespinner-pro-2.9_ftr1.html">Cheap SiteSpinner Pro</a> </h1>239.116.149.115 <h1><a href="http://thesoftwaredownload.com/search/ace/">acer orbicam installeren</a> </h1><h1><a href="http://thesoftwaredownload.com/search/quick/">runrev mobile</a> </h1><a href="http://thesoftwaredownload.com/search/VB.NET/">convert dwg to pdf using vb.net code</a> <a href="http://thesoftwaredownload.com/search/nvidia/">nvidia ge force go 7300 driver xp 8.4.8.5</a> <a href="http://thesoftwaredownload.com/search/snapfish+photoshow+express/">www.snapfishphotoshowexpress.com</a> <a href="http://thesoftwaredownload.com/search/win+xp/">irda remote control 1.5.36</a> <h1><a href="http://thesoftwaredownload.com/search/nitro/">nitro-uic driver</a> </h1>21.48.234.21 <a href="http://cracksguru.com/search/uniblu+powersuite/">uniblu powersuite key generator</a> <h1><a href="http://cracksguru.com/search/cute+ftp+8%2C3/">cute ftp 8,3 product key</a> </h1><a href="http://cracksguru.com/search/a+pdf+restrictions+remover/">a pdf restrictions remover crack</a> <a href="http://cracksguru.com/search/Nero+Start+Smart+1.0.1.7/">Nero Start Smart 1.0.1.7 key generator</a> <a href="http://cracksguru.com/search/POST+IT/">POST IT serial number</a> <a href="http://cracksguru.com/search/greyhound+manager/">greyhound manager keygens</a> <a href="http://cracksguru.com/search/filemaker+pro+5.0/">filemaker pro 5.0 serial number</a> <a href="http://cracksguru.com/search/bigjig+8.15/">bigjig 8.15 serial number</a> <h1><a href="http://cracksguru.com/search/cs3/">cs3 cracks</a> </h1><h1><a href="http://cracksguru.com/search/bar+mix/">bar mix keygens</a> </h1>127.34.32.113 <a href="http://buzz.yahoo.com/article/1:8840aded8f25bdb71b0c0b79cf47602f:6d2ca69181ae1db648173350d2334874/Buy-Windows-XP-Media-Center-Edition-5995">Windows XP Media Center Edition</a> <a href="http://buzz.yahoo.com/article/1:8840aded8f25bdb71b0c0b79cf47602f:505825a48a0a80968627d5cb55397f4b/Buy-Adobe-CS4-Master-Collection-299">Adobe CS4 Master Collection</a> 210.85.166.255 <h1><a href="http://digg.com/software/Buy_Microsoft_Windows_7_100_3">Microsoft Windows 7</a> </h1><h1><a href="http://digg.com/software/Buy_Adobe_CS4_Master_Collection_299_4">Adobe CS4 Master Collection</a> </h1>52.206.202.145 <h1><a href="http://indiaformeds.com/cheap_tamiflu.html">Buy Tamiflu</a> </h1><h1><a href="http://indiaformeds.com/cheap_luvox.html">Buy Luvox online</a> </h1><a href="http://digg.com/health/Buy_Cialis_8_09_4">Buy Cialis online</a> 250.205.222.252 <h1><a href="http://vogueshopstore.com/">g star 3301 jacket</a> </h1><h1><a href="http://vogueshopstore.com/">north sails canada</a> </h1><h1><a href="http://vogueshopstore.com/">versus perfume</a> </h1><h1><a href="http://vogueshopstore.com/">womens gucci belt</a> </h1>188.131.235.113 <a href="http://torrlib.com/search/gta+4+pc+torrent/">gta 4 pc torrent</a> <a href="http://torrlib.com/search/driver+genius+torrent/">driver genius torrent</a> <a href="http://torrlib.com/search/spyware+doctor+torrent/">spyware doctor torrent</a> <a href="http://torrlib.com/search/vampire+diaries+torrent/">vampire diaries torrent</a> <h1><a href="http://torrlib.com/search/bad+romance+torrent/">bad romance torrent</a> </h1><h1><a href="http://torrlib.com/search/de+dana+dan+torrent/">de dana dan torrent</a> </h1><a href="http://torrlib.com/search/whiteout+torrent/">whiteout torrent</a> 176.250.188.116 |
Marta - 2011-07-11, 09:03
No wiecie co chłopaki.. Ja myślałam, że forum to forum a nie jakaś przykrywka..
Ferbik - 2011-07-11, 09:10
Kurde teraz to się wydało, że nie jesteśmy non-profit
tONic - 2011-07-13, 09:51
Marta napisał/a: | No wiecie co chłopaki.. Ja myślałam, że forum to forum a nie jakaś przykrywka..
wielun.biz.JPG
|
i ciągle występuje
ale jak wpisze się bez kropki, to już problem znika - to pewnie jakiś spisek
Spooky - 2011-07-13, 10:44
Czy to tylko mnie się tak wydaje, czy ktoś wypozycjonował to forum na taką frazę?
Archdevil - 2011-07-13, 10:58
Pewnie ktoś chce, by forum zostało uznane w googlu za szkodliwą witrynę
Pytanie dlaczego mu na tym zależy...
kitor - 2011-07-13, 11:09
Nie będę wskazywać palcem potencjalnych zainteresowanych Ale kwestia tego kodu "białej" strony to chyba oddzielna sprawa i warto by było zbadać skąd to się bierze...
Administrator - 2011-07-24, 21:53
Przeanalizowałem sprawę i wg mnie na 100% jest winny trojan który losowo zamienia zawartość plików (moment w którym użytkownicy widzą "biały ekran" / komunikat o trojanie. Roboty googla trafiły akurat na ten moment no i przekierowanie wykonane przez trojana zrobiło swoje w wynikach googla.
Robal działa w bardzo nietypowy i trudny to wykrycia sposób. Nie wiem jak, ale musiał kiedyś dokleić kod do kilku plików systemowych na serwerze. W żadnym z plików forum nie ma kodu trojana. Raz na jakiś czas z serwera intruza wysyłane są zakodowane dane metodą POST do tego zarażonego pliku. Skrypt dzięki base64_decode() odkodowuje je, a eval() wykonuje polecenie systemowe. Uruchomiony zostaje blik binarny (losowa nazwa) który z kolei wykorzystuje bug apacha i ukrywa się pod jego nazwą. Plik binarny jest usuwany więc nie pozostawia żadnych śladów. Dzięki temu, że binarka przejęła fdsy od apacza listuje na porcie 80 i wysyła do losowych klientów kod trojana.
Dominika - 2011-09-20, 18:52
Coś się dzieje z forum- jak próbuję wejść na forum, pokazuje się okienko "pliki do pobrania".
Mrówek - 2011-09-20, 18:56
O co tu chodzi?
Karzełek - 2011-09-20, 19:04
Też tak miałem przed momentem.
Administrator - 2011-09-20, 19:48
Wszystko pod kontrolą, załapaliście się akurat na instalację pewnego programu
|
|