Przepraszamy za usterki
Wielu czytelników po wejściu na stronę zostało dziś poinformowanych przez program antywirusowy o potencjalnym zagrożeniu. Ustalenie przyczyn takiego stanu rzeczy zajęło mi kilka godzin, bo po pierwsze moje komputery pracujące pod opieką systemu antywirusowego NOD nie zgłaszały problemów. Po drugie komunikaty programów antywirusowych, które od Was otrzymałem (za co jestem szczególnie wdzięczny) błędnie wskazywały źródło zagrożenia.
Kilka chwil po godzinie 9:00 doszło do ataku na stronę, który najpierw wyłączył system ochrony plików przed nieautoryzowaną modyfikacją, a następnie zmodyfikował jeden z plików strony umieszczając w nim złośliwy kod będący źródłem zagrożenia. Wszyscy czytelnicy, którzy odwiedzili stronę pomiędzy godziną 9:43, a 21:06 powinni sprawdzić swoje komputery za pomocą zainstalowanych programów antywirusowych lub użyć jednego ze skanerów dostępnych online.
Na chwilę obecną wszystkie zainfekowane pliki zostały przywrócone do stanu sprzed ataku oraz zostały wprowadzone mechanizmy, które powinny w przyszłości przeciwdziałać tego typu zagrożeniom. Za wszystkie niedogodności serdecznie przepraszam!
(24 Feb 22:13)
Chwała Ci za zainteresowanie 🙂
Osobiście skanować nie muszę bo atak został zablokowany.
(24 Feb 22:58)
Proponowałbym autorowi strony napisać co w tym przypadku trzeba robić.
Ja w tym przypadku uruchmiłem windowsa w trybie awaryjnym, nastepnie start->uruchom->wpisz “msconfig” , przejdz do zakładki “uruchamianie” i tam w liscie pogramów uruchamiajacych sie przy starcie powinno sie pojawic cos a’la “isecurity” lub podobnie brzmiace (zapomniałem juz o problemie wiec nazwe rowniez ;-p). W ww liscie jest rowniez zapisana lokalizacja upierdliwej aplikacji – w katalogu C:\Documents and Settings\All Users. Wystarczy wejsc do tego katalogu i usunac chwasta.
Mnie sie nie udalo antyvirem – mam lipnego w pracy – ale posmialismy sie w pracy, bo upierdliwa aplikacja wykazywala, ze mam na komputerze zlosliwe oprogramowanie co w stylu “worm.porn….”
swoja droga aplikacja genialna – zoltodziobow moze niezle wystraszyc i utrudnic zycie, no i naiwnym wyszarpac 50$ – to niezly interes 🙂
(24 Feb 23:04)
Nie mogę na ten temat napisać zbyt wiele, bo moje komputery nie zostały zainfekowane.
(25 Feb 01:13)
A ja żałuję, że akurat w chwilach ataku tu nie wchodziłem. Chętnie pobawiłbym się z chwastem… 🙂
(25 Feb 01:31)
Jeśli to możliwe to mógłbyś napisać jakie konkretnie to było zagrożenie? Wchodziłem o podanej porze na stronę ale mój antywirus nic nie wychwycił. Teraz nie wiem czy wcześniej nie wycięły go zabezpieczenia po stronie przeglądarki czy on sobie gdzieś siedzi w systemie 😉
(25 Feb 06:33)
Teraz dopiero możecie stwierdzić, że F1 jest faktycznie niebezpieczna 😛
(25 Feb 09:31)
Juz nie pierwszy raz zostałem zainfekowany przez twoją stronę. Popraw to, bo za kazdym razem jak tu wchodze to mną trzęsię czy znów czegoś nie załapie.
(25 Feb 12:29)
Z czystej ciekawości zacząłem skanować i… skanowanie zostało przerwane bo antywirus znalazł jakiś hidden object i nie może przejść dalej ani go usunąć:(
Napiszcie czym wyrwaliście chwasta , ja używam Avira Antyvir ale to chyba jego ostatni dzień
(25 Feb 13:21)
Siemano
To było tak. Około godz 14:00 wszedłem na stronkę aby zobaczyć jak tam testy w Barcy. Nagle zniknęło okno firefoxa i na pasku przy zegarku (windows xp) pojawiła się czerwona tarczka “programu” jeśli dobrze pamiętam – internet security. Od razu pojawiło się automatyczne skanowanie systemu po czym pokazywał, że wykrył worma (jednego, drugiego, trzeciego)… wciskając “trzech króli” (ctrl+alt+del) nic nie dawało, bo tenże “internet security” zamykał menedżera programów. Ponadto “program” niby ma ustawienia i można go niby w settingsach ustawić, żeby nie ładował się przy starcie, ale to nic nie daje. Po zatwierdzeniu ustawień wyskakuje okienko, że zmiana ustawień jest opcją i żeby móc użyć opcji należy wykupić cały program za ok. 50$.. Ponadto cokolwiek nie próbowałby ustawić zmienić jest opcją i należy “wykupić” full wersję. Program upierdliwy i nie odpuszcza.
Gdybym wiedział, że to to będzie potrzebne, to chętnie zrobiłbym print screena. Niestety już za późno.
Tym co nie wiedzą skąd i co z tym zrobić polecam mój poprzedni komentarz.
P.S. oczywiście jak zostałem zaatakowany przez ten program (a byłem wtedy w robocie) koledzy uznali, że oglądam w pracy porno strony. Tę opinię zawdzięczam f1talks.pl, za co dziękuje 😉 (joke)
(25 Feb 14:10)
Głównym sprawcą całego zamieszania były dwa rootkit’y (nazw już teraz nie pamiętam)…
ComboFix załatwił sprawę na cacy 🙂
(25 Feb 17:17)
To powinno zadziałać.
http://www.bleepingcomputer.com/virus-removal/remove-internet-security-2012
(25 Feb 20:04)
Ja również wchodziłem w tych godzinach i antyvir (avg) nic nie wyłapał.
(25 Feb 20:44)
Osobiście polecam Panda Cloud Antivirus który można pobrać na przykład stąd http://www.dobreprogramy.pl/Panda-Cloud-Antivirus,Program,Windows,15003.html
(25 Feb 22:40)
Wygląda na to, że jeśli ten “wirus” nie uaktywnił się od razu to go nie ma. Przypuszczam, że zagrożenie odfiltrował ABP + NoScript bo jak już wspominałem, antywir nic nie “wspominał”.
(26 Feb 16:26)
u mnie przez ABP i NoScript’a przeszło… dopiero Nod32 zaczął coś krzyczeć, ale też wszystkiego nie powstrzymał.
(26 Feb 19:11)
Może to zależne od zestawu reguł. W każdym bądź razie coś powstrzymało zagrożenie bez mojej wiedzy. Sprawdziłem autostart oraz “AppData” i wszystko czyste.
(26 Feb 14:10)
Głównym problemem jest WordPress – to świetny CMS/Blog którego wadą i jednocześnie zaletą jest otwarty kod. Jeżeli jakiś “hakier” znajdzie dziurę w źródłowym kodzie (do którego ma dostęp) to w kilkanaście minut potrafi napisać robota który będzie skanował internet w poszukiwaniu instalacji WordPressa z daną dziurą i wykorzysta ją do zainfekowania serwera i dalej użytkowników odwiedzających bloga.
Rozwiązanie 1: ciągle instalować najnowsze wersje WordPress’a (niemalże od razu jak pojawi się nowa wersja)
Rozwiązanie 2: napisać własny/autorski system do blogowania, który być może też może mieć dziury ale jego kod źródłowy jest znany tylko autorowi i “hakier” może sobie co najwyżej zgadywać np. jak nazywają się pliki etc. Poza tym nie opłaca mu się szukać dziury w autorskim kodzie bo jedyne co tym osiągnie to włamanie się na jeden serwer, a po co, skoro można mieć setki tysięcy serwerów na których jest WordPress.
Używanie WordPress’a sprawia też że serwer jest bezustannie skanowany przez setki robotów szukających dziur co może nawet kilkukrotnie zwiększyć ruch na serwerze (mam tego osobisty przykład na serwerze na którym mam jedną stronę na autorskim CMS’ie, ponad 1000 wizyt dziennie a obok WordPress 2-3 wizyty dziennie / WordPress generuje ponad 20krotne obciążenie I/O i ma kilka tysięcy prób połączeń z automatycznych skryptów szukających dziur)
Moja rada: przemyśl przeniesienie bloga na inną platformę, najlepiej autorską z zamkniętym kodem.
(27 Feb 15:34)
To czym mam zrobić teraz skana, żeby mieć 100% pewności? Albo jest jakiś inny ręczny sposób na sprawdzenie?
Kompa mi coś muli po starcie, wcześniej tak nie było.