Skocz do zawartości

Zainfekowana strona...


Rekomendowane odpowiedzi

Robiąc sobie przerwę w pracy na moim komputerze domowym, wyszukiwałem informacji na temat płetwala błękitnego. Krok za krokiem, dotarłem koniec końców do <<UWAGA, MOŻLIWY ZAINFEKOWANY LINK>> hxxp://whalewatch.org.

 

Tam zaś nie znalazłem bynajmniej informacji o wyżej wymienionych ssakach, lecz flagę Chin, razem z informacjami, że... hmm... COŚ zostało zhackowane przez " Silic Group Hacker Army ". Pytanie, czy byłem to ja, czy wyżej wymieniona strona, pozostaje bez odpowiedzi, niemniej jednak można chyba uznać za zasadne, że jestem lekko zaniepokojony.

 

Od tego czasu jeszcze nie uruchamiałem ponownie komputera, więc nie wiem póki co, czy coś się z nim zmieniło. Póki co nie widzę żadnych objawów infekcji z jakiejkolwiek strony; nic mi się samo nie wyłącza, ping w grach komputerowych jest taki, jaki był, a po wpisaniu w pasek adresu "http://www.gagsdfgjkdjksd.pl/", wyskakuje mi "nie można wyświetlić strony", a nie strona z gejowskim porno.

 

Niemniej jednak pozwoliłem sobie wrócić na wyżej wymienioną stronę i zapisać ją na dysku. Następnie przejrzałem źródło i znalazłem tam Java Script. Nie znam się za -nomen omen -Chiny na Java Scripcie, więc ocenę tego, co to to robi, pozostawiam Wam. Zawartość skryptu oraz ogólnie całe źródło strony wklejam tutaj:

 

http://www.wklej.org/hash/df68ba7f933/

 

W związku z powyższym zwracam się z prośbą o sprawdzenie, co dokładnie robi wyżej wymieniona strona/skrypt. Ze swojej strony zaś zapewniam, że ten post nie jest jeszcze zamknięty i za chwilę będę dodawał do niego wszystkie niezbędne logi (o ile nadal będzie to konieczne). Póki co chciałem tylko na szybko zainteresować kogoś swoim problemem, zanim jeszcze wszyscy pójdą spać. ;)

 

[EDIT1]

 

Skan OTL. Uprzedzam, że jest na nim syf, brud i majdan, jako że to reanimowany trup z dwuletnią przerwą w działaniu i 1/2 dysku sformatowaną po przywróceniu go do życia.

 

[EDIT2]

 

Log z GMERa. Użyłem Defoggera do wyłączenia Daemon tools, ale widzę, że i tak są na logu z niego, więc w razie, gdyby konieczne było powtórzenie skanowania, mogę zawsze to zrobić.

 

Ponadto zainstalowany na komputerze jest system antywirusowy Avast, który jednak na czas skanowania wyłączyłem.

 

A, jeszcze log z Defoggera. Tu dziwna sprawa, bo ten nie pojawił się podczas wyłączania emulowanych napędów. Daemon tools przestało działać, napęd zniknął z "Mojego Komputera", ale samego loga nigdzie nie widać.

 

Będę w kontakcie w razie konieczności powtórzenia skanów.

 

Za ewentualną pomoc -z góry dziękuję.

 

[EDIT3]

 

Pojawił się za to log podczas ponownego przywracania do działania w.w. programu.

 

Forum krzyczy, że nie mam uprawnień, aby wgrywać ten rodzaj pliku, więc wklejam treść ręcznie:

 

defogger_enable by jpshortstuff (23.02.10.1)

Log created at 02:12 on 28/08/2010 (Ambasador)

 

Parsing file...

HKCU:DAEMON Tools Lite -> Value set successfully

SPTD -> Enabled (0)

 

 

-=E.O.F=-

OTL.Txt

Extras.Txt

root.txt

Odnośnik do komentarza
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.

W Twoich raportach nie widać nic szkodliwego. Nie sądzę, że zostałeś w jakiś sposób narażony.

 

Stronie zaś niewątpliwie stało się ziazi, dokonano na niej hacku i tyle. Widzę dokładnie to samo co Ty. Jeśli na Google puścić na szukanie ciąg "Hacked By YoCo Smart", znajdziesz znacznie więcej stron dotkniętych tym przypadkiem. Tu zapewne był scenariusz w rodzaju: wykorzystując jakąś lukę strony serwerowej przypuszczalnie uploadowano plik *.php, który wykonał się na serwerze zamieniając indeks strony. Z poziomu cache Google możesz sobie obejrzeć co jest w oryginale na stronie głównej: KLIK. Jeśli stronę główną otworzysz przez kesz Google, to nawigacja po menu bocznym otwiera już prawidłową zawartość strony. Taki rodzaj adresu działa bezpośrednio: hxxp://www.whalewatch.org/ourwork.htm. W menu bocznym na spodzie są te trzy literki "A A A", które kierują do pliku default.html, będącego tą planszą hackerską. Możliwe, że podmienili więcej plików, a nie tylko default.html.

 

Wygląda to na amatorstwo, prawdopodobnie z jakiejś gotowej matrycy skorzystano, i wedle tego co widzę ogranicza się jedynie do wstawienia "podpisu" hackera z kozackim zawiadomieniem uprzejmościowym o wzmocnieniu zabezpieczeń. Shackowana strona nie wykazuje cech charakterystycznych dla aktywności malware. Tu masz także dodatkową analizę strony z poziomu skanera Wepawet:

 

whalewatch.th.png

 

Exploits

No exploits were identified.

Redirects

No redirects.

ActiveX controls

No objects/controls.

Shellcode and Malware

No shellcode was identified.

No additional malware was retrieved.

 

Ogólnie: całość wygląda nieszkodliwie od strony użytkownika. Ale nie ufałabym tej stronie, dopóki nie zostanie to naprawione. Obecność tej planszy to sygnał, że po pierwsze są jakieś poważne luki i furtka do wykonania kolejnego "tweaka" (który już może mieć poważniejsze konsekwencje), po drugie że nawet nie ma się kto tym zająć.

 

Log z GMERa. Użyłem Defoggera do wyłączenia Daemon tools, ale widzę, że i tak są na logu z niego, więc w razie, gdyby konieczne było powtórzenie skanowania, mogę zawsze to zrobić.

 

Te wpisy będą po wyłączeniu emulatora widoczne w logu i nie mają one znaczenia dla podnoszonej sprawy. To jest sekcja rejestru i namierzenie kluczy zablokowanych (aka żadne konto systemowe nie ma uprawnień) w sposób "statyczny". Natomiast czynny sterownik emulacji tworzy całkiem inny rodzaj ingerencji w GMER. Tu niewidoczny, bo emulację wyłączyłeś prawidłowo.

 

Skan OTL. Uprzedzam, że jest na nim syf, brud i majdan, jako że to reanimowany trup z dwuletnią przerwą w działaniu i 1/2 dysku sformatowaną po przywróceniu go do życia.

 

Nie jest tak źle, w obszarze widocznym w logach, bo wiadomo, że te logi to tylko pewna ograniczona perspektywa.

 

1. Odinstaluj śmiecia DAEMON Tools Toolbar. Jest to dodatek adware do paczki emulatora.

 

2. Podstawowa sprawa to aktualizacja systemu:

 

Windows XP Professional Edition Dodatek Service Pack 2 (Version = 5.1.2600) - Type = NTWorkstation

Internet Explorer (Version = 6.0.2900.2180)

Obowiązkowo zainstaluj komplet Service Pack 3 + Internet Explorer 8.

 

3. Oczekuje także aktualizacja antywirusa Avast 4 > Avast, który jest już całkiem innym programem. Nie ma tu żadnej pełnowartościowej zapory sieciowej. Może Outpost Free, Online Armor Free lub Comodo Firewall. Standardowo także aktualizacje przeglądarek i wtyczek do nich. Tu: Firefox i Java.

 

4. Gadu-Gadu 6.0 won. Kompromitujący poziom zabezpieczeń (brak szyfrowanego łączenia i proste do hacku) i brak pełnej obsługi własnej sieci (sic!). Do wertowania temat Darmowe komunikatory. Moim typem jest WTW lub Miranda. Portable, minimalizm, praktycznie pełna obsługa sieci i nowego protokołu Gadu i oczywiście żadnych reklam.

 

 

 

.

Odnośnik do komentarza

Ok, SP3 oraz IE8 zainstalowane. Miranda również; zaciekawiła mnie idea "kilku komunikatorów w jednym". Aktualnie topię się w morzu opcji. Kilka rzeczy mocno mi nie pasuje (trudności z przeczytaniem opisu, brak pomysłów na import archiwum, które prowadzę od 2004 roku), ale jutro będę o tym szukać informacji.

 

Jutro zajmę się też kwestią firewalla i aktualizacji avasta.

 

Tak czy inaczej: dziękuję za okazaną pomoc i pozdrawiam.

Odnośnik do komentarza
Kilka rzeczy mocno mi nie pasuje (trudności z przeczytaniem opisu, brak pomysłów na import archiwum, które prowadzę od 2004 roku), ale jutro będę o tym szukać informacji.

 

Import archiwum Gadu 6.x w Mirandzie wykonalny przez wtyczkę, w puli mocno stary plugin mHI, aczkolwiek u mnie zadziałało z najnowszą Mirką i nic się nie wyłożyło (nie gwarantuję jednak za Twoje wyniki i kompatybilność z innymi wtyczkami). Dodaje taką oto opcję:

 

mhi.png

 

Import archives.dat Gadu 6.x / 7.x jest dostępny także w WTW:

 

wtwarchivesdat.gif

 

 

.

Edytowane przez picasso
29.09.2010 - Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso
Odnośnik do komentarza
Gość
Ten temat został zamknięty. Brak możliwości dodania odpowiedzi.
  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...