Wersja do druku
Od kilku tygodni usiłowałem znaleźć stronę próbującą infekować mi komputer.
Obecnie jestem na 99% pewny, ze to strona forum.
Gdzieś doklejony jest skrypt, rozpoznawany przez mojego antywirusa (Symantec Endpoint Protection) jako PUA.WASMcoinminer.
Nie jestem w stanie podać dokładnego miejsca, bo antywirus krzyczy o nim zaraz po wejściu na główną stronę, wykrywając go w cache przeglądarki.
Według wszelkich znaków na niebie i na ziemi :wink: to coś (PUA.WASMcoinminer) instaluje się lokalnie i usuwanie tegoż wymaga działań na własnym komputerze. Uaktywnia się co prawda podczas pracy z przeglądarkami, ale infekuje komputery a nie serwisy WWW. Prawdą jest jednak, że nasze forum jest podatne na infekcje i niewykluczone, że coś złapało. Będę więc próbował działać i szukać tego paskudztwa.
Forumowiczów proszę o obserwację obciążenia procesora po wejściu na forum: czy wzrasta powyżej 70% (przy braku innej aktywności) czy nie? O ile się nie mylę w Windows można to sprawdzić uruchamiając odpowiednią aplikację magiczną kombinacją klawiszy CTRL-SHIFT-ESC, najlepiej obserwować obciążenie procesora przez chwilę przed uruchomieniem przeglądarki, po uruchomieniu i po wejściu na forum.
Ciekawostka.Po raz pierwszy od jakiegoś tygodnia czy dwóch wszedłem na Forum bez powiadomienia, że antywirus zneutralizował zagrożenie. Czyżby udało się usunąć? Co ciekawe - taki komunikat pojawiał się wyłącznie przy wejściu na Forum.
Dlaczego nie dałeś wcześniej znać, że jakiś antywirus sygnalizował zagrożenie? :evil:Cytat:
Zamieszczone przez mercun
Po sygnale od Uszatka znalazłem jakiś śmieć i usunąłem, nie była to jednak wskazywana w pierwszym poście koparka kryptowalut.
Myślałem, że to u mnie. Była to właśnie koparka kryptowalut , ponoć bez większej szkodliwości. Szukałem u siebie ale nic nie znalazłem. A teraz jej nie ma. Czyżby tylko nas z Uszatkiem dopadło?Cytat:
Zamieszczone przez bartolomeo
U mnie nie zdążyło się instalować, ponieważ wyłapał to kilkunastokrotnie antywirus.Cytat:
Zamieszczone przez bartolomeo
Obecnie (13:46) nie otrzymuję już alarmów antywirusa. Jest lepiej.
Skoro już nie krzyczy to jest nie tylko lepiej ale nawet dobrze! :wink:Cytat:
Zamieszczone przez uszatek_mis
Na przyszłość proszę wszystkich o sygnalizowanie potencjalnych zagrożeń ze strony forum, najlepiej tu - w tym wątku (za chwilę zmienię tytuł na czytelniejszy). Z przykrością muszę stwierdzić, że takie zagrożenia będą :sad:
"Zostało wykryte zagrożenie" taki komunikat pojawia się na dwóch komp.
Jakie zagrożenie? Coś więcej w tym komunikacie się pojawia?
--- kolejny post ---
To prawdopodobnie był nasz stary znajomy FileStore. Na przyszłość proszę o jakiekolwiek szczegóły, będzie zdecydowanie łatwiej.
"Zagrożenie" znikło,więc pewnie tak.Cytat:
Zamieszczone przez bartolomeo
FileStore znów się nam przykleiło. Tym razem zabijając FileStore wyłączyłem na forum możliwość korzystania z wtyczek i rozszerzeń - jakie to ma konsekwencje szczerze mówiąc nie wiem :mrgreen: Gdyby jakaś funkcja nagle przestała działać proszę tu o sygnał, przeglądnąłem co się dało i nie znalazłem żadnych istotnych wtyczek czy rozszerzeń, powinno więc być jak dotąd. Ale praktyka zweryfikuje.
FileStore przyczepiał się do forum właśnie poprzez wadliwy mechanizm wtyczek i rozszerzeń, może teraz będzie (przez chwilę) spokojniej.
Uwaga. Użytkownik Waydap wysyła jakieś świństwo na PW.
Zbanowany.
Zdążył wysłać 136 prywatnych wiadomości. Nawet admin nie ma możliwości aby do nich zaglądnąć, ale na podstawie raportu jednego z forumowiczów usunąłem wszystkie. Nie wiem jak to działa, ale mam nadzieję, że tak jak powinno. Jeżeli u kogokolwiek ostała się jakaś wiadomość od tego spamera to proszę o sygnał. Nie ma znaczenia treść wiadomości a jedynie ustalenie czy z poziomu admina mogę usunąć PW wysłane przez określoną osobę już po rozesłaniu.
Potwierdzam wyczyszczenie skrzynki odbiorczej ze śmiecia.
Cześć. Apropos wirusów i innych paskudztw ... Strona forum nie jest zabezpieczona, może by warto pomyśleć nad zabezpieczoną wersją protokołu http -> https ?
https:// na początku adresu oznacza, że transmisja w obie strony jest szyfrowana. Uniemożliwia to przechwytywanie i zmienianie przesyłanych danych. Jest też gwarancja, że przesyłane "paskudztwa" dotrą bezpiecznie w nienaruszonym stanie:-)Cytat:
Zamieszczone przez _PrEzY_
Natomiast wniosek o zastosowanie szyfrowanego protokołu jest jak najbardziej zasadny. Głównie z tego powodu, że Forum nie będzie straszyć groźnymi komunikatami o niezabezpieczonym połączeniu oraz wykrzyknikiem lub skreśloną kłódką w pasku adresu przeglądarki. Kiedyś to sporo kosztowało; obecnie można zastosować bezpłatny certyfikat Let's Encrypt. Problem tkwi w tym, że nie mamy możliwości zarządzania serwerem ani subdomeną.
Witam.Cytat:
Zamieszczone przez Wojtek Pysz
Czyli żadna z tych osób:
Agencja Interaktywna Bieszczady Mirosław L..........Plac ..........38-600 Lesko, PL+48...........subscriber type: OrganisationLast modified: 2016.06.24 10:29:33
lub
Dinfo.pl Sylwia W............
ul. N.............
43-300 Bielsko-Biała
Polska/Poland
+48.....................
biuro@dinfo.pl
ani hosting
SerwerPLUS
ns2.tld.pl - 94.152.202.202
nie potrafią/nie chcą zresetować dostępu do serwera?
Rozumiem, że np. migracja danych na nową platformę bez pełnych praw admina też nie jest możliwa?
Pozdrawiam.
B.