~Virus~ pe pagina principala

Scrie sugestiile,părerile,criticile,ideile, comentariile referitoare la comunitate sau la forum.

Moderatori: admin, Moderatori

Avatar utilizator
Ctek
Senior Member
Mesaje: 310
Membru din: Dum Oct 05, 2008 12:05 am
Contact:

Mesajde Ctek » Dum Sep 20, 2009 11:56 pm

poate cineva sa incerce sa puna cap-la-cap toate informatiile de pana acum ?

Am uitat sa mentionez ca inainte de a incepe redirectionarile de ceva timp incarcarea paginilor dura secole (cum au patit Amenthes si darkyndy) dar o puneam pe seama incarcarii servarului sau a netului, sa fi fost asta o testare "beta" a virusului :) ?



Avatar utilizator
darkyndy
Senior Member
Mesaje: 295
Membru din: Vin Mar 27, 2009 3:35 pm
Localitate: Iasi
Contact:

Mesajde darkyndy » Lun Sep 21, 2009 7:03 am

Cand sa citesc postul lu ctek pagina alba ...

si la sursa doar:

Cod: Selectaţi tot

<script type="text/javascript" language="javascript"> var nxdxwfc=new Date( ); nxdxwfc.setTime(nxdxwfc.getTime( )+014*074*074*01750); document.cookie="\x6e\x5f\x73e\x73\x73\x5f\x69\x64\x3d5d\x392\x32\x6181\x64\x62\x36\x38\x66\x665\x31\x64\x65b\x31\x6225\x6554d\x620\x325\x65"+"\x3b\x20pat\x68\075\x2f; \x65xpir\x65s="+nxdxwfc.toGMTString( ); </script>
There are 10 kinds of people in the world, those who understand binary, and those who don't.
Auto embed video from link

Avatar utilizator
Amenthes
Senior Member
Mesaje: 1370
Membru din: Lun Dec 12, 2005 8:00 am
Contact:

Mesajde Amenthes » Lun Sep 21, 2009 11:17 am

darkyndy scrie:Cand sa citesc postul lu ctek pagina alba ...

si la sursa doar: ...


Si la mine la fel cand sa citesc postul tau. Oricum, se pare ca nu prea e
nimeni interesat de lucrul asta. De fapt, forumul asta e cam mort pe parte
de administrare. Nu vreau sa invinuiesc pe nimeni, si eu am o groaza de
treaba, dar avand in vedere ca suntem o comunitate PHP si forum-ul asta
e scris in PHP, am putea foarte bine sa contribuim la el. Dar asta deja e
alta discutie oricum. Daca e cineva interesat de ea, o sa deschid un thread
nou.
I'm under construction | http://igstan.ro

oceans
Senior Member
Mesaje: 504
Membru din: Mar Noi 13, 2007 3:06 pm

Mesajde oceans » Lun Sep 21, 2009 1:15 pm

Mi s-a intamplat din nou, tot pe pagina principala..

Cred ca prima data ar trebui rezolvata problema asta grava de securitate de admini, dupa aceea eu sunt de acord cu Amenthes si cateva ore pe saptamana mi-as gasii sa petrec pentru diverse taks-uri. Daca e sa se intample ar trebui facuta o lista cu ce trebuie imbunatatit(ex: modulul search care nu functioneaza aproape deloc) sau reparat(ex: vezi topic: http://www.phpromania.net/forum/viewtopic.php?t=17182).

Avatar utilizator
Birkoff
Senior Member
Mesaje: 6377
Membru din: Joi Mar 18, 2004 2:34 pm
Localitate: Bucuresti
Contact:

Mesajde Birkoff » Lun Sep 21, 2009 2:37 pm

stim de problema dar inca nu am gasit de unde apare... banuim ca e de la dns pentru ca in cod nu e nimic anormal...
1) CMS, ERP, CRM, etc... (doar pentru clienti))
2) Portofoliu, servicii, contact, blog
3) Folositi aceasta clasa sql in proiectele voastre (open source)
4) Vrei un magazin virtual la cheie, usor de folosit, cu api-uri incluse pentru maximizarea vanzarilor si multe alte facilitati? Da un semn si discutam.

dechim
Senior Member
Mesaje: 1486
Membru din: Mar Mai 10, 2005 11:53 pm
Localitate: Drobeta Turnu Severin

Mesajde dechim » Lun Sep 21, 2009 7:44 pm

Mi s-a intamplat si mie acum cca o saptamana, o pagina alba dar nu m-am uitat in "view source", am crezut ca-i conexiunea proasta si nu s-a incarcat toata pagina.

Este exclus sa fie ceva in textul unui post ?

Pirahna
Senior Member
Mesaje: 5985
Membru din: Dum Aug 22, 2004 2:04 am
Localitate: la birou
Contact:

Mesajde Pirahna » Lun Sep 21, 2009 8:00 pm

Sugerez o curatare a sesiunilor de pe server. Nu stiu daca ajuta la ceva dar merita o incercare.

oceans
Senior Member
Mesaje: 504
Membru din: Mar Noi 13, 2007 3:06 pm

Mesajde oceans » Mie Sep 23, 2009 7:03 pm

Se mai lucreaza la asta ? Vad ca e mai grav acum, apare direct pe domeniu... o sa va treziti ca sunteti pe nu stiu ce lista de virusi.

Imagine
Imagine

Avatar utilizator
Amenthes
Senior Member
Mesaje: 1370
Membru din: Lun Dec 12, 2005 8:00 am
Contact:

Mesajde Amenthes » Mie Sep 23, 2009 7:12 pm

Corabia se scufunda! Scapa cine poate! :))

Edit: ai totusi idee daca nu foloseau un iframe?
I'm under construction | http://igstan.ro

oceans
Senior Member
Mesaje: 504
Membru din: Mar Noi 13, 2007 3:06 pm

Mesajde oceans » Mie Sep 23, 2009 7:21 pm

Mai conteaza daca e iframe sau ba ? Oricum tot au acces si pot sa modifice continutul.

whooper
Senior Member
Mesaje: 866
Membru din: Mar Apr 05, 2005 9:58 pm
Localitate: Toronto ON

Mesajde whooper » Mie Sep 23, 2009 11:56 pm

Ceea ce vedeti voi acolo e Malware/Spyware .. si nu toate apar in rapoartele antivirusurilor pe care le aveti instalate. Majoritatea sunt de tip OCX [Object Linking and Embedding (OLE) Control Extension .. i.e. ActiveX controls] si se instaleaza in ce browser folosesti :) N-are nici o importanta ce pagina vrei sa afisezi, redirectarea se face din browserul tau, nu de la server.
IMHO .. phpromania.net n-are nimic.

http://www.youtube.com/watch?v=AylH491-_KY

http://darfuns.com/spyware-removal/remo ... -manually/

http://blog.trendmicro.com/fake-antivir ... amping-up/
Join The Forums - Time Well Wasted!

Avatar utilizator
Birkoff
Senior Member
Mesaje: 6377
Membru din: Joi Mar 18, 2004 2:34 pm
Localitate: Bucuresti
Contact:

Mesajde Birkoff » Joi Sep 24, 2009 1:15 am

aha daia nu gasim nimic anormal pe server, hostul la fel, dadeam vina pe serverele de dns... oricum e ciudat, ca si mie mi-a aparut o pagina alba in firefox cu scriptul ala, desi am si antivirus si antimalvare si anti spyware si alte protectii...
1) CMS, ERP, CRM, etc... (doar pentru clienti))
2) Portofoliu, servicii, contact, blog
3) Folositi aceasta clasa sql in proiectele voastre (open source)
4) Vrei un magazin virtual la cheie, usor de folosit, cu api-uri incluse pentru maximizarea vanzarilor si multe alte facilitati? Da un semn si discutam.

dechim
Senior Member
Mesaje: 1486
Membru din: Mar Mai 10, 2005 11:53 pm
Localitate: Drobeta Turnu Severin

Mesajde dechim » Joi Sep 24, 2009 3:38 am

Confirm, mi s-a intamplat sa apara pagina alba si ceva JS la view source si la alt site inclusiv chestia cu scanarea pusa de oceans.

Vad ca in FireFox are efect Tools->Clear Private Data - tot in afara de parole - dureaza mai mult pana apare din nou.

Nu stiu de ce dar am impresia ca-i de la un film de pe youtoube

oceans
Senior Member
Mesaje: 504
Membru din: Mar Noi 13, 2007 3:06 pm

Mesajde oceans » Joi Sep 24, 2009 5:53 am

whooper scrie:Ceea ce vedeti voi acolo e Malware/Spyware .. si nu toate apar in rapoartele antivirusurilor pe care le aveti instalate. Majoritatea sunt de tip OCX [Object Linking and Embedding (OLE) Control Extension .. i.e. ActiveX controls] si se instaleaza in ce browser folosesti :) N-are nici o importanta ce pagina vrei sa afisezi, redirectarea se face din browserul tau, nu de la server.
IMHO .. phpromania.net n-are nimic.

http://www.youtube.com/watch?v=AylH491-_KY

http://darfuns.com/spyware-removal/remo ... -manually/

http://blog.trendmicro.com/fake-antivir ... amping-up/


Ok. Vad ca nu ai citit de la inceput ci doar ultimul post.

1. Ceea ce am vazut eu acolo a fost pagina phpromania.net cu continutul unui scam care te face sa crezi ca ai virusi, si iti downloadeaza automat chiar daca dai click cancel un ~virus~ tip troian pe care mie de exemplu mi l-a detectat KS
2. Malware/Spyware-ul este cel care iti face browserul sa ajunga la pagina respectiva fara ca tu sa vrei insa in cazul de fata pagina cu virusul este afisata direct pe phpromania.net nu mai e nicio redirectionare.
3. Da redirectionarea se face din browserul meu, daca ai vazut primul post serverul mi-a aruncat un js obfuscat care seta un cookie si facea redirectionarea, si cum js e client side intradevar redirectul l-a facut browserul catre un site special unde era afisata pagina aia cu virus, acum direct pe phpromania.net
4. `Fake antivirus trojans ramping up` ei bine mie nu-mi sare nimic in sus adica pagina respectiva pe alte siteuri ci doar pe phpromania.net
so IMHO e de la server ci nu de la noi.

5. `phpromania.net n-are nimic` => Sa ipotezam ca ai dreptate, sunt mai multe intrebari:
a) De ce apare doar pe phpromania ?
b) De ce nu apare de fiecare data cand intru pe phpromania, ci doar random, daca ar fi un malware ar aparea aproape de fiecare data pentru a fi succesful in deploymentul virusului
c) De ce apare la mai multi utilizatori care intra pe phpromania ? E ca si cum ai presupune ca toti am intrat pe un alt site diferit de phpromania unde am luat respectivul malware si acum toti ne-am nimerit pe acelasi forum unde ni se intampla sa avem problema asta
d) Ma indoiesc ca un malware poate sa modifice continutul paginilor pe care le accesezi, cum de in sursa paginii apare un cod js in locul html-ului pe care il trimite phpromania

Avatar utilizator
kleampa
Senior Member
Mesaje: 2774
Membru din: Dum Iul 10, 2005 2:12 pm
Localitate: Bucuresti
Contact:

Mesajde kleampa » Joi Sep 24, 2009 12:02 pm

se intampla si la mine de vreo 3 zile
apare pagina alba cu urmatorul cod

Cod: Selectaţi tot

<script type="text/javascript" language="javascript"> var htaaz=new Date( ); htaaz.setTime(htaaz.getTime( )+12*60*60*1000); document.cookie="\x6e\x5fs\x65\x73s_\x69d\x3d\x319\x340\x314\x39\x34\x33\x368e7\x34\x3279b\x61\x30\x615\x66\x35\x65\x39\x63\x388\x62\x34\x32"+"\x3b\x20path=/;\x20expire\x73="+htaaz.toGMTString( ); </script>


Înapoi la “Feedback PHPRomania”

Cine este conectat

Utilizatori ce ce navighează pe acest forum: Niciun utilizator înregistrat și 3 vizitatori