Гугл пишет:

Имеется информация, что этот сайт атакует компьютеры!

Имеется информация о том, что сайт rolevik.org используется для атак на компьютеры пользователей. В соответствии с вашими настройками безопасности он был заблокирован.

Сайты, атакующие компьютеры, пытаются установить программное обеспечение, которое похищает персональную информацию, вредит вашей системе или использует ваш компьютер для атак на другие компьютеры.

Некоторые сайты намеренно созданы для распространения зловредного программного обеспечения, однако многие сайты были взломаны и делают это без ведома или разрешения своих владельцев.

Varg, ссылку дай.

Вот ссылка (http://safebrowsing.clients.google.com/safebrowsing/diagnostic?client=Firefox&hl=ru&site=http://rolevik.org/forum/showthread.php?p=104809#post104809)

Я бы не была так категорична :)
Конкретно, в прошлый четверг форум не открывался прямой ссылкой, и я решила лезть через сайт. Заразила два компа в универе, пока не забила на эту идею. Дома, кстати, в этот же вечер повторилась та же картина

мля пора техсаппорт конкретно взъебать...

Несколько дней назад, вечером, при заходе на сайт, не на форум, пытался залиться троян. Было дело.

Кроме того, мой антивирь пишет, что этот сайт заразен. И не дает открыться ни одной странице, пока не нажму на "игнорировать".

Наверное стоит проверить тех, кому вы в последнее время выделяли FTP под сайт. Может кто-то случайно вирус залил? Я проверил novigrad, у нас вроде всё чисто да и не трогал я там ничего уже давно.
Просто так, сайты в черный список не вносят.

На поддоменные сайты можно загнать вирус без ведома их хозяина - не все при создании сайта игры заботятся о его безопасности.

Припевачка мне тоже пару дней назад жаловалась:

Имеется информация, что этот сайт атакует компьютеры.

Имеется информация о том, что сайт www.rolevik.org используется для атак на компьютеры пользователей. В соответствии с вашими настройками безопасности он был заблокирован.

Сайты, атакующие компьютеры, пытаются установить программное обеспечение, которое похищает персональную информацию, вредит вашей системе или использует ваш компьютер для атак на другие компьютеры.

Некоторые сайты намеренно созданы для распространения зловредного программного обеспечения, однако многие сайты были взломаны и делают это без ведома или разрешения своих владельцев.

Если честно, то впервый раз увидел это только в этом треде, хотя антивирь и файрволл у меня стоят мощные =на попытку загнать что либо на мой комп срабатывают сразу, вплоть до предложения "COUNTERATTACK THE MOTHERFUCKERS?" (шутю). Вопрос - каким браузером пользуются те, у кого возникает данная мессага?
Моя Опера упорно молчит и я сомневаюсь, что это из за того, что браузер-говно.:russian_ru:

Fessaer, сейчас, действительно всё чисто, но несколько дней назад, пытался скачаться троян при загрузке, видимо это было не один раз и Гуглю этого хватило, чтоб занести сайт в черный список. Теперь, при заходе с Фаерфокса, или Хрома, выдается сообщение, что сайт опасен для просмотра.

Робик, что делать юзверям Огненной Лисы, как я и многие другие? Хорошо, что у некоторых есть плагин - отображение всех страниц, как в Эксплорере. Но так же жутко неудобно.

Йа знаю, это происки администрации по захвату информации с наших кампутеров, дабы достоверно знать, у кого скока порнухи на харддиске. (Вспоминаю одного мего-хакера с куличек, который втирал Эолу про то, что взломал его компьютер:jester: )

На самом деле есть проблема с безопасностью на данном сервере. Каким то образом где-то между 3 и 6 часами утра какая-то хрень редактирует файлы index.php и showthread.php и добавляет в конец левые ссылки. Пока что я борюсь с этим тем что вытираю их вручную. Как решить эту проблему нормально я не знаю. Обновить версию не предлагать, этот форум сильно модифицирован и терять эти модификации не хотелось бы.

так сегодня у нас внеочередная встреча админов. Будем думать!

это через тех-саппорт решатся должно в общемто.

На самом деле есть проблема с безопасностью на данном сервере. Каким то образом где-то между 3 и 6 часами утра какая-то хрень редактирует файлы index.php и showthread.php и добавляет в конец левые ссылки. Пока что я борюсь с этим тем что вытираю их вручную. Как решить эту проблему нормально я не знаю. Обновить версию не предлагать, этот форум сильно модифицирован и терять эти модификации не хотелось бы.
Это скорее всего какой-то вредоносный вирус или скрипт на сервере. Его надо вычищать, а кроме этого выяснить где есть дыра, через которую заразили сервер. А пшп файлы сделай пока что read-only, хотя и не факт что поможет (если вирус под рутом, то ему будет пофиг).

Кстати, я вчера одной знакомой дал ссылку на ролевичка - и у неё аутпост заругался. У меня макафи помалкивает, да и на работе тренд майкро не булькает - но эти зверьки в тех версиях, которые упомянуты, могут блокировать без сигнализации

Дома Нод32 материццо на ролевика, на работе ОфисСкан (ТрейндМайкро) и Симантек (Нортон) молчат... Стрянно это все, проверяйте сервак, трясите поддержку.

У меня тихо и спокойно всё работает...

У меня AVG и он не ругается, но предупреждает о "малишесных кукисах".

Люди и не совсем))) сделайте скан на вирусы и инфекции. Мои тоже молчали. А когда сделал, Троян, ещё всякая фигня... Инфекций куча. Советую на всяк случай проверить... Может не показывает, но что-то всё таки есть...

Вчера перед сном поставил сканировать. Проснулся - 499 инфекций обнаружено на вашем компьютере. Симантек нашёл троян и ещё всякую всячину.

Кстати, к сведению, сам google загоняет треккеры на комп.

Я обычно по скорости скачивания слежу, и активным подключениям (кто не знает netstat -n). Пока нет чего-то постороннего, мне не пофиг, что у меня на компе болтается? :)

Но вообще мысль дельная.

просканировал Авирой, ничего не показал, хотя антивирь слабенький наверное.
но смешной. файлопроверка у них называется Luke Filewalker. А говорят немцы унылый народ.

У меня Spyware Doctor и Symantec.

Кстати, есть хороший шанс, что на сервере не вирус, который можно будет словить антивиром, а какой-то малишный скрипт который который запихнули на сайт через какую-нибудь дыру, например с какого-нибудь неотфильтрованного поля ввода получаемого от пользователя.
А пока форумом пользоваться практически нельзя...

Не знаю, у меня всё прекрасно работает...
Просто при проверке обнаружилось множество гадости на компе.

Чатился с провайдером, обещали проверить и исправить.

А пока форумом пользоваться практически нельзя Чуть менее категорично. Те, у кого антивирусы НЕ блокируют при малейшем признаке атаки все порты, закрашивают монитор в красный и включают сирену на весь квартал, а тихо делают своё дело, форумом практически пользуются.

Совершенно не понимаю, зачем на домашней машине нужен десяток систем защиты, да ещё навороченных, так что подобраться к ней сложней, чем в пентагоновский сервер, когда на ней держат пару гиг фоток и фильмы, осликом накачанные.

ILS, Ибо жалко терять эти несколько гиг, накачаные.. ээм... месяцами? А кто и годами. Потом знаешь ли, фпадлу всё востонавливать. Если троян залезет и всё нафиг полетит, то... Честно, обидно.

Black Knight, у трояна несколько другая специфика действия.wink

Fessaer, Я точно не знаю. По этому спорить не буду. Ну он вроде удаляет какой то файл в папке Систем32. Или это не он... Я не помню. Да дело даже не в трояне. А вообще в вирусах, которые вредят действиям компа.

не оффтопьте. Здесь обсуждается проблема форума, а не вирусы в целом.

по моим ощущениям похоже на паразитный скрипт. Лиса виснет на каждой странице, и матерится жалостно. Окно эксплорера с домашней страничкой "Ведьмака" норовит самоактивироваться каждые несколько минут. При нечаянном клике обсыпает рекламой Виагры. Так что кто знает - активизируйте, пожалуйста, техподдержку.

Зиг, вот хохма будет если меня угораздило заразить чистый рабочий комп...

кстати, к сведению администраторов - гуглевска маркировка штука пакостная, чем дольше она на сайте висит, тем хуже он ищется, вплоть до полного игнора и даже удаления - когда они провайдеру пишут, тот прислушивается. Так что пошевеливаться стоит.

Аааа! Латайте дыры, у меня на novigrad, в каждый линк добавился попап с сайтом виагры (volya, спасибо, а то у меня попапы блокируются и я бы сам не заметил). Пришлось все нафиг сносить и заливать заного из бэкапа. (заодно обновил страничку с ролями :))

Народ, у кого антивиры пишут что-то конкретное, пишите сюда что именно. Ругаюсь с ТП хостинга, но они, похоже, придурки.

Нарочно прогнал скан на обоих компах, на которых лазаю дома (McAfee Enterprise 8.5 + AntiSpy - встроенный скан, вдобавок, прогнал скан http://spywareguide.com/) - ничего конкретного, тем более - связанного с сайтом не нашлось. В логах тоже нет указаний на блокировки чего-то с ролевика. "А был ли мальчик?" (с)

"Имеется информация, что этот сайт атакует компьютеры!

Имеется информация о том, что сайт rolevik.org используется для атак на компьютеры пользователей. В соответствии с вашими настройками безопасности он был заблокирован.

Сайты, атакующие компьютеры, пытаются установить программное обеспечение, которое похищает персональную информацию, вредит вашей системе или использует ваш компьютер для атак на другие компьютеры.

Некоторые сайты намеренно созданы для распространения зловредного программного обеспечения, однако многие сайты были взломаны и делают это без ведома или разрешения своих владельцев."

Это было выдано Avira Antivir, сижу через фаерфокс (менять браузер не предлагать), слава Хаосу, что есть спец. плагин, позволяющий отображать каждую страничку так же, как в эксплорере - за плагин спасибо пропавшему с горизонтов Райану.

Народ, у кого антивиры пишут что-то конкретное, пишите сюда что именно. Ругаюсь с ТП хостинга, но они, похоже, придурки.

Indarven, это НЕ конкретная информация. Названия обнаруженых вирусов, пожалуйста. Это важно.

Для любителей Огненной Лисы, объедающей молодые побеги (англ. FireFox browser): сообщение, подобное увиденному Индарвен, генерируется не антивирусом, а самим обозревателем, уж не знаю, на каком основании и из какой базы данных. Дабы обозреватель молчал в тряпочку, предлагаю снять в настройках галочку
Tools-> Options -> Security -> Tell me if the site I'm visiting is a suspected attack site (русскую/ивритскую версии не знаю, а аглицкая у меня перед глазами, да ещё и антивиря на этом компе вообще нет, а при наличии галочки ругаецЦа).

Кстати, там есть кнопочка, перенаправляющая сюда (http://safebrowsing.clients.google.com/safebrowsing/diagnostic?client=Firefox&hl=en-GB&site=http://rolevik.org/forum/forumdisplay.php?f=14), где и написано, почему сайт блокируется. Аксанор, можешь предложить эту страничку провайдеру для прочтения.

ILS, угу, только по этой ссылке всё равно нет названий вирусов. А отключить защиту конечно можно, но вероятно чревато ловлей вирусов на комп.

Varg, как я уже писал выше, признаков вирусной активности я не заметил. На ссылке нет названий вирусов, зато есть доказательства того, что хост не чистый, для саппорта

Axanor, я сомневаюсь что виноваты вирусы. ИМХО, по всем описанным симптомам - это cross-site scripting (http://en.wikipedia.org/wiki/Cross-site_scripting) аттака и сканирование на вирусы ничего не даст. Нужно в ручную помониторить систему и попытаться понять что за годасть бежит на сервере, которая меняет странички и вставляет туда вредоносную фигню. Если известны какие именно изменения происходят, можно попробовать погуглить, может уже кто-то с этим уже связывался.


ILS, игнорирование проблеммы - это никак не решение. Я иногда захожу на форум с рабочего компа и работаю дома, и да, серьёзно заморачиваюсь на безопасность и делаю это совсем не от того, что у меня параноя и нефиг чем занятся.

Zigmar, В твоём случае это действительно может быть важно.
В моём, чем больше рабочих компов я заражу какой-нибудь пакостью, тем мне веселее :)
А в домашних той безопасности, которая имеется, мне хватает.

Но если ты перечитаешь мою ссылку, ты увидишь, что сайт заносится в блэклист, даже если в данный момент уже не заражён. А сообщения выходят от браузера, а не от антивирей

Просканил систему. Ничего, кроме гугловских Adwaroв не обнаружил. :crazy girl:

вроде исправили... тестируем. Если что нибудь ругнётся (но не мозилло-гугловским варнингом) а по нормальному, пишите. Если до конца недели всё ок, буду просить о вычеркивании из блеклиста.

Сегодня пытался зайти на сайт с рабочего (виндовз) компа. Завис сразу, так до конца сайт и не открыв.Потребовалось жёстко перезагрузить комп.
Пытался зайти ещё два раза. С аналогичным результатом.
С личного компьютера (мак) заходит нормально.

Ворон, это больше похоже на проблему с IE, а не с форумом.

не, просто сервер лежал некоторое время.

Не, одновременно пробовал с 2-х компов. С мака работало, на винде глючило. При этом выключит эксплорер не удавалось. Комп повисал. Помогал только жёсткий рестарт.
Илс, что такое IE я не знаю.... Мы не грамотные... (с) :)

Ворон, Internet Explorer.
Он у тебя на каком языке?

...

Masha, не думаю, что это с "ролевика".
Хватит лазить по порносайтам :jester:

По порносайтам-не по порносайтам, а у меня тот же антивирь ничего не нашёл (надо полагать, никто не сомневается в моей частоте посещения "ролевика"? :))

А если ты, Маша, развернёшь столбик "In Folder" - ты увидишь, где была зараза. А развернув столбик "Application" - в какой программе.

Учитывая что это то что мне выдал антивирус универа при попытке открыть ролевик... но вы сами просили (точней броневик) поподробней. Если вы такие умные что можете только умно говорить мне что я делаю не так или как я что-то не умею делать, или почему это не правильно или этого не может быть, и что вообще сама дура ибо у вас и ваших святых компов ничего такого нет....ну что-ж, "пожалуйста"!

Masha, спасибо. Какой антивирус, если не секрет?

Masha, ты знаешь, при действии с обозревателем (открытии, переходе с сайта на сайт) могут параллельно и другие вещи происходить. Например, программы запускаться. Мой антивирус (точно такой же, да ещё и с антиспайваром) - молчит. Никто не говорит, что "сама дура", речь идёт о том, что сообщение - не из-за ролевика. А универские компы - кто знает, куда на них кто заходил и что делал?!!!

Axanor, McAfee Enterprise, точную версию по этому скрину сказать не смогу

Илс, ну ну....а то что у меня дома и фаирфокс и эксплорер матерятся как недорезаные, это потому что и у меня дома какие-то левые студенты лазят по левым сайтам? И это учитывая что в интернет помимо новостей и 3 постоянных сайтов для учебы я никуда не лажу?

as you wish. enjoy.

Броневик...я проверю, ибо просто не знаю.

Броневик...я проверю, ибо просто не знаю
я ему дал ответ

а то что у меня дома и фаирфокс и эксплорер матерятся как недорезаные, это потому что и у меня дома какие-то левые студенты лазят по левым сайтам?
почему левые? ты :evillaugh А вирусы по многим разным маршрутам приходят (кстати, в своё время у меня антивирь крыл трёхэтажным FTP-папочку ТАУ).

Илс, эксплорер аглицкий.
Кстати, сейчас зашёл опять с рабочего компа (вин) . Эффект тот же, комп виснет.
Сейчас пишу со своего (мак), полёт нормальный.

При заходе на сам сайт (rolevik.org), пытался скачаться и открыться зараженный pdf файл. Нортон его тормознул.

http://www.rolevik.org/forum/attachment.php?attachmentid=4069&stc=1&d=1231326109

Имена заблокированных файлов - 3668(1).pdf 1129(1).pdf 7940[1].pdf 1498[1].pdf Acr13FF.tmp
Имя трояна (как видно из нортоновского окна) bloodhound.Exploit.196 (http://www.symantec.com/security_response/writeup.jsp?docid=2008-080702-2357-99&tabid=2)
Не знаю даже, троян ли это, но то, что он пытается скачаться и открыться - точно.
Вчера мой приятель пытался зайти на ролевик с компа без антивируса, говорит, что у него пыталось открыться какое-то окно (видимо adobe reader) и комп завис с cpu 100%

Маша была права, зря мы прикалывались :) Фигня эта срабатывает не всегда, а как то рандомально.

UPD.
При открытии rolevik.org (именно сайта, а не форума), через 20-40 секунд, срабатывает редирект на http://regedintheclub.info/spluy/pdf.php?id=95393&vis=1 и пытаются скачаться 3-4 pdf файла, каждый раз, с разными названиями. А дальше - по сценарию, описанному выше.

Ну, на сайте я редко бываю... Сейчас попробовал - благо, комп рабочий, мне его не жалко - таки редиректит

Прогнал сейчас у себя.

Опера абсолютно ничего не выдает, автоматом открывая сайт в разделе новостей.

При попытке загрузить тот же самый адрес на IE7 моментально аггрятся Symantec и Ad-Watch 2008 засекая вышеназванный бладхаунд, который является експлойтом - червяком на самом сайте, который заставляет експлорер перейти по заданной в черве ссылке.


Редирект хаунда на ресурс, с которого пытается влезть уже сам траян. Вот, что из себя представляет траян:



Trojan.Goldun
Risk Level 1: Very Low
Discovered: January 7, 2005
Updated: February 13, 2007 12:31:36 PM
Also Known As: Trojan-Dropper.Win32.Agent.dz
Type: Trojan Horse
Systems Affected: Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows XP


Trojan.Goldun is a Trojan horse program that steals user's authentication for e-gold.

Для пользователей, которые данным сервисом (E-gold) не пользуются, конь безвредный.



З.Ы. Сам експлойт скорее всего сидит в коде сайта. Попасть туда может несколькими способами. 1) Взлом пароля 2)Форма ввода логина на сайте. (у нас имеется).Варианты решения со слов двух нет-программеров - а) В любом случае сменить пароли и (!) саму форму пароля. Другой тип символов, длина пароля (желательно больше 10 символов и кратная 7), проверить на отсутствие ассоциативных связей.Так же рекомендуют внимательно прошерстить ВЕСЬ код сайта на наличие посторонних скриптов, могущих следить за паролем (скрипт может быть совсем мелким и незаметным). б) Проверить ограничение ввода в полях форм логина и пароля. (длина ввода, ключевые слова и тд.)

Хм... у меня ни в лисе, ни в ие упорно ни чего не редиректится

(кстати, в своё время у меня антивирь крыл трёхэтажным FTP-папочку ТАУ).

Кстати, в свое время там была куча вирусов, которые накатывали сами студенты. :crazy girl:

Хм... у меня ни в лисе, ни в ие упорно ни чего не редиректится
Ты сайт открываешь, или форум?

Кстати, в свое время там была куча вирусов, которые накатывали сами студенты
Вот-вот. Правда, это уже не релевантно к ситуации.

UPD.
При открытии rolevik.org (именно сайта, а не форума), через 20-40 секунд, срабатывает редирект на http://regedintheclub.info/spluy/pdf.php?id=95393&vis=1 и пытаются скачаться 3-4 pdf файла, каждый раз, с разными названиями. А дальше - по сценарию, описанному выше.
aga

Mr.Kot, Для того, чтобы узнать, что лезет с редиректа, я специально дал антивирю установку пропустить переадресацию и тормознуть все, что оттуда полезет. По умолчанию,у меня антивирь до редиректа не дает дойти, сразу же нейтрализуя експлойт. Плюс, скорее всего, хаунд сидит именно в титульной странице сайта, так как Опера, которая его обходит сразу, никаких редиректов не ловит. Посмотри, что у тебя отображает сайт при загрузке. Если новости, то твой браузер червя "проскакивает". Червь лезет при отображении страницы "Что такое Живые Ролевые Игры?"

Червь лезет при отображении страницы "Что такое Живые Ролевые Игры?"
левые редиректы оттуда удалены.

Лишь бы не вернулись :) А что за ПДФ-то там был? А-то Ридер потужился-подужился, и ничего не открыл...

Ярик, проверил, вроде чисто.

Хром и ФФ продолжают материться на каждую страничку? Может пора на другой хостинг или движок форума переезжать (в зависимости от того, где дыра)?

Хром и ФФ продолжают материться на каждую страничку
Хром и ФФ продолжают видеть всё в том же чёрном списке домен rolevik.org, вне зависимости от того, где он хостится, кажется, в течении месяца с момента последней жалобы. Может, попользоваться Оперой (если она не ругается)? Кстати, форум тут вообще не причём, причиной блэклистования был сайт.

Zigmar, это не в хосте дыра, а в исходнике сайта. Смена хоста не поможет.

смена хоста это смена техсупорта.
а хорошая тех поддержка в таких случаях может указать конкретно - где дырочка.

Гмык, ну вообще, если с этой точки зрения смотреть, то на .org один из самых профессиональных саппортов на данный момент. wink А поскольку дыра, повторюсь, в исходнике, то техсаппорт к ней особо отношения не имеет.



З.Ы. Позвони в техподдержку провайдера, и спроси, как они могут наладить тебе интернет, в случае, если твой сосед разбил твой модем молотком - что они тебе скажут интересна. :jester:

я не сказал, что должна, а сказал, что может.
я точно не знаю что они там делают - отслеживают ли процессы, откуда какой файлик изменялся итп но у меня была точно такаяже проблема и супорт указал мне на дырку.

п.с. что значит

на .org
?

Пока что я всё ещё жду докладов от людей, какие антивирусы ругаются, в каких местах, и что находят. Статические предупреждения меня не очень беспокоят. Последние, как мне кажется, редиректы на троян были убраны. Дырка, предполагаемая Фессом была отслежена, и её там нет.

ожет, попользоваться Оперой (если она не ругается)? Кстати, форум тут вообще не причём, причиной блэклистования был сайт.
Народ вроде жаловался что зловредный скрипт и на форуме подменял сслыки.

Axanor, еще вариант - если это инджекнутный стрипт - то можно прочесать БД на поля с кусками пхп кода. Так-же можно погрепать исходники сайта на предмет подозрительный юрл-ов и регекспов.
А вообще, самый надёжный вариант - если проблемма reproducible - просто поключится с тестовой машины и проследить запрос в сервере от начала до конца, чтоб понять где именно в него добавляется мусор. Сначала стоит проверить на каком уровне это перехватывается - если это на уровне ОС, то тогда надо смотреть что это за процесс, если в самом веб-сервере, то тогда искать что за скрипт гадит и как он туда попал.

Zigmar, на форуме я вполне регулярно, у меня ни разу не было.

В данный момент редиректов нет.
Axanor, bloodhound работает только через ту дырку, которую я тебе указал - изменение исходника.Доступ к нему можно получить через пароль или вручную через формы заполнения. Я сравнительно чайнег, поэтому другие методы загона данного фрукта мне неизвестны. Штука довольно старая, так что сомневаюсь, что она что-то более продвинутое использует.


Гмык, у PIR есть свой, общий, саппорт сервис. Мало того, у GlobeHosting, который, если не ошибаюсь, является хостом сайта, один из лучших техсапов в данной зоне. wink

Дальнейшее обсуждение разницы между доменом и хостом в личку, ибо здесь буду тереть, как оффтоп.


З.Ы. Йа нифига не секу по теме веб-сервисов, если вам так будет легче перестать оффтопить.:crazy girl: