Zobacz pełną wersję : Zagrożenie z forum: wirus, malware, atak lub insze świństwo
uszatek_mis
03-04-2018, 10:40
Od kilku tygodni usiłowałem znaleźć stronę próbującą infekować mi komputer.
Obecnie jestem na 99% pewny, ze to strona forum.
Gdzieś doklejony jest skrypt, rozpoznawany przez mojego antywirusa (Symantec Endpoint Protection) jako PUA.WASMcoinminer.
Nie jestem w stanie podać dokładnego miejsca, bo antywirus krzyczy o nim zaraz po wejściu na główną stronę, wykrywając go w cache przeglądarki.
bartolomeo
03-04-2018, 11:06
Według wszelkich znaków na niebie i na ziemi :wink: to coś (PUA.WASMcoinminer) instaluje się lokalnie i usuwanie tegoż wymaga działań na własnym komputerze. Uaktywnia się co prawda podczas pracy z przeglądarkami, ale infekuje komputery a nie serwisy WWW. Prawdą jest jednak, że nasze forum jest podatne na infekcje i niewykluczone, że coś złapało. Będę więc próbował działać i szukać tego paskudztwa.
Forumowiczów proszę o obserwację obciążenia procesora po wejściu na forum: czy wzrasta powyżej 70% (przy braku innej aktywności) czy nie? O ile się nie mylę w Windows można to sprawdzić uruchamiając odpowiednią aplikację magiczną kombinacją klawiszy CTRL-SHIFT-ESC, najlepiej obserwować obciążenie procesora przez chwilę przed uruchomieniem przeglądarki, po uruchomieniu i po wejściu na forum.
Ciekawostka.Po raz pierwszy od jakiegoś tygodnia czy dwóch wszedłem na Forum bez powiadomienia, że antywirus zneutralizował zagrożenie. Czyżby udało się usunąć? Co ciekawe - taki komunikat pojawiał się wyłącznie przy wejściu na Forum.
bartolomeo
03-04-2018, 12:35
Po raz pierwszy od jakiegoś tygodnia czy dwóch wszedłem na Forum bez powiadomienia, że antywirus zneutralizował zagrożenie.Dlaczego nie dałeś wcześniej znać, że jakiś antywirus sygnalizował zagrożenie? :evil:
Po sygnale od Uszatka znalazłem jakiś śmieć i usunąłem, nie była to jednak wskazywana w pierwszym poście koparka kryptowalut.
Dlaczego nie dałeś wcześniej znać, że jakiś antywirus sygnalizował zagrożenie? :evil:
Po sygnale od Uszatka znalazłem jakiś śmieć i usunąłem, nie była to jednak wskazywana w pierwszym poście koparka kryptowalut.
Myślałem, że to u mnie. Była to właśnie koparka kryptowalut , ponoć bez większej szkodliwości. Szukałem u siebie ale nic nie znalazłem. A teraz jej nie ma. Czyżby tylko nas z Uszatkiem dopadło?
uszatek_mis
03-04-2018, 13:46
Według wszelkich znaków na niebie i na ziemi :wink: to coś (PUA.WASMcoinminer) instaluje się lokalnie i usuwanie tegoż wymaga działań na własnym komputerze. Uaktywnia się co prawda podczas pracy z przeglądarkami, ale infekuje komputery a nie serwisy WWW.
U mnie nie zdążyło się instalować, ponieważ wyłapał to kilkunastokrotnie antywirus.
Obecnie (13:46) nie otrzymuję już alarmów antywirusa. Jest lepiej.
bartolomeo
03-04-2018, 14:37
Jest lepiej.Skoro już nie krzyczy to jest nie tylko lepiej ale nawet dobrze! :wink:
Na przyszłość proszę wszystkich o sygnalizowanie potencjalnych zagrożeń ze strony forum, najlepiej tu - w tym wątku (za chwilę zmienię tytuł na czytelniejszy). Z przykrością muszę stwierdzić, że takie zagrożenia będą :sad:
"Zostało wykryte zagrożenie" taki komunikat pojawia się na dwóch komp.
bartolomeo
09-04-2018, 18:35
Jakie zagrożenie? Coś więcej w tym komunikacie się pojawia?
--- kolejny post ---
To prawdopodobnie był nasz stary znajomy FileStore. Na przyszłość proszę o jakiekolwiek szczegóły, będzie zdecydowanie łatwiej.
Jakie zagrożenie? Coś więcej w tym komunikacie się pojawia?
--- kolejny post ---
To prawdopodobnie był nasz stary znajomy FileStore. Na przyszłość proszę o jakiekolwiek szczegóły, będzie zdecydowanie łatwiej.
"Zagrożenie" znikło,więc pewnie tak.
bartolomeo
22-04-2018, 19:45
FileStore znów się nam przykleiło. Tym razem zabijając FileStore wyłączyłem na forum możliwość korzystania z wtyczek i rozszerzeń - jakie to ma konsekwencje szczerze mówiąc nie wiem :mrgreen: Gdyby jakaś funkcja nagle przestała działać proszę tu o sygnał, przeglądnąłem co się dało i nie znalazłem żadnych istotnych wtyczek czy rozszerzeń, powinno więc być jak dotąd. Ale praktyka zweryfikuje.
FileStore przyczepiał się do forum właśnie poprzez wadliwy mechanizm wtyczek i rozszerzeń, może teraz będzie (przez chwilę) spokojniej.
Uwaga. Użytkownik Waydap wysyła jakieś świństwo na PW.
bartolomeo
04-06-2022, 11:30
Zbanowany.
Zdążył wysłać 136 prywatnych wiadomości. Nawet admin nie ma możliwości aby do nich zaglądnąć, ale na podstawie raportu jednego z forumowiczów usunąłem wszystkie. Nie wiem jak to działa, ale mam nadzieję, że tak jak powinno. Jeżeli u kogokolwiek ostała się jakaś wiadomość od tego spamera to proszę o sygnał. Nie ma znaczenia treść wiadomości a jedynie ustalenie czy z poziomu admina mogę usunąć PW wysłane przez określoną osobę już po rozesłaniu.
Potwierdzam wyczyszczenie skrzynki odbiorczej ze śmiecia.
Cześć. Apropos wirusów i innych paskudztw ... Strona forum nie jest zabezpieczona, może by warto pomyśleć nad zabezpieczoną wersją protokołu http -> https ?
Wojtek Pysz
05-06-2022, 20:21
Cześć. Apropos wirusów i innych paskudztw ... Strona forum nie jest zabezpieczona, może by warto pomyśleć nad zabezpieczoną wersją protokołu http -> https ?
https:// na początku adresu oznacza, że transmisja w obie strony jest szyfrowana. Uniemożliwia to przechwytywanie i zmienianie przesyłanych danych. Jest też gwarancja, że przesyłane "paskudztwa" dotrą bezpiecznie w nienaruszonym stanie:-)
Natomiast wniosek o zastosowanie szyfrowanego protokołu jest jak najbardziej zasadny. Głównie z tego powodu, że Forum nie będzie straszyć groźnymi komunikatami o niezabezpieczonym połączeniu oraz wykrzyknikiem lub skreśloną kłódką w pasku adresu przeglądarki. Kiedyś to sporo kosztowało; obecnie można zastosować bezpłatny certyfikat Let's Encrypt. Problem tkwi w tym, że nie mamy możliwości zarządzania serwerem ani subdomeną.
https:// na początku adresu oznacza, że transmisja w obie strony jest szyfrowana. Uniemożliwia to przechwytywanie i zmienianie przesyłanych danych. Jest też gwarancja, że przesyłane "paskudztwa" dotrą bezpiecznie w nienaruszonym stanie:-)
Natomiast wniosek o zastosowanie szyfrowanego protokołu jest jak najbardziej zasadny. Głównie z tego powodu, że Forum nie będzie straszyć groźnymi komunikatami o niezabezpieczonym połączeniu oraz wykrzyknikiem lub skreśloną kłódką w pasku adresu przeglądarki. Kiedyś to sporo kosztowało; obecnie można zastosować bezpłatny certyfikat Let's Encrypt. Problem tkwi w tym, że nie mamy możliwości zarządzania serwerem ani subdomeną.
Witam.
Czyli żadna z tych osób:
Agencja Interaktywna Bieszczady Mirosław L..........Plac ..........38-600 Lesko, PL+48...........subscriber type: OrganisationLast modified: 2016.06.24 10:29:33
lub
Dinfo.pl Sylwia W............
ul. N.............
43-300 Bielsko-Biała
Polska/Poland
+48.....................
biuro@dinfo.pl
ani hosting
SerwerPLUS
ns2.tld.pl - 94.152.202.202
nie potrafią/nie chcą zresetować dostępu do serwera?
Rozumiem, że np. migracja danych na nową platformę bez pełnych praw admina też nie jest możliwa?
Pozdrawiam.
B.
Powered by vBulletin® Version 4.2.1 Copyright © 2024 vBulletin Solutions, Inc. All rights reserved.