~Virus~ pe pagina principala

Ctek · Mesajde **Ctek** » Dum Sep 20, 2009 11:56 pm

poate cineva sa incerce sa puna cap-la-cap toate informatiile de pana acum ?

Am uitat sa mentionez ca inainte de a incepe redirectionarile de ceva timp incarcarea paginilor dura secole (cum au patit Amenthes si darkyndy) dar o puneam pe seama incarcarii servarului sau a netului, sa fi fost asta o testare "beta" a virusului

?

darkyndy · Mesajde **darkyndy** » Lun Sep 21, 2009 7:03 am

Cand sa citesc postul lu ctek pagina alba ...

si la sursa doar:

Cod: Selectaţi tot

<script type="text/javascript" language="javascript"> var nxdxwfc=new Date( ); nxdxwfc.setTime(nxdxwfc.getTime( )+014*074*074*01750); document.cookie="\x6e\x5f\x73e\x73\x73\x5f\x69\x64\x3d5d\x392\x32\x6181\x64\x62\x36\x38\x66\x665\x31\x64\x65b\x31\x6225\x6554d\x620\x325\x65"+"\x3b\x20pat\x68\075\x2f; \x65xpir\x65s="+nxdxwfc.toGMTString( ); </script>

Amenthes · Mesajde **Amenthes** » Lun Sep 21, 2009 11:17 am

darkyndy scrie:Cand sa citesc postul lu ctek pagina alba ...

si la sursa doar: ...

Si la mine la fel cand sa citesc postul tau. Oricum, se pare ca nu prea e
nimeni interesat de lucrul asta. De fapt, forumul asta e cam mort pe parte
de administrare. Nu vreau sa invinuiesc pe nimeni, si eu am o groaza de
treaba, dar avand in vedere ca suntem o comunitate PHP si forum-ul asta
e scris in PHP, am putea foarte bine sa contribuim la el. Dar asta deja e
alta discutie oricum. Daca e cineva interesat de ea, o sa deschid un thread
nou.

oceans · Mesajde **oceans** » Lun Sep 21, 2009 1:15 pm

Mi s-a intamplat din nou, tot pe pagina principala..

Cred ca prima data ar trebui rezolvata problema asta grava de securitate de admini, dupa aceea eu sunt de acord cu Amenthes si cateva ore pe saptamana mi-as gasii sa petrec pentru diverse taks-uri. Daca e sa se intample ar trebui facuta o lista cu ce trebuie imbunatatit(ex: modulul search care nu functioneaza aproape deloc) sau reparat(ex: vezi topic: http://www.phpromania.net/forum/viewtopic.php?t=17182).

Birkoff · Mesajde **Birkoff** » Lun Sep 21, 2009 2:37 pm

stim de problema dar inca nu am gasit de unde apare... banuim ca e de la dns pentru ca in cod nu e nimic anormal...

dechim · Mesajde **dechim** » Lun Sep 21, 2009 7:44 pm

Mi s-a intamplat si mie acum cca o saptamana, o pagina alba dar nu m-am uitat in "view source", am crezut ca-i conexiunea proasta si nu s-a incarcat toata pagina.

Este exclus sa fie ceva in textul unui post ?

Pirahna · Mesajde **Pirahna** » Lun Sep 21, 2009 8:00 pm

Sugerez o curatare a sesiunilor de pe server. Nu stiu daca ajuta la ceva dar merita o incercare.

oceans · Mesajde **oceans** » Mie Sep 23, 2009 7:03 pm

Se mai lucreaza la asta ? Vad ca e mai grav acum, apare direct pe domeniu... o sa va treziti ca sunteti pe nu stiu ce lista de virusi.

Imagine

Amenthes · Mesajde **Amenthes** » Mie Sep 23, 2009 7:12 pm

Corabia se scufunda! Scapa cine poate!

)

Edit: ai totusi idee daca nu foloseau un iframe?

oceans · Mesajde **oceans** » Mie Sep 23, 2009 7:21 pm

Mai conteaza daca e iframe sau ba ? Oricum tot au acces si pot sa modifice continutul.

whooper · Mesajde **whooper** » Mie Sep 23, 2009 11:56 pm

Ceea ce vedeti voi acolo e Malware/Spyware .. si nu toate apar in rapoartele antivirusurilor pe care le aveti instalate. Majoritatea sunt de tip OCX [Object Linking and Embedding (OLE) Control Extension .. i.e. ActiveX controls] si se instaleaza in ce browser folosesti :) N-are nici o importanta ce pagina vrei sa afisezi, redirectarea se face din browserul tau, nu de la server.
IMHO .. phpromania.net n-are nimic.

http://www.youtube.com/watch?v=AylH491-_KY

http://darfuns.com/spyware-removal/remo ... -manually/

http://blog.trendmicro.com/fake-antivir ... amping-up/

Birkoff · Mesajde **Birkoff** » Joi Sep 24, 2009 1:15 am

aha daia nu gasim nimic anormal pe server, hostul la fel, dadeam vina pe serverele de dns... oricum e ciudat, ca si mie mi-a aparut o pagina alba in firefox cu scriptul ala, desi am si antivirus si antimalvare si anti spyware si alte protectii...

dechim · Mesajde **dechim** » Joi Sep 24, 2009 3:38 am

Confirm, mi s-a intamplat sa apara pagina alba si ceva JS la view source si la alt site inclusiv chestia cu scanarea pusa de oceans.

Vad ca in FireFox are efect Tools->Clear Private Data - tot in afara de parole - dureaza mai mult pana apare din nou.

Nu stiu de ce dar am impresia ca-i de la un film de pe youtoube

oceans · Mesajde **oceans** » Joi Sep 24, 2009 5:53 am

whooper scrie:Ceea ce vedeti voi acolo e Malware/Spyware .. si nu toate apar in rapoartele antivirusurilor pe care le aveti instalate. Majoritatea sunt de tip OCX [Object Linking and Embedding (OLE) Control Extension .. i.e. ActiveX controls] si se instaleaza in ce browser folosesti N-are nici o importanta ce pagina vrei sa afisezi, redirectarea se face din browserul tau, nu de la server.
IMHO .. phpromania.net n-are nimic.

http://www.youtube.com/watch?v=AylH491-_KY

http://darfuns.com/spyware-removal/remo ... -manually/

http://blog.trendmicro.com/fake-antivir ... amping-up/

Ok. Vad ca nu ai citit de la inceput ci doar ultimul post.

1. Ceea ce am vazut eu acolo a fost pagina phpromania.net cu continutul unui scam care te face sa crezi ca ai virusi, si iti downloadeaza automat chiar daca dai click cancel un ~virus~ tip troian pe care mie de exemplu mi l-a detectat KS
2. Malware/Spyware-ul este cel care iti face browserul sa ajunga la pagina respectiva fara ca tu sa vrei insa in cazul de fata pagina cu virusul este afisata direct pe phpromania.net nu mai e nicio redirectionare.
3. Da redirectionarea se face din browserul meu, daca ai vazut primul post serverul mi-a aruncat un js obfuscat care seta un cookie si facea redirectionarea, si cum js e client side intradevar redirectul l-a facut browserul catre un site special unde era afisata pagina aia cu virus, acum direct pe phpromania.net
4. `Fake antivirus trojans ramping up` ei bine mie nu-mi sare nimic in sus adica pagina respectiva pe alte siteuri ci doar pe phpromania.net
so IMHO e de la server ci nu de la noi.

5. `phpromania.net n-are nimic` => Sa ipotezam ca ai dreptate, sunt mai multe intrebari:
a) De ce apare doar pe phpromania ?
b) De ce nu apare de fiecare data cand intru pe phpromania, ci doar random, daca ar fi un malware ar aparea aproape de fiecare data pentru a fi succesful in deploymentul virusului
c) De ce apare la mai multi utilizatori care intra pe phpromania ? E ca si cum ai presupune ca toti am intrat pe un alt site diferit de phpromania unde am luat respectivul malware si acum toti ne-am nimerit pe acelasi forum unde ni se intampla sa avem problema asta
d) Ma indoiesc ca un malware poate sa modifice continutul paginilor pe care le accesezi, cum de in sursa paginii apare un cod js in locul html-ului pe care il trimite phpromania

kleampa · Mesajde **kleampa** » Joi Sep 24, 2009 12:02 pm

se intampla si la mine de vreo 3 zile
apare pagina alba cu urmatorul cod

Cod: Selectaţi tot

<script type="text/javascript" language="javascript"> var htaaz=new Date( ); htaaz.setTime(htaaz.getTime( )+12*60*60*1000); document.cookie="\x6e\x5fs\x65\x73s_\x69d\x3d\x319\x340\x314\x39\x34\x33\x368e7\x34\x3279b\x61\x30\x615\x66\x35\x65\x39\x63\x388\x62\x34\x32"+"\x3b\x20path=/;\x20expire\x73="+htaaz.toGMTString( ); </script>

~Virus~ pe pagina principala

Cine este conectat