Forumet hackat den 21/7 - problemet åtgärdat [Mer info]

[Fyllskalle]

Verkar vara en del skit kvar, lite javascript som aktiveras etc etc.. ta en titt i .htaccess filerna då det verkar vara redirect's som bara drabbar windoze burkar, från min unixmaskin/firefox så genereras det inga fel dock från win 2000 och XP med både firefox och IE

[elf98]

Men suck!

Nu fick jag skräp i forumet igen jag med. Himla svårt att se var det kommer i från...

Letar vidare...

[Fyllskalle]

Jag får felet även utanför forumet, dvs på www.temperatur.nu. så någe skit i webroot är det, och jag har sett lite mikkel med .htaccess filer genom åren, speciellt på phpbb, men även joomla etc. Körs siten på dedikerad server eller under virtuell? är den inte dedikerad så kan ju felet ligga hos någon annan domän, och sprida sig lite godtyckligt då och då (speciellt om rättigheterna i filsystemet är åsidosatta) ((.php och webservers är lite småklurigt om man sätter rättigheter lite galet)

[Edis]

Japp, samma visa idag igen. Numera ligger tyvärr forumet inte bland mina "Startsidor" längre, så nu blir nog besöken inte så frekventa...

Lycka till i jakten.

[elf98]

.htaccess-filerna är inte ändrade...

[Fyllskalle]

Mysko hakk är det, verkar vara lite tidsbroms i det hela, felet kommer bara en gång/tidscykel. cookie resning etc påverkar inte, dock om man byter ipnummer (växlar via olika vpn.tunnlar) så inget som e cookiestyrt. hacket försöker starta en java applet som heter AppelT och hämtar ner en fil som heter 0.058'******.exe vilken vill exekveras.

Så Ni som drabbats sök och ta bort filer som heter 0.0*.exe (är en liten passwordstrojan) filen har låg upptäcktsnivå på virustotal.com

[elf98]

Riktigt mysko är det.

Första gången man går in på en ny dator får man skit, sedan ligger det en fördröjning och eller ip-byte.

Jag har disablat alla Google-annonser, jag misstänker att de kan ha med det att göra...

[Fyllskalle]

Du har ju lite facebook jox oxo..men tvivlar både på facebook o google, analyserar lite då o då mha olika maskiner ipnummer o försöker hitta olikheter i sidans källkod, men de e semester nu o kall pilsner så de har ju inte högsta prio

[elf98]

Jag laddade precis sidan med links2 och fejkad user agent.

Links2 är en textbaserad browser som inte laddar in iframes automatiskt eller har stöd för javascript. Googleadsense ligger som iframes.

1. När jag laddar sidan händer det inte något konstigt alls.
2. När jag klickar på adsense-iframen forwardas jag till rowad. in (särskrivet så det inte blir en länk här).
3. http://safeweb.norton.com/report/show?u ... //rowad.in

Så med mycket stor sannolikhet är det Google Adsense som för tillfället ser till att jag får ful kod. I teorin skulle man med hjälp av javascript kunna ändra adsensekoden. Så i teorin skulle det kunna laddas någon ful javascript som sedan ändrar adsense-koden. Men eftersom links2 inte stödjer javascript faller det hela och det är de facto Google Adsense som laddar ful kod.

[Fyllskalle]

rowad.in känner jag igen från tcpdump trafiken, så du har nog hittat felet (buggen) sen e de bara o lösa bekymret med vem som lyckats modifiera koden (indiern verkade höra hemma i litauen oxo )

[Mattias]

Tyvärr finns problemet kvar. Jag fick just följande virus:
Trojan.Dropper
Rogue.AntivirusSuite
Trojan.Agent

Om någon råkar ut för det så kan jag rekommendera Malwarebytes, www.malwarebytes.org, som oskadliggör dom. Märkligt att man kan bli infekterad av att bara besöka sidan dock.

//Mattias

[elf98]

Kommer du ihåg om det visades någon annons när du fick skräpet?

[elf98]

JAg var inne på rätt spår men hade fel ändå.

Det var annonsservern som var hackad. Den är uppdaterad och jag håller som bäst på att ta bort referenserna till de externa servrarna.

Tack för tips och tålamod under arbetets gång!

[Mattias]

Det verkade ha med annonserna att göra, ja.
Men det är lugnt. Det kan hända den bäste (uppenbarligen

[elf98]

Nu är problemet helt löst.

För mer info se: http://www.temperatur.nu/forum/post9292.html#p9292