mr Snok Publicerat Januari 7, 2013 Share Publicerat Januari 7, 2013 Ifall jag söker på google efter ett typiskt jaktsidan-ämne (t ex krutdjungeln) så hamnar jag på http://url4short.info/1b7a2370 när jag klickar på ett sökresultat med en jaktsidan-länk. Men endast första gången, andra gången och alla gånger därefter hamnar jag som förväntat på jaktsidan. Trodde först jag hade virus eller root-kit på min egen dator, men nu har jag sett samma sak på två andra datorer som inte är mina egna och aldrig varit uppkopplade på mitt nätverk (kan i o f s vara samma virus/root-kit på alla 3) Alltså 1) Sök på typisk jaktsidan-term på google (t ex krutdjungeln) 2) Klicka på första sökresultatet som länkar till jaktsidan Citat Länk till kommentera Dela på andra webbplatser More sharing options...
bratell Publicerat Januari 7, 2013 Share Publicerat Januari 7, 2013 samma hände mig. Citat Länk till kommentera Dela på andra webbplatser More sharing options...
Galne Publicerat Januari 7, 2013 Share Publicerat Januari 7, 2013 Klicka på bakåt så hamnar du på önskad sida på jaktsidan! Citat Länk till kommentera Dela på andra webbplatser More sharing options...
Niclas L Publicerat Januari 7, 2013 Share Publicerat Januari 7, 2013 Hmm.... Ska kolla närmare på detta!! //Niclas Citat Länk till kommentera Dela på andra webbplatser More sharing options...
BergsGeten Publicerat Januari 12, 2013 Share Publicerat Januari 12, 2013 några som haft samma problem... http://www.palmtalk.org/forum/index.php?showtopic=31634 Citat Länk till kommentera Dela på andra webbplatser More sharing options...
Siggy-Stardust Publicerat Januari 12, 2013 Share Publicerat Januari 12, 2013 Jag har märkt detta nu och då när jag försökt klicka på diverse länkar. Först tänkte jag inte på det, men nu börjar jag fundera. Citat Länk till kommentera Dela på andra webbplatser More sharing options...
Niclas L Publicerat Januari 12, 2013 Share Publicerat Januari 12, 2013 Har gjort en del fixning nu, om det uppträder igen så meddela mig i denna tråd. Tack för att ni är uppmärksamma!! //Niclas Citat Länk till kommentera Dela på andra webbplatser More sharing options...
mr Snok Publicerat December 25, 2013 Författare Share Publicerat December 25, 2013 Nu har det börjat hända igen. Citat Länk till kommentera Dela på andra webbplatser More sharing options...
Niclas L Publicerat December 26, 2013 Share Publicerat December 26, 2013 Hmm... Får kolla på detta. //Niclas Citat Länk till kommentera Dela på andra webbplatser More sharing options...
Almenson Publicerat Januari 20, 2014 Share Publicerat Januari 20, 2014 Har hänt mig nu också. Flera gånger sista veckan både från dator och mobil. Citat Länk till kommentera Dela på andra webbplatser More sharing options...
Niclas L Publicerat Januari 20, 2014 Share Publicerat Januari 20, 2014 Vår server är helt ren, scannade den så sent som I morse, problemet måste sitta I er DNS. Tyvärr inget jag/vi kan göra nått åt. //Niclas Citat Länk till kommentera Dela på andra webbplatser More sharing options...
Galne Publicerat Januari 21, 2014 Share Publicerat Januari 21, 2014 Råkade ut för det på ett annat forum förra veckan, så det verkar snurra saker där ute nu. Vi har haft belastnings attacker mot våra DNSer här på jobbet sista veckan!! Citat Länk till kommentera Dela på andra webbplatser More sharing options...
Almenson Publicerat Januari 21, 2014 Share Publicerat Januari 21, 2014 Jäkligt irriterande är det. Det spelar ingen roll om man surfar från luren eller datorn och inte heller vilken plats man gör det ifrån. Citat Länk till kommentera Dela på andra webbplatser More sharing options...
selektha Publicerat Februari 18, 2015 Share Publicerat Februari 18, 2015 Detta ligger fortfarande kvar. Numera redirectar den till http://url4short.info/XXXXXXXXXXXXXXXXXXXXX Troligen har forumet blivit injectat med skadlig kod, har sett det på andra forum med där de lyckats ta bort det så admin här bör kunna ordna detta, detta händer just när man går via google länkar samt endast första gången. IPB har haft säkerhetshål som orsakat detta tidigare se: http://peter.upfold.org.uk/blog/2013/01/15/cleaning-up-the-ip-board-url4short-mess/Finns flera trådar på deras forum om detta med(kräver dock client login):http://community.invisionpower.com/topic/406216-google-redirecting-to-filestore123/ Om admin behöver mer hjälp att felsöka hjälper jag gärna till med det ligger INTE i DNS eller liknande som tidigare antytts. Citat Länk till kommentera Dela på andra webbplatser More sharing options...
fredde_fmj Publicerat Februari 18, 2015 Share Publicerat Februari 18, 2015 Då jag surfar med WOT så varnar denna om malware på sidan. Är det någon ledtråd på vägen att få jaktsidan ren? https://www.mywot.com/en/scorecard/jaktsidan.se?utm_source=addon&utm_content=rw-viewsc Citat Länk till kommentera Dela på andra webbplatser More sharing options...
Wizard Publicerat Februari 18, 2015 Share Publicerat Februari 18, 2015 Jag har skrivit ett flertal gånger nu att innan vi har lyckats täppa till det hål där en inject tar sig in så rekommenderar jag VERKLIGEN INTE att ni söker i forumet via Google! Då hänger det med en redirect i requesten om ni har otur och det har varit riktigt besvärligt att bli av med. Jag skrev tre patchar och sen var det lugnt men nu har personen bakom denna inject skrivit om skiten och jag är inne och rensar varenda dag men likförbannat tar det sig in... Vi kör inte helt vanilj IPB och dessutom så har vanilj IPB samma problem, men deras patchar för problemet löser ingenting. Jag jobbar febrilt på det men det är inte helt enkelt att söka efter en UUENCODED sträng som kommer in krypterad via en HTTP request för utan att veta exakt hur den ser ut eller vilken checksum den har kan jag inte börja söka i våra gigantiska logfiler för alla HTTP anrop... Det är rätt många varje sekund och då kan ni ju själva räkna ut hur mycket data man måste igenom för någonting som injectas en till två gånger i veckan... Så kan ni inte låta bli att söka via Google så är det svårt för mig att ha full koll 24/7 men jag jobbar på det. Det finns EN lösning på problemet och den heter byta till nästa version av forumets mjukvara, men det kräver att jag kodar nya templates, portar alla egna felrättningar och portar all unik kod för jaktsidan samt gör om den Svenska översättningen... Det är ett jobb som troligen tar mig och Niclas minst en vecka att göra, och det är fortfarande ingen garanti att skiten inte tar sig in likförbannat... Den nya varianten på denna inject skriver inte längre in $mds som variabel utan nu heter den $rsa och både nyckel och payload har ändrats så någon sitter och tjänar pengar på detta eftersom det ändras konstant hela tiden. Så i kort form: Sök inte på Google - använd vår egen sökmotor! Citat Länk till kommentera Dela på andra webbplatser More sharing options...
selektha Publicerat Februari 19, 2015 Share Publicerat Februari 19, 2015 Jag vill inte trampa någon på tårna nu då jag vet att ni arbetar febrilt med att hålla allting flytande .... MEN Det är inte okej att svara "undvik att googla" ... hur tror ni nya användare hittar hit? Idag verkar redirecten inte skickas till någonting som installerar dumheter ex malware eller liknande MEN det innebär INTE att den inte gör det imorgon! Att rensa för dagen ger ingenting då det är tusentals burkar som infekterar och söker på nätet hela tiden efter dessa exploits och som du själv påpekar så sker det inom X antal timmar. Att utveckla en site som inte går att patcha med leverantörers std patchar är galet och är att be om problem speciellt vid zero days exploits. Att IPB själva inte klarar av att patcha sin forumprogramvara är under all kritik om det är som du säger med tanke på hur många år som nu problemet existerat, rekommenderar i sådana fall att byta forumprogramvara helt(och i samband med det även konfigurera denna så den går att enkelt patcha). Man bör även ha 100% koll på alla de övriga komponenter man använder sig av på sin site då säkerhetshål upptäcks varje dag och man SKALL ha en patch plan för sina servrar. Jag talar av erfarenhet, jobbat som systemadministratör i 10år+ och satt upp "contingency plans" för en mängd siter samt arbetar med säkerhet och pentester kontinuerligt. Jag hoppas verkligen detta löser sig snarast då jägarförbundet själva är med på detta forum och det ser ganska illa ut att det (enligt mig) inte sköts på ett optimalt sätt. Hoppas inte någon tar detta fel nu men detta är ett stort aktivt problem och måste lösas. Citat Länk till kommentera Dela på andra webbplatser More sharing options...
Detta är en populär post. Wizard Publicerat Februari 19, 2015 Detta är en populär post. Share Publicerat Februari 19, 2015 Du kan inte jämföra ditt arbete med ett intresseforum på internet? Jag tjänar inga 50k+ i månaden på att sitta 8 timmar per dygn med jaktsidan - det är helt på frivillig basis och ingen har ett korvöre för detta och således kan man inte börja tjata om SLA'er och liknande. Jag är fullt medveten om det problemet vi har just nu men det är en ny variant av en inject som drabbade oss första gången förra veckan och jag har suttit halva natten i natt på vår dev-server för att manuellt återskapa situationen och för att kunna skriva en ny patch eftersom de patchar som Invision har levererat har varit fruktlösa... Dessutom var jag på sjukhuset i går för en CT eftersom jag skall in på en kritisk operation inom kort så jag skall kunna komma ur min rullstol och börja gå igen så ursäkta mig om jag inte orkade lägga de där extra timmarna i natt så att patchen blev klar... suck. Jag är den enda mod här inne som kodar och rättar buggar, och delar av forumet har jag skrivit om för att stoppa spammare etc. (som väldigt många andra forum i världen har kopierat) Min tid är begränsad och eftersom den redirect som nu drabbas de som kommer in till forumet via google search är för det första begränsad till 1 redirect per dygn (klickar man en andra gång i Google så kommer man in direkt till forumet) och ingen malicious code (än så länge) så har det inte extrem prioritet. Hade det varit fara för användarna så hade jag stängt av forumet eller stoppat inkommande trafik från sökmotorer. Jag kommer troligen att lyckas laga hålet senare i kväll men det beror på hur den nya patchen från IPB ser ut och om den går att plocka in vanilj eller om den måste portas. 8 Citat Länk till kommentera Dela på andra webbplatser More sharing options...
selektha Publicerat Februari 19, 2015 Share Publicerat Februari 19, 2015 Jag förstår din problematik men gå ut med en förfrågan om andra är intresserade av att hjälpa till, tror fler både är intresserade och har kunskapen men vet inte hur de skall gå tillväga för att hjälpa till eller är för lata för att fråga. Som jag skrev tidigare så vet jag precis vilket jobb det är att arbeta med detta på fritiden då jag själv driftar saker även på min fritid och ni skall ha en eloge till ATT ni lägger er tid/energi på detta Jag blir dock upprörd över svar som att det är DNS problem etc. när det uppenbarligen inte är det samt att samma säkerhetsproblem återkommer gång på gång, denna gång sedan december om ni inte patchat flertalet gånger sedan dess(inget ni informerat om här). Så var vänder man sig om man vill börja hjälpa till? PS. Det är fara för användare, inga tveksamheter om det, enda anledningen att man inte blir drabbad exakt just nu är för att url4short plockade bort redirecten, är inte insatt i just detta exploits kod men antar att den kan uppdatera sig med var den får URLen ifrån och kan således skicka användarna till en annan URL som innehåller skadlig kod det är inget vi till 100% vet när och om det sker. Citat Länk till kommentera Dela på andra webbplatser More sharing options...
Wizard Publicerat Februari 19, 2015 Share Publicerat Februari 19, 2015 Vem har sagt att det är något DNS problem? Det enda jag har sagt är att man drabbas av en redirect om man kommer in via en sökmotor som Google t ex, men eftersom jag har deobfuskerat den payload som skickas med - samt har koll på vad som händer när man klickar - så valde vi att köra på. Den gamla varianten har jag patchat och den är fixad men en ny variant kom förra veckan och det är den som jag har jobbat med att få bort nu - vilket jag hoppas min senaste patch skall lösa. (för fem minuter sedan) Om du inte är insatt i just denna koden så varför skriver du då att det är skadligt? Vi drabbades (för första gången någonsin!) av ett XSS inject i syfte till att skapa trafik till 3:e part för att tjäna pengar på reklambanners. Shit happens. En gång på 10 år kan jag leva med. På mitt jobb jag har på dagarna - och som jag faktiskt har betalt för! - skulle jag inte acceptera det, men å andra sidan har vi helt andra pengar att röra oss med. 2 Citat Länk till kommentera Dela på andra webbplatser More sharing options...
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.