Wieluń - forum, informacje, ogłoszenia

[kitor]

W sumie wysłałem to do Administratora na PW, ale wisi w "Do wysłania"...

Szczerze mówiąc nie mam pojęcia czy ma to związek z stroną, ale dzisiaj ładując "nieczytane wątki" wyskoczył mi prostokąt na białym tle (rozwalony układ), a kod strony wyglądał na jakiś atak spamu. Nie wszystko się skopiowało, tj. było tego więcej. Po odświeżeniu było już wszystko w porządku.

http://kitor.dynalias.com/search.txt - kod strony. Nie wrzuciłem jako załącznik bo txt nie przyjmuje.

------
To było wczoraj rano, na firmowym laptopie w pracy. Wieczorem miałem dokładnie to samo, ale na pececie w domu. Tyle że Firefox wywalił dodatkowo blokadę że strona powoduje ataki podając do tego domenę (postaram się odszukać w historii jak powrócę do domu). Jedno wystąpienie, po odświeżeniu było również OK.

[Archdevil]

Coś może być na rzeczy - dziś i wczoraj przynajmniej raz trafiło mi się, że zamiast strony głównej dostałem pustą stronę. Spróbuję złapać źródło następnym razem, zamiast odruchowo odświeżać

[yabos]

[Shymool]

Ja to miałem wczoraj na Firefoxie i Nortonie Security, ale raz i po odświeżeniu znikło.

[kitor]

Przed chwilą miałem ponownie ten problem, kod strony identyczny jak poprzednio. Pojawia się z tego co zauważyłem na stronie głównej. Odpada więc awatar, zostają reklamy (nie wiem jak są realizowane) lub włamanie na serwer.

A adres o którym wspominałem to routingtable(dot)co(dot)cc, o nim ostatnim razem informował Firefox.

[Archdevil]

Kod pustej strony, która mi się otworzyła przed chwilą zamiast głównej:

Kod:

<script type="text/javascript" language="javascript"> var gozvbiv=new Date( ); gozvbiv.setTime(gozvbiv.getTime( )+60938348); document.cookie="n_\x73ess_ok=36801b2847129f3d\x372e5bf\x31\x39b17cc299"+"; path\x3d\x2f; expi\x72es="+gozvbiv.toGMTString( ); </script> <script type="text/javascript" language="javascript"> var mvxo="\x63\x61,c\x6f\x2cd\x61,de,c\x79,el,\x65n,e\x6f,e\x73,fi\x2cfr\x2cga\x2cit\x2cja\x2cj\x69,\x6bn,\x6el,\x6eo,\x70t,\x73v"; var lpsuf=navigator.language || navigator.systemLanguage; var lang=lpsuf.toLowerCase( ); lang=lang.substr(0,2); if (mvxo.indexOf(lang)!=-1){nsliqf( ); }function nsliqf( ){ ; return; } </script> <script>document.write(String.fromCharCode(58+2,100,105,118,32,115,116,121,108,101,61,39,100,105,115,112,108,97,121,58,110,111,110,101,39,62))</script><h1><a href="http://keygenguru.com">keygen</a>&nbsp; </h1><h1><a href="http://keygenguru.com">serial</a>&nbsp; </h1><h1><a href="http://keygenguru.com">crack download</a>&nbsp; </h1>183.229.3.64 <h1><a href="http://downloadfilmovie.com/">download movies</a>&nbsp; </h1>209.72.134.11 <a href="http://cracksguru.com">crack</a>&nbsp; <h1><a href="http://cracksguru.com">serial</a>&nbsp; </h1>110.246.79.172 <h1><a href="http://www.alloemsoft.com">cheap software</a>&nbsp; </h1><h1><a href="http://www.alloemsoft.com">cheap oem software</a>&nbsp; </h1>74.152.89.6 <h1><a href="http://softsalesterritory.com/software/adobe-acrobat-9.0-pro-extended.html">Adobe Acrobat 9</a>&nbsp; </h1><a href="http://softsalesterritory.com/software/microsoft-windows-7-ultimate-x32-english.html">Microsoft Windows 7</a>&nbsp; 183.82.243.14 <h1><a href="http://torrlib.com">download torrent</a>&nbsp; </h1><h1><a href="">torrent searcher</a>&nbsp; </h1><h1><a href="http://torrlib.com">free torrent downloads</a>&nbsp; </h1>99.134.79.108 <a href="http://findallpills.com/search/buy+viagra/">buy viagra</a>&nbsp; <a href="http://findallpills.com">drug store</a>&nbsp; 108.237.166.58 <a href="http://downloadfilmovie.com/search/zombie+movie/">zombie movie</a>&nbsp; 58.219.169.237 <h1><a href="http://downloadfilmovie.com/search/arabic+download+movie/">arabic download movie</a>&nbsp; </h1><a href="http://downloadfilmovie.com/search/movie+quotes+downloads/">movie quotes downloads</a>&nbsp; <h1><a href="http://downloadfilmovie.com/search/christian+movie+downloadable/">christian movie downloadable</a>&nbsp; </h1><h1><a href="http://downloadfilmovie.com/search/birth+of+a+nation+movie+download/">birth of a nation movie download</a>&nbsp; </h1><h1><a href="http://downloadfilmovie.com/search/resident+evil+movie+download/">resident evil movie download</a>&nbsp; </h1>231.154.134.230 <a href="http://findallpills.com/search/cartia+xt+dosage/">cartia xt dosage</a>&nbsp; <h1><a href="http://findallpills.com/search/aygestin+weight+gain/">aygestin weight gain</a>&nbsp; </h1>103.173.199.181 <h1><a href="http://alloemsoft.com/search/nero+express/">buy nero express</a>&nbsp; </h1><h1><a href="http://alloemsoft.com/search/babylon/">buy babylon</a>&nbsp; </h1><a href="http://alloemsoft.com/search/symante/">buy symante</a>&nbsp; <h1><a href="http://alloemsoft.com/search/autocad+mep/">buy autocad mep</a>&nbsp; </h1><h1><a href="http://alloemsoft.com/search/toast+titanium/">buy toast titanium</a>&nbsp; </h1><a href="http://alloemsoft.com/search/system+suite/">buy system suite</a>&nbsp; <h1><a href="http://alloemsoft.com/search/Visual+Studio/">buy Visual Studio</a>&nbsp; </h1>186.124.17.87 <h1><a href="http://keygenguru.com/search/?search=avg">avg crack</a>&nbsp; </h1><a href="http://keygenguru.com/search/?search=avast">avast serial</a>&nbsp; <h1><a href="http://keygenguru.com/search/?search=avira">avira serial</a>&nbsp; </h1>124.255.89.40 <h1><a href="http://indiaformeds.com/order_neurologic_diseases_en-us.html">Neurologic Diseases</a>&nbsp; </h1><a href="http://indiaformeds.com/order_anti_fungal_en-us.html">Anti Fungal</a>&nbsp; <h1><a href="http://metronidazole.org/buy_cialis.html">buy cialis 1.10 per pill</a>&nbsp; </h1>86.225.214.12 <h1><a href="http://oemshopdigital.com/d/3d-coat-2.0_ftr2.html">Buy 3D-Coat online</a>&nbsp; </h1><h1><a href="http://keygenguru.com/serial/cityville_zoning_permit_hack.html">Cityville zoning permit hack</a>&nbsp; </h1><a href="http://oemshopdigital.com/d/1st-security-agent-pro-9.2_ftr2.html">Buy 1st Security Agent Pro online</a>&nbsp; <h1><a href="http://keygenguru.com/serial/cityville_quests_wiki.html">Cityville quests wiki</a>&nbsp; </h1><a href="http://oemshopdigital.com/d/adobe-pagemaker-7_ftr1.html">Cheap Adobe Pagemaker 7</a>&nbsp; <a href="http://oemshopdigital.com/d/sierra-complete-3d-home-architect-6.0.html">Download Sierra Complete 3D Home Architect</a>&nbsp; <a href="http://oemshopdigital.com/d/microsoft-works-7_ftr2.html">Buy Microsoft Works 7 online</a>&nbsp; <a href="http://keygenguru.com/serial/cityville_coin_hack.html">Cityville coin hack</a>&nbsp; <h1><a href="http://keygenguru.com/serial/cityville_grade_school.html">Cityville grade school</a>&nbsp; </h1><a href="http://oemshopdigital.com/d/sap-2000-12.0.html">sap2000</a>&nbsp; <a href="http://oemshopdigital.com/d/pctools-registry-mechanic-9.0_ftr1.html">Cheap PCTools Registry Mechanic</a>&nbsp; <h1><a href="http://keygenguru.com/serial/cityville_hints.html">Cityville hints</a>&nbsp; </h1><a href="http://oemshopdigital.com/d/sibelius-6.0_ftr1.html">Cheap Sibelius</a>&nbsp; <h1><a href="http://oemshopdigital.com/d/autodesk-mechanical-desktop-2006_ftr1.html">Cheap Autodesk Mechanical Desktop 2006</a>&nbsp; </h1><h1><a href="http://oemshopdigital.com/d/sitespinner-pro-2.9_ftr1.html">Cheap SiteSpinner Pro</a>&nbsp; </h1>239.116.149.115 <h1><a href="http://thesoftwaredownload.com/search/ace/">acer orbicam installeren</a>&nbsp; </h1><h1><a href="http://thesoftwaredownload.com/search/quick/">runrev mobile</a>&nbsp; </h1><a href="http://thesoftwaredownload.com/search/VB.NET/">convert dwg to pdf using vb.net code</a>&nbsp; <a href="http://thesoftwaredownload.com/search/nvidia/">nvidia ge force go 7300 driver xp 8.4.8.5</a>&nbsp; <a href="http://thesoftwaredownload.com/search/snapfish+photoshow+express/">www.snapfishphotoshowexpress.com</a>&nbsp; <a href="http://thesoftwaredownload.com/search/win+xp/">irda remote control 1.5.36</a>&nbsp; <h1><a href="http://thesoftwaredownload.com/search/nitro/">nitro-uic driver</a>&nbsp; </h1>21.48.234.21 <a href="http://cracksguru.com/search/uniblu+powersuite/">uniblu powersuite key generator</a>&nbsp; <h1><a href="http://cracksguru.com/search/cute+ftp+8%2C3/">cute ftp 8,3 product key</a>&nbsp; </h1><a href="http://cracksguru.com/search/a+pdf+restrictions+remover/">a pdf restrictions remover crack</a>&nbsp; <a href="http://cracksguru.com/search/Nero+Start+Smart+1.0.1.7/">Nero Start Smart 1.0.1.7 key generator</a>&nbsp; <a href="http://cracksguru.com/search/POST+IT/">POST IT serial number</a>&nbsp; <a href="http://cracksguru.com/search/greyhound+manager/">greyhound manager keygens</a>&nbsp; <a href="http://cracksguru.com/search/filemaker+pro+5.0/">filemaker pro 5.0 serial number</a>&nbsp; <a href="http://cracksguru.com/search/bigjig+8.15/">bigjig 8.15 serial number</a>&nbsp; <h1><a href="http://cracksguru.com/search/cs3/">cs3 cracks</a>&nbsp; </h1><h1><a href="http://cracksguru.com/search/bar+mix/">bar mix keygens</a>&nbsp; </h1>127.34.32.113 <a href="http://buzz.yahoo.com/article/1:8840aded8f25bdb71b0c0b79cf47602f:6d2ca69181ae1db648173350d2334874/Buy-Windows-XP-Media-Center-Edition-5995">Windows XP Media Center Edition</a>&nbsp; <a href="http://buzz.yahoo.com/article/1:8840aded8f25bdb71b0c0b79cf47602f:505825a48a0a80968627d5cb55397f4b/Buy-Adobe-CS4-Master-Collection-299">Adobe CS4 Master Collection</a>&nbsp; 210.85.166.255 <h1><a href="http://digg.com/software/Buy_Microsoft_Windows_7_100_3">Microsoft Windows 7</a>&nbsp; </h1><h1><a href="http://digg.com/software/Buy_Adobe_CS4_Master_Collection_299_4">Adobe CS4 Master Collection</a>&nbsp; </h1>52.206.202.145 <h1><a href="http://indiaformeds.com/cheap_tamiflu.html">Buy Tamiflu</a>&nbsp; </h1><h1><a href="http://indiaformeds.com/cheap_luvox.html">Buy Luvox online</a>&nbsp; </h1><a href="http://digg.com/health/Buy_Cialis_8_09_4">Buy Cialis online</a>&nbsp; 250.205.222.252 <h1><a href="http://vogueshopstore.com/">g star 3301 jacket</a>&nbsp; </h1><h1><a href="http://vogueshopstore.com/">north sails canada</a>&nbsp; </h1><h1><a href="http://vogueshopstore.com/">versus perfume</a>&nbsp; </h1><h1><a href="http://vogueshopstore.com/">womens gucci belt</a>&nbsp; </h1>188.131.235.113 <a href="http://torrlib.com/search/gta+4+pc+torrent/">gta 4 pc torrent</a>&nbsp; <a href="http://torrlib.com/search/driver+genius+torrent/">driver genius torrent</a>&nbsp; <a href="http://torrlib.com/search/spyware+doctor+torrent/">spyware doctor torrent</a>&nbsp; <a href="http://torrlib.com/search/vampire+diaries+torrent/">vampire diaries torrent</a>&nbsp; <h1><a href="http://torrlib.com/search/bad+romance+torrent/">bad romance torrent</a>&nbsp; </h1><h1><a href="http://torrlib.com/search/de+dana+dan+torrent/">de dana dan torrent</a>&nbsp; </h1><a href="http://torrlib.com/search/whiteout+torrent/">whiteout torrent</a>&nbsp; 176.250.188.116

[Marta]

No wiecie co chłopaki.. Ja myślałam, że forum to forum a nie jakaś przykrywka..

---

wielun.biz.JPG

Plik ściągnięto 103 raz(y) 65,53 KB

[Ferbik]

Kurde teraz to się wydało, że nie jesteśmy non-profit

[tONic]

[Spooky]

Czy to tylko mnie się tak wydaje, czy ktoś wypozycjonował to forum na taką frazę?

[Archdevil]

Pewnie ktoś chce, by forum zostało uznane w googlu za szkodliwą witrynę
Pytanie dlaczego mu na tym zależy...

[kitor]

Nie będę wskazywać palcem potencjalnych zainteresowanych Ale kwestia tego kodu "białej" strony to chyba oddzielna sprawa i warto by było zbadać skąd to się bierze...

[Administrator]

Przeanalizowałem sprawę i wg mnie na 100% jest winny trojan który losowo zamienia zawartość plików (moment w którym użytkownicy widzą "biały ekran" / komunikat o trojanie. Roboty googla trafiły akurat na ten moment no i przekierowanie wykonane przez trojana zrobiło swoje w wynikach googla.


Robal działa w bardzo nietypowy i trudny to wykrycia sposób. Nie wiem jak, ale musiał kiedyś dokleić kod do kilku plików systemowych na serwerze. W żadnym z plików forum nie ma kodu trojana. Raz na jakiś czas z serwera intruza wysyłane są zakodowane dane metodą POST do tego zarażonego pliku. Skrypt dzięki base64_decode() odkodowuje je, a eval() wykonuje polecenie systemowe. Uruchomiony zostaje blik binarny (losowa nazwa) który z kolei wykorzystuje bug apacha i ukrywa się pod jego nazwą. Plik binarny jest usuwany więc nie pozostawia żadnych śladów. Dzięki temu, że binarka przejęła fdsy od apacza listuje na porcie 80 i wysyła do losowych klientów kod trojana.

[Dominika]

Coś się dzieje z forum- jak próbuję wejść na forum, pokazuje się okienko "pliki do pobrania".

[Mrówek]

O co tu chodzi?

---

forum.JPG

Plik ściągnięto 71 raz(y) 83,89 KB