Forumet hackat den 21/7 - problemet åtgärdat [Mer info]

[elf98]

Hacket:
På förmiddagen den 21/7 2010 hackades http://www.temperatur.nu och användarna drabbades av att virus/trjoaner laddades på besökarnas sidor.

Problem med att hitta lösningen:
Till en början verkade det felaktigt som att endast forumet var påverkat av hacket. Då inga filer ändrats på servern var det mycket svårt att hitta problemet. De flesta externa mjukvaror som används uppgraderas och felsöktes. Då virusen laddades mycket sällan var det svårt att verifiera att problemet var åtgärdat.

Koden verkade ha med annonsvisningarna att göra och alla annonser togs bort natten mellan den 21 och 22/7. Efter ytterligare undersökningar och tester verkade det som att problemet legat hos en extern annonsleverantör. Annonserna aktiverades åter. strax före lunch den 22/7. På eftermiddagen kom åter rapporter in om att http://www.temperatur.nu spred skadlig kod.

För att stoppa spridningen togs hela http://www.temperatur.nu ner vid 15:30-tiden den 22/7.

Lösningen:
Efter mycket letande kunde orsaken till problemet slutligen hittas och åtgärdas permanent.
De som hackade http://www.temperatur.nu hade utnyttjat ett säkerhetshål i den annonsserver OpenX som används för att rotera annonser på http://www.temperatur.nu. Hackarna hade lagt till en liten kodsnutt efter varje annons. Kodsnutten läste in en extern sida som laddade virus och trojaner på besökarnas datorer.

Problemet är helt löst och http://www.temperatur.nu öppnades åter vid 19-tiden.

Kommentar
Det är mycket beklagligt att http://www.temperatur.nu har använts för att sprida skadlig kod. Målsättningen är självklart att det aldrig skall ske igen.

/Erik Freiholtz (elf98) och teamet bakom forumet

[MB300E]

Ni har en trjoan i eran cgi någonstans. mitt antivirus skriker.

Edit
Hmm blev tyst nu.
kanske nått som låg kvar för mig.
Körde en f5 på sidan och nu tyst.

[elf98]

Det är troligtvis antivirusprogrammen som inte släppt på varningarna än.

Vad jag kan se finns det inte någon skadlig kod kvar och jag kan inte heller få fram några varningar i någon browser jag testat (IE/Firefox/Chrome/Opera).

Enligt https://safeweb.norton.com/report/show? ... m&x=11&y=9 skall sidan inte längre innehålla någon skadlig kod.

Självklart är det inträffade beklagligt och jag håller koll på sidan för att se om något nytt dyker upp.

[elf98]

Edit
Hmm blev tyst nu.
kanske nått som låg kvar för mig.
Körde en f5 på sidan och nu tyst.

Bra! Då har jag lyckats få bort den skadliga koden.

[Edis]

Jag råkade ut för samma sak vid 17-tiden också. Avast larmade ordentligt, det försökte dra igång script och skit på datorn. Frågan är om det låg i cachen sedan i morse, eller om det fortfarande fanns skrot kvar vid 17-tiden.

Edit:
Detta kanske kan vara till hjälp

En liten skärmdump

[morando]

Igår morse när jag gick in på forumet körde Windows Media Player igång och försökte spela upp någonting, det funkade inte och istället låste sig hela datorn.
Hade detta något att göra med attacken? Jag var inne på temperatur.nu vid ett flertal tillfällen, men märkte inget annat konstigt.
Följde länken till Nortons Safe Web, enligt den finns det fortfarande 2 hot.

Edit: Verkar ok nu 09:40

[elf98]

Jag råkade ut för samma sak vid 17-tiden också. Avast larmade ordentligt, det försökte dra igång script och skit på datorn. Frågan är om det låg i cachen sedan i morse, eller om det fortfarande fanns skrot kvar vid 17-tiden.

Edit:
Detta kanske kan vara till hjälp

Virus.jpg

Det var med stor sannolikhet skit som låg i cachen. Tyvärr hjälper inte dumpen då det är de urler som hackarna länkade in.

Jag har fått rapporter om att det förekommit varningar på temperatur.nu även utanför forumet, jag tror att det skit från forumet som är cachat på något fult sätt hos användarens browser.

Jag ser allvarligt på detta och gör allt jag kan få att komma till rätta med problemen.

[elf98]

Igår morse när jag gick in på forumet körde Windows Media Player igång och försökte spela upp någonting, det funkade inte och istället låste sig hela datorn.
Hade detta något att göra med attacken? Jag var inne på temperatur.nu vid ett flertal tillfällen, men märkte inget annat konstigt.
Följde länken till Nortons Safe Web, enligt den finns det fortfarande 2 hot.

Edit: Verkar ok nu 09:40

Det var med stor sannolikhet skräp som låg kvar från attacken.

JAg vet inte varför Norton klagar, jag har försökt komma underfund med vad de inte gillar men inte lyckats. Jag har uppgraderat det som går att uppgradera och begärt en ny prövning hos Norton.

Enligt McAfee finns det inte något dumt kvar:
http://www.siteadvisor.com/sites/temperatur.nu

Enligt AVG är allt ok (går tyvärr inte att länka direkt till resultatet):
http://www.avg.com.au/resources/web-page-scanner/
Om ni får varningar, testa att trycka F5. Försvinner varningen då är det med stor sannolikhet gammalt skräp från attacken som ligger i er cache.

Om ni får varningar efter att ha uppdaterat sidan, posta gärna här. Jag har inte fått upp några varningar sedan i går och det är mycket svårt att felsöka när jag inte får några fel...

[elf98]

Och nu säger även Norton att allt är ok.

[Edis]

Jag fick varningar nu igen

[elf98]

Ok. JAg har tagit bort allt externt innehåll på www.temperatur.nu och försöker trigga felet i en testmiljö.

[morando]

Jag har fått 2 filer på min loggdator som har jävlats med mig hela dagen. Efter att ha scannat både fram och bak och in och ut med olika program så lyckades SpyBot till slut ta bort skräpet.
Spyware Terminator klassade filerna som medel-farliga. Hur som haver så tog dom mycket både bandbredd och belastade CPUn hårt på min gamla burk, fläktarna har gått på högsta varv hela dagen.
Hoppas att ingen har blivit av med något viktigt och att ni får ordning på sidan igen.

[Edis]

Du borde nog skippa allt externt innehåll för forumet är för tillfället GRYMT snabbt!

[elf98]

Fast på forumet laddas fortfarande externt innehåll.

Forumet uppgraderas igår, det kan måhända ha snabbat upp det lite.

[Edis]

Kan detta vara en ledtråd i felsökningen, får detta som fel på sidan nu:

Webpage error details

User Agent: Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 6.0; Trident/4.0; Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1) ; SLCC1; .NET CLR 2.0.50727; InfoPath.2; .NET CLR 3.5.30729; .NET CLR 3.0.30729; .NET4.0C; AskTB5.4)
Timestamp: Thu, 22 Jul 2010 21:29:51 UTC

Message: 'seo_external' is undefined
Line: 95
Char: 1
Code: 0
URI: http://www.temperatur.nu/forum/styles/p ... orum_fn.js