PDA

Zobacz pełną wersję : Zagrożenie z forum: wirus, malware, atak lub insze świństwo



uszatek_mis
03-04-2018, 11:40
Od kilku tygodni usiłowałem znaleźć stronę próbującą infekować mi komputer.
Obecnie jestem na 99% pewny, ze to strona forum.

Gdzieś doklejony jest skrypt, rozpoznawany przez mojego antywirusa (Symantec Endpoint Protection) jako PUA.WASMcoinminer.

Nie jestem w stanie podać dokładnego miejsca, bo antywirus krzyczy o nim zaraz po wejściu na główną stronę, wykrywając go w cache przeglądarki.

bartolomeo
03-04-2018, 12:06
Według wszelkich znaków na niebie i na ziemi :wink: to coś (PUA.WASMcoinminer) instaluje się lokalnie i usuwanie tegoż wymaga działań na własnym komputerze. Uaktywnia się co prawda podczas pracy z przeglądarkami, ale infekuje komputery a nie serwisy WWW. Prawdą jest jednak, że nasze forum jest podatne na infekcje i niewykluczone, że coś złapało. Będę więc próbował działać i szukać tego paskudztwa.

Forumowiczów proszę o obserwację obciążenia procesora po wejściu na forum: czy wzrasta powyżej 70% (przy braku innej aktywności) czy nie? O ile się nie mylę w Windows można to sprawdzić uruchamiając odpowiednią aplikację magiczną kombinacją klawiszy CTRL-SHIFT-ESC, najlepiej obserwować obciążenie procesora przez chwilę przed uruchomieniem przeglądarki, po uruchomieniu i po wejściu na forum.

mercun
03-04-2018, 12:47
Ciekawostka.Po raz pierwszy od jakiegoś tygodnia czy dwóch wszedłem na Forum bez powiadomienia, że antywirus zneutralizował zagrożenie. Czyżby udało się usunąć? Co ciekawe - taki komunikat pojawiał się wyłącznie przy wejściu na Forum.

bartolomeo
03-04-2018, 13:35
Po raz pierwszy od jakiegoś tygodnia czy dwóch wszedłem na Forum bez powiadomienia, że antywirus zneutralizował zagrożenie.Dlaczego nie dałeś wcześniej znać, że jakiś antywirus sygnalizował zagrożenie? :evil:

Po sygnale od Uszatka znalazłem jakiś śmieć i usunąłem, nie była to jednak wskazywana w pierwszym poście koparka kryptowalut.

mercun
03-04-2018, 14:23
Dlaczego nie dałeś wcześniej znać, że jakiś antywirus sygnalizował zagrożenie? :evil:

Po sygnale od Uszatka znalazłem jakiś śmieć i usunąłem, nie była to jednak wskazywana w pierwszym poście koparka kryptowalut.

Myślałem, że to u mnie. Była to właśnie koparka kryptowalut , ponoć bez większej szkodliwości. Szukałem u siebie ale nic nie znalazłem. A teraz jej nie ma. Czyżby tylko nas z Uszatkiem dopadło?

uszatek_mis
03-04-2018, 14:46
Według wszelkich znaków na niebie i na ziemi :wink: to coś (PUA.WASMcoinminer) instaluje się lokalnie i usuwanie tegoż wymaga działań na własnym komputerze. Uaktywnia się co prawda podczas pracy z przeglądarkami, ale infekuje komputery a nie serwisy WWW.

U mnie nie zdążyło się instalować, ponieważ wyłapał to kilkunastokrotnie antywirus.

Obecnie (13:46) nie otrzymuję już alarmów antywirusa. Jest lepiej.

bartolomeo
03-04-2018, 15:37
Jest lepiej.Skoro już nie krzyczy to jest nie tylko lepiej ale nawet dobrze! :wink:

Na przyszłość proszę wszystkich o sygnalizowanie potencjalnych zagrożeń ze strony forum, najlepiej tu - w tym wątku (za chwilę zmienię tytuł na czytelniejszy). Z przykrością muszę stwierdzić, że takie zagrożenia będą :sad:

Slav
09-04-2018, 10:44
"Zostało wykryte zagrożenie" taki komunikat pojawia się na dwóch komp.

bartolomeo
09-04-2018, 19:35
Jakie zagrożenie? Coś więcej w tym komunikacie się pojawia?

--- kolejny post ---

To prawdopodobnie był nasz stary znajomy FileStore. Na przyszłość proszę o jakiekolwiek szczegóły, będzie zdecydowanie łatwiej.

Slav
10-04-2018, 10:41
Jakie zagrożenie? Coś więcej w tym komunikacie się pojawia?

--- kolejny post ---

To prawdopodobnie był nasz stary znajomy FileStore. Na przyszłość proszę o jakiekolwiek szczegóły, będzie zdecydowanie łatwiej.

"Zagrożenie" znikło,więc pewnie tak.

bartolomeo
22-04-2018, 20:45
FileStore znów się nam przykleiło. Tym razem zabijając FileStore wyłączyłem na forum możliwość korzystania z wtyczek i rozszerzeń - jakie to ma konsekwencje szczerze mówiąc nie wiem :mrgreen: Gdyby jakaś funkcja nagle przestała działać proszę tu o sygnał, przeglądnąłem co się dało i nie znalazłem żadnych istotnych wtyczek czy rozszerzeń, powinno więc być jak dotąd. Ale praktyka zweryfikuje.

FileStore przyczepiał się do forum właśnie poprzez wadliwy mechanizm wtyczek i rozszerzeń, może teraz będzie (przez chwilę) spokojniej.

Verid
04-06-2022, 12:23
Uwaga. Użytkownik Waydap wysyła jakieś świństwo na PW.

bartolomeo
04-06-2022, 12:30
Zbanowany.

Zdążył wysłać 136 prywatnych wiadomości. Nawet admin nie ma możliwości aby do nich zaglądnąć, ale na podstawie raportu jednego z forumowiczów usunąłem wszystkie. Nie wiem jak to działa, ale mam nadzieję, że tak jak powinno. Jeżeli u kogokolwiek ostała się jakaś wiadomość od tego spamera to proszę o sygnał. Nie ma znaczenia treść wiadomości a jedynie ustalenie czy z poziomu admina mogę usunąć PW wysłane przez określoną osobę już po rozesłaniu.

Verid
04-06-2022, 15:38
Potwierdzam wyczyszczenie skrzynki odbiorczej ze śmiecia.

_PrEzY_
05-06-2022, 19:15
Cześć. Apropos wirusów i innych paskudztw ... Strona forum nie jest zabezpieczona, może by warto pomyśleć nad zabezpieczoną wersją protokołu http -> https ?

Wojtek Pysz
05-06-2022, 21:21
Cześć. Apropos wirusów i innych paskudztw ... Strona forum nie jest zabezpieczona, może by warto pomyśleć nad zabezpieczoną wersją protokołu http -> https ?

https:// na początku adresu oznacza, że transmisja w obie strony jest szyfrowana. Uniemożliwia to przechwytywanie i zmienianie przesyłanych danych. Jest też gwarancja, że przesyłane "paskudztwa" dotrą bezpiecznie w nienaruszonym stanie:-)
Natomiast wniosek o zastosowanie szyfrowanego protokołu jest jak najbardziej zasadny. Głównie z tego powodu, że Forum nie będzie straszyć groźnymi komunikatami o niezabezpieczonym połączeniu oraz wykrzyknikiem lub skreśloną kłódką w pasku adresu przeglądarki. Kiedyś to sporo kosztowało; obecnie można zastosować bezpłatny certyfikat Let's Encrypt. Problem tkwi w tym, że nie mamy możliwości zarządzania serwerem ani subdomeną.

Biesiek
05-06-2022, 22:43
https:// na początku adresu oznacza, że transmisja w obie strony jest szyfrowana. Uniemożliwia to przechwytywanie i zmienianie przesyłanych danych. Jest też gwarancja, że przesyłane "paskudztwa" dotrą bezpiecznie w nienaruszonym stanie:-)
Natomiast wniosek o zastosowanie szyfrowanego protokołu jest jak najbardziej zasadny. Głównie z tego powodu, że Forum nie będzie straszyć groźnymi komunikatami o niezabezpieczonym połączeniu oraz wykrzyknikiem lub skreśloną kłódką w pasku adresu przeglądarki. Kiedyś to sporo kosztowało; obecnie można zastosować bezpłatny certyfikat Let's Encrypt. Problem tkwi w tym, że nie mamy możliwości zarządzania serwerem ani subdomeną.

Witam.

Czyli żadna z tych osób:

Agencja Interaktywna Bieszczady Mirosław L..........Plac ..........38-600 Lesko, PL+48...........subscriber type: OrganisationLast modified: 2016.06.24 10:29:33

lub

Dinfo.pl Sylwia W............
ul. N.............
43-300 Bielsko-Biała
Polska/Poland
+48.....................
biuro@dinfo.pl

ani hosting

SerwerPLUS

ns2.tld.pl - 94.152.202.202

nie potrafią/nie chcą zresetować dostępu do serwera?
Rozumiem, że np. migracja danych na nową platformę bez pełnych praw admina też nie jest możliwa?
Pozdrawiam.

B.