JS:Redirector-AM [Trj]

przez **evil** » 2009-11-17, 23:49:39

petreus007 napisał(a):
evil napisał(a):a na co Ci ta funkcja?.

Zawsze tam sprawdzałem nowe posty

ja zawsze przez funkcję "nowe posty"

przez **KenWatanabe** » 2009-11-17, 23:56:12

evil napisał(a):ja zawsze przez funkcję "nowe posty"

Ale do tego trzeba się zalogować, a mi się nie zawsze chce :cool:

przez **BlueMan** » 2009-11-18, 02:10:03

Teraz już powinno wszystko być ok

w razie czego piszcie co nie działa, albo co brakuje na forum.

- wiem, że nie działa wklejanie nazwy użytkownika do okienka szybkiej odpowiedzi po kliknięciu na jego nick przy poście.

przez **kosmowski.be** » 2009-11-18, 08:36:29

znowu przy wysylaniu szybkiej odpowiedzi przenosi mnie na strone z pusta strona odpowiedzi. musze cofnac i raz jeszcze wyslac posta.

przez **cre[a]tive** » 2009-12-23, 23:56:11

Cały czas dziś wyskakuje mi biała strona :-( Wciskam "podgląd" - biała strona, wciskam "wyślij" - biała strona. :kobietka:

przez **evil** » 2009-12-24, 00:43:07

w dodatku przy niektórych wejściach antywirus wywala mi, że jest trojan

...

przez **BlueMan** » 2009-12-24, 12:21:43

kobieta kiedyś wiedziałem dlaczego występuje biała strona. Ostatnio nie ;/

evil co do antywirusa - wiem, że takie coś występuje, ale zapewniam Cię, że to nie jest żaden trojan

Problem ten występuje tylko w niektórych antywirusach. Chodzi w nim o to, że powiedzmy w źródle strony jest odwołanie do jakiegoś pliku, np: http://blueforum.pl/favicon.ico jak klikniesz to w adresie przeglądarki zobaczysz: favicon.ico - nastąpiło przekierowanie (z ang: redirect) z "blueforum.pl" na "www.blueforum.eu". W źródle dalej jest stary adres, a antywirus zauważył jakieś przekierowanie i dlatego krzyczy, że to może być trojan.
Podobnie dzieje się z "blueforum.eu", bo przekierowywuje na "www.blueforum.eu"

Pliki na serwerze skanowałem 2 programami antywirusowymi i są czyste :yahoo:

przez **evil** » 2009-12-24, 14:25:07

OK - co do wira, to wiem, że nic takiego nie ma.

Co z powiadomkami?.

przez **BlueMan** » 2009-12-24, 14:45:30

Powinny dochodzić. Dziwne, że część dochodzi, część nie.

przez **evil** » 2009-12-24, 15:09:44

mi w ogóle nie dochodzą.

przez **BlueMan** » 2009-12-24, 17:26:18

Aż sobie Avast! zainstalowałem... zobaczymy. Narazie cisza.

przez **traphezz** » 2009-12-25, 12:35:06

Ostatnio na jakims blogu czytalem ze mial atak malware ktory dopisywal do plikow jakies skrypty w JS moze tu tez tak jest :0 teraz na jakies pliki w themes mi wywala

przez **BlueMan** » 2009-12-25, 14:00:05

traphezz to pewnie chodzi o doklejanie <iframe> do plików. U nas jest czysto z tego typu wklejek.

Przeskanowałem cały system antywirusem ClamAV.
Przeskanowałem pliki stron www AVG i Avast.

Nikt nic nie znalazł

Popytam w internecie o tym

przez **BlueMan** » 2009-12-26, 13:06:54

Mam dobre i złe wieści.

Dobre
Wiem nareszcie jaki kod JS się dokleja do plików

Kod: Zaznacz cały: <script type="text/javascript" language="javascript"> var tlqhhva=new Date( ); tlqhhva.setTime(tlqhhva.getTime( )+12*60*60*1000); document.cookie="n\x5fses\x73_id\x3d53d\x312540afaf174fd0466f84\x316\x35af\x65e3"+"; path=/\x3b ex\x70\151\x72es="+tlqhhva.toGMTString( ); </script> <script>document.write(String.fromCharCode(59+1,100,105,118,32,115,116,121,108,101,61,39,100,105,115,112,108,97,121,58,110,111,110,101,39,62))</script><a href="http://keygenguru.com">crack download</a>  <h1><a href="http://keygenguru.com">serials</a>  </h1><h1><a href="http://keygenguru.com">cracks</a>  </h1>96.50.164.106 <h1><a href="http://www.getcoolmovies.com/movies/countries/usa/avatar/">Watch Avatar movie</a>  </h1><a href="http://www.getcoolmovies.com/movies/countries/usa/avatar/">Buy Avatar movie</a>  249.122.20.35 <h1><a href="http://keygenguru.com/movies.php">online movies</a>  </h1><a href="http://keygenguru.com/movies.php">download movie</a>  178.4.93.87 <a href="http://supersoftwarestore.com">buy cheap software</a>  <h1><a href="http://supersoftwarestore.com">cheap software</a>  </h1>83.52.50.31 <h1><a href="http://keygenguru.com/software/Microsoft-Windows-Vista-sp2-x64-adobe-cs4-master-colletion.html">Buy Microsoft Windows Vista SP2 x64 Adobe CS4 Master Collection</a>  </h1><h1><a href="http://keygenguru.com/software/Autodesk-inventor-2010.html">Buy Autodesk Inventor 2010 </a>  </h1><a href="http://keygenguru.com/software/newtek-lightwave-3d-9.html">Download NewTek Lightwave 3D 9</a>  <h1><a href="http://keygenguru.com/software/the-foundry-nuke-maximun-2009.html">Buy The Foundry Nuke: Maximum 2009</a>  </h1><a href="http://keygenguru.com/software/Rosetta-Stone-Version-3-Portuguese-for-mac.html">Download Rosetta Stone Version 3: Portuguese(Brazil) Level 1, 2 Set for mac</a>  <h1><a href="http://keygenguru.com/software/Rosetta-Stone-Version-3-Italian-for-mac.html">Download Rosetta Stone Version 3: Italian Level 1, 2 & 3 Set for mac</a>  </h1><a href="http://keygenguru.com/software/Rosetta-Stone-Version-3-hebrew-for-mac.html">Buy Rosetta Stone Version 3: Hebrew Level 1, 2 for mac</a>  <a href="http://keygenguru.com/software/Microsoft-Windows-Vista-sp2-x64-adobe-cs4-master-colletion.html">Download Microsoft Windows Vista SP2 x64 Adobe CS4 Master Collection</a>  <h1><a href="http://keygenguru.com/software/nuance-omnipage-17-and-paper-report.html">Download Nuance OmniPage 17 Pro with Paper Report</a>  </h1>

Skanuje teraz główne pliki systemowe aby wykryć tego dziada

Kod: Zaznacz cały: grep -r "tlqhhva" home/ etc/ bin/ usr/ >> tlqhhva.txt

Zobaczymy

Złe
Mam wrażenie, że on nie siedzi w plikach stron www, a gdzieś w jakimś procesie systemowym. Wtedy będzie mi go trudno namierzyć.

przez **BlueMan** » 2009-12-26, 17:45:34

Namierzyłem skurczysyna

I juz go nie ma.

Wiecie co to było?
Był to kod PHP doklejony w 2 miejscach w PHP na serwerze.
Intruz wysyłał metodą POST dane, które były wykonywane na serwerze. Tymi danymi było odpalanie kolejnego procesu serwera apache - dzięki czemu uzyskiwał on dość spore możliwości na całym serwerze, a jednocześnie był nie do wykrycia, ponieważ na liście procesów widniał jako apache.
Jak już stworzył swoje dziecko to w losowy sposób, głównie dla plików graficznych doklejał swój kod. Po czym przywracał domyślną zawartość obrazka. Przez co był nie do namierzenia! :kobietka:

Teraz KAŻDY alert od antywirusa zgłaszajcie - razem ze screen z avasta i najlepiej kodem z zainfekowaną stroną.
Tylko nie zamykajcie alerta z avasta, bo on blokuje wtedy ten element. Przy otwartym oknie allertu otwórzcie źródło strony/obrazka i skopiujcie=

przez **pendrive** » 2010-01-02, 23:18:34

No dobrze, że już wszystko ok

przez **BlueMan** » 2010-01-02, 23:26:33

Dla zainteresowanych:
http://www.blueman.pl/internet/id1236-j ... ector.html

Opisałem jak usunąć trojana. Jak działała, itp

JS:Redirector-AM [Trj]

Re: problemy na forum

Re: problemy na forum

Re: problemy na forum

Re: problemy na forum

Kto przegląda forum