Sida 1 av 2
Forumet hackat den 21/7 - problemet åtgärdat [Mer info]
Postat: 21 jul 2010, 13:29
av elf98
Hacket:
På förmiddagen den 21/7 2010 hackades
http://www.temperatur.nu och användarna drabbades av att virus/trjoaner laddades på besökarnas sidor.
Problem med att hitta lösningen:
Till en början verkade det felaktigt som att endast forumet var påverkat av hacket. Då inga filer ändrats på servern var det mycket svårt att hitta problemet. De flesta externa mjukvaror som används uppgraderas och felsöktes. Då virusen laddades mycket sällan var det svårt att verifiera att problemet var åtgärdat.
Koden verkade ha med annonsvisningarna att göra och alla annonser togs bort natten mellan den 21 och 22/7. Efter ytterligare undersökningar och tester verkade det som att problemet legat hos en extern annonsleverantör. Annonserna aktiverades åter. strax före lunch den 22/7. På eftermiddagen kom åter rapporter in om att
http://www.temperatur.nu spred skadlig kod.
För att stoppa spridningen togs hela
http://www.temperatur.nu ner vid 15:30-tiden den 22/7.
Lösningen:
Efter mycket letande kunde orsaken till problemet slutligen hittas och åtgärdas permanent.
De som hackade
http://www.temperatur.nu hade utnyttjat ett säkerhetshål i den annonsserver
OpenX som används för att rotera annonser på
http://www.temperatur.nu. Hackarna hade lagt till en liten kodsnutt efter varje annons. Kodsnutten läste in en extern sida som laddade virus och trojaner på besökarnas datorer.
Problemet är helt löst och
http://www.temperatur.nu öppnades åter vid 19-tiden.
Kommentar
Det är mycket beklagligt att
http://www.temperatur.nu har använts för att sprida skadlig kod. Målsättningen är självklart att det aldrig skall ske igen.
/Erik Freiholtz (elf98) och teamet bakom forumet
Re: Forumet attackerat på fm den 21/7 - säkerhetshålet fixat
Postat: 21 jul 2010, 18:39
av MB300E
Ni har en trjoan i eran cgi någonstans. mitt antivirus skriker.
Edit
Hmm blev tyst nu.
kanske nått som låg kvar för mig.
Körde en f5 på sidan och nu tyst.
Re: Forumet attackerat på fm den 21/7 - säkerhetshålet fixat
Postat: 21 jul 2010, 18:47
av elf98
Det är troligtvis antivirusprogrammen som inte släppt på varningarna än.
Vad jag kan se finns det inte någon skadlig kod kvar och jag kan inte heller få fram några varningar i någon browser jag testat (IE/Firefox/Chrome/Opera).
Enligt
https://safeweb.norton.com/report/show? ... m&x=11&y=9 skall sidan inte längre innehålla någon skadlig kod.
Självklart är det inträffade beklagligt och jag håller koll på sidan för att se om något nytt dyker upp.
Re: Forumet attackerat på fm den 21/7 - säkerhetshålet fixat
Postat: 21 jul 2010, 18:51
av elf98
MB300E skrev:
Edit
Hmm blev tyst nu.
kanske nått som låg kvar för mig.
Körde en f5 på sidan och nu tyst.
Bra! Då har jag lyckats få bort den skadliga koden.
Re: Forumet attackerat på fm den 21/7 - säkerhetshålet fixat
Postat: 21 jul 2010, 20:43
av Edis
Jag råkade ut för samma sak vid 17-tiden också. Avast larmade ordentligt, det försökte dra igång script och skit på datorn. Frågan är om det låg i cachen sedan i morse, eller om det fortfarande fanns skrot kvar vid 17-tiden.
Edit:
Detta kanske kan vara till hjälp
- En liten skärmdump
Re: Forumet attackerat på fm den 21/7 - säkerhetshålet fixat
Postat: 22 jul 2010, 06:58
av morando
Igår morse när jag gick in på forumet körde Windows Media Player igång och försökte spela upp någonting, det funkade inte och istället låste sig hela datorn.
Hade detta något att göra med attacken? Jag var inne på temperatur.nu vid ett flertal tillfällen, men märkte inget annat konstigt.
Följde länken till Nortons Safe Web, enligt den finns det fortfarande 2 hot.
Edit: Verkar ok nu 09:40
Re: Forumet attackerat på fm den 21/7 - säkerhetshålet fixat
Postat: 22 jul 2010, 09:38
av elf98
Edis skrev:Jag råkade ut för samma sak vid 17-tiden också. Avast larmade ordentligt, det försökte dra igång script och skit på datorn. Frågan är om det låg i cachen sedan i morse, eller om det fortfarande fanns skrot kvar vid 17-tiden.
Edit:
Detta kanske kan vara till hjälp
Virus.jpg
Det var med stor sannolikhet skit som låg i cachen. Tyvärr hjälper inte dumpen då det är de urler som hackarna länkade in.
Jag har fått rapporter om att det förekommit varningar på temperatur.nu även utanför forumet, jag tror att det skit från forumet som är cachat på något fult sätt hos användarens browser.
Jag ser allvarligt på detta och gör allt jag kan få att komma till rätta med problemen.
Re: Forumet attackerat på fm den 21/7 - säkerhetshålet fixat
Postat: 22 jul 2010, 09:46
av elf98
morando skrev:Igår morse när jag gick in på forumet körde Windows Media Player igång och försökte spela upp någonting, det funkade inte och istället låste sig hela datorn.
Hade detta något att göra med attacken? Jag var inne på temperatur.nu vid ett flertal tillfällen, men märkte inget annat konstigt.
Följde länken till Nortons Safe Web, enligt den finns det fortfarande 2 hot.
Edit: Verkar ok nu 09:40
Det var med stor sannolikhet skräp som låg kvar från attacken.
JAg vet inte varför Norton klagar, jag har försökt komma underfund med vad de inte gillar men inte lyckats. Jag har uppgraderat det som går att uppgradera och begärt en ny prövning hos Norton.
Enligt McAfee finns det inte något dumt kvar:
http://www.siteadvisor.com/sites/temperatur.nu
Enligt AVG är allt ok (går tyvärr inte att länka direkt till resultatet):
http://www.avg.com.au/resources/web-page-scanner/
Om ni får varningar, testa att trycka F5. Försvinner varningen då är det med stor sannolikhet gammalt skräp från attacken som ligger i er cache.
Om ni får varningar efter att ha uppdaterat sidan, posta gärna här. Jag har inte fått upp några varningar sedan i går och det är mycket svårt att felsöka när jag inte får några fel...
Re: Forumet attackerat på fm den 21/7 - säkerhetshålet fixat
Postat: 22 jul 2010, 10:00
av elf98
Och nu säger även Norton att allt är ok.
Re: Forumet attackerat på fm den 21/7 - säkerhetshålet fixat
Postat: 22 jul 2010, 17:53
av Edis
Jag fick varningar nu igen
Re: Forumet attackerat på fm den 21/7 - säkerhetshålet fixat
Postat: 22 jul 2010, 19:13
av elf98
Ok. JAg har tagit bort allt externt innehåll på
www.temperatur.nu och försöker trigga felet i en testmiljö.
Re: Forumet attackerat på fm den 21/7 - säkerhetshålet fixat
Postat: 22 jul 2010, 21:35
av morando
Jag har fått 2 filer på min loggdator som har jävlats med mig hela dagen. Efter att ha scannat både fram och bak och in och ut med olika program så lyckades SpyBot till slut ta bort skräpet.
Spyware Terminator klassade filerna som medel-farliga. Hur som haver så tog dom mycket både bandbredd och belastade CPUn hårt på min gamla burk, fläktarna har gått på högsta varv hela dagen.
Hoppas att ingen har blivit av med något viktigt och att ni får ordning på sidan igen.
Re: Forumet attackerat på fm den 21/7 - säkerhetshålet fixat
Postat: 22 jul 2010, 22:14
av Edis
Du borde nog skippa allt externt innehåll för forumet är för tillfället GRYMT snabbt!
Re: Forumet attackerat på fm den 21/7 - säkerhetshålet fixat
Postat: 22 jul 2010, 22:17
av elf98
Fast på forumet laddas fortfarande externt innehåll.
Forumet uppgraderas igår, det kan måhända ha snabbat upp det lite.
Re: Forumet attackerat på fm den 21/7 - säkerhetshålet fixat
Postat: 22 jul 2010, 23:31
av Edis
Kan detta vara en ledtråd i felsökningen, får detta som fel på sidan nu:
Webpage error details
User Agent: Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 6.0; Trident/4.0; Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1) ; SLCC1; .NET CLR 2.0.50727; InfoPath.2; .NET CLR 3.5.30729; .NET CLR 3.0.30729; .NET4.0C; AskTB5.4)
Timestamp: Thu, 22 Jul 2010 21:29:51 UTC
Message: 'seo_external' is undefined
Line: 95
Char: 1
Code: 0
URI:
http://www.temperatur.nu/forum/styles/p ... orum_fn.js