Wirus! Opcje

[iker]

Dostałem dziś e-maila adresowanego od: forum@php.pl o treści:

Kod

http://traffdollars.biz/dl/loadadv597.exe

-------------------------------------
Forum php.pl Statystyki:
-------------------------------------
Zarejestrowanych użytkowników 13567
Wszystkich postów: 215026
Busiest Time: 65 users were online on 2006-03-21 13:27

-------------------------------------
Podręczne linki
-------------------------------------
Adres forum: http://forum.php.pl/index.phpZaloguj: http://forum.php.pl/index.php?act=Login&CODE=00
Przywracanie hasła: http://forum.php.pl/index.php?act=Reg&CODE=10

-------------------------------------
Jak wypisać się z subskrypcji
-------------------------------------
Obejżyj twoje ustawienia email (http://forum.php.pl/index.php?act=UserCP&CODE=02) i wybierz  Wysyłaj informacje administratorów  i odznacz wybór

Link u góry listu prowadzi do wirusa! Ktoś się podszywa...

[nospor]

nie ty jeden to dostales. ok, dzieki za info, jak cos bedzie wiadomo konkretniej to sie odezwiemy. jakby ktos tez dostal tez niech napisze.


jesli ktos to dostanie, niech pamieta by nie otwierac

[Seth]

To moze mas mail do userow ze sprostowaniem + informacja na wortalu bo nie wiem czy wszyscy tutaj dotra

[wassago]

... Przykładem jestem ja :-) Mass mail to przedni pomysł, i browar dla tych co ucierpieli przez tego maila ;-P

[nospor]

Na chwile obecną problem wydaje sie byc rozwiązany. Przepraszamy za niedogodnosci i spam

ps: ide spac
ps2: dziękujemy za szybką reakcję uzytkowników, dzieki ktorym udalo sie i nam szybko zainterweniowac

[matrach]

Jest jeszcze jeden skutek.
W forum "Przedszkole" w przyklejonym temacie o kursach wszystkie linki prowadzą do tego pliku
--------------
Już ktoś naprawił

Ten post edytował matrach 7.05.2006, 12:10:53

[DeyV]

Zostało to już poprawione.
Dziura bezpieczeństwa również została już chyba załatana.

Za problemy serdecznie przepraszamy.

[Pronigo]

Chyba kolejny wirus krąży:

"Forum php.pl
Hello! Please, help our forum - http://traffmoney.biz/dl/loadadv606.exe

Thank You!"

dodatkowe info:
To: nospor@interia.pl
Subject: Hello! ( From Forum php.pl )
From: "Forum php.pl" <forum@php.pl>
X-Priority: 3
X-Mailer: IPB php Mailer
Message-Id: <E1Fc7q7-0006Xg-PU@php.pl>
Sender: www-data <www-data@php.pl>
Date: Fri, 05 May 2006 23:27:55 +0200

[zulus]

u mnie to samo

[mda]

ja tez dostalem, lecz data jest z 5 maja....

[spenalzo]

Czy było to związane z plikiem admin.php?

[czachor]

To już mój drugi mail... Kolejna dziura czy możliwe, że za pierwszym razem jakimś cudem wyciekła baza danych?

W sumie data jest też z 5.05., ale taka data rzeczą zmienną jest...

[easy]

Kod

From: Forum php.pl <forum@php.pl>    Mailed-By: php.pl
To: nospor@interia.pl
Date: May 5, 2006 11:27 PM
Subject: Hello! ( From Forum php.pl )

Kod

Forum php.pl
Hello! Please, help our forum - http://traffmoney.biz/dl/loadadv606.exe

Thank You!

:/

[seaquest]

Na prawdę nie ma co tragizować. Nie było kolejnego włamu. Po prostu podochodziły maile z poprzedniego. Świadczy o tym właśnie data i godzina oraz to, że do większości osób do którch mail nie doszedł wtedy, doszedł teraz.

[tommy4]

Mail jak wyżej, dotarł wczoraj. Po nazwie pliku wiedziałem, żeby nie otwierać. Load advertise!:D

[czachor]

Świadczy o tym właśnie data i godzina oraz to, że do większości osób do którch mail nie doszedł wtedy, doszedł teraz.

No tak, ale to jest już drugi mail. Wtedy dostałem pierwszego, dzisiaj kolejny. Niby ta data... Może jestem przewrażliwiony, nie wiem.

[Fallout]

Kod

From - Sat May 13 15:33:37 2006
X-Account-Key: account2
X-UIDL: 1147524975.19433.gol-gdynia.mm.pl,S=1908
X-Mozilla-Status: 0001
X-Mozilla-Status2: 00000000
+OK
From: avast! 4
Subject: [heurystyka avast! - OSTRZEŻENIE]  

Podejrzana sekwencja białych znaków


Nadawca:  "Ted" <Septimus.Cervantes@poczta.onet.pl>
Odbiorca:  <Florence.Boyer@o2.pl>
Temat:  Program                               14785013
.

dostalem to o 15.33 x2 czyli razem juz 3.. no panowie, najwiekszy portal php skupiajacy najwieksze grono progrmistow php w Polsce nie potrafi sam zalatac dziury?

pozdro

[seaquest]

Fallout, ale to co dostałeś, to nie od nas.

Na php.pl nie było kolejnego włamu.

[Fallout]

Fallout, ale to co dostałeś, to nie od nas.

Na php.pl nie było kolejnego włamu.

kurde fakt ze w tym nie widać to avast wyczyscil ale jak wyskoczylo to bylo php.pl i podobny odnosnik jak wczesniej :/ fakt ze zkacowany bylem no ale poszukam po logach :/ jesli faktycznie sie machnalem to sorki zaraz sprawdze

[edit]

W czeluściach logów znalazłem tylko to...

Kod

05/13/06 15:33:41 00000244:   --POP Heuristic module found something and user wants to delete message
05/13/06 15:33:43 00000244:   --POP Mail is clean
05/13/06 15:33:45 00000244:   --POP Mail is clean
05/13/06 15:33:48 00000244:   --POP Mail is clean
05/13/06 15:33:53 00000244:   --POP Mail is clean
05/13/06 15:33:54 00000244:   --POP Mail is clean
05/13/06 15:34:00 000000E4:   --POP Mail is clean
05/13/06 15:34:00 000000E4:   --POP Heuristic module found something and user wants to delete message

więc nijak mogę potwierdzić :/ no coż następnym razem screenshota zrobie

p.s. szkoda że avast nie zostawił więcej info :/

Ten post edytował Fallout 13.05.2006, 17:08:55

[nospor]

Panowie. Podczas ataku z piątego maja, poszly dwa mass maile. Pierwszy znich doszedl od razu prawie do wszystkich. Drugi, doszedl dzis w nocy. Nie wpominalalismy o drugim, bo wydawalo sie ze zostal zatrzymany. Najwyraźniej nie. zostal tylko opóźniony.