Hoppa till innehåll

Napping?


mr Snok

Recommended Posts

Ifall jag söker på google efter ett typiskt jaktsidan-ämne (t ex krutdjungeln) så hamnar jag på http://url4short.info/1b7a2370 när jag klickar på ett sökresultat med en jaktsidan-länk.

Men endast första gången, andra gången och alla gånger därefter hamnar jag som förväntat på jaktsidan.

Trodde först jag hade virus eller root-kit på min egen dator, men nu har jag sett samma sak på två andra datorer som inte är mina egna och aldrig varit uppkopplade på mitt nätverk (kan i o f s vara samma virus/root-kit på alla 3)

Alltså

1) Sök på typisk jaktsidan-term på google (t ex krutdjungeln)

2) Klicka på första sökresultatet som länkar till jaktsidan

Länk till kommentera
Dela på andra webbplatser

Jag har märkt detta nu och då när jag försökt klicka på diverse länkar.

Först tänkte jag inte på det, men nu börjar jag fundera.

Länk till kommentera
Dela på andra webbplatser

  • 11 months later...
  • 4 weeks later...

Vår server är helt ren, scannade den så sent som I morse, problemet måste sitta I er DNS.

Tyvärr inget jag/vi kan göra nått åt.

 

 

//Niclas

Länk till kommentera
Dela på andra webbplatser

Råkade ut för det på ett annat forum förra veckan, så det verkar snurra saker där ute nu. Vi har haft belastnings attacker mot våra DNSer här på jobbet sista veckan!!

Länk till kommentera
Dela på andra webbplatser

Jäkligt irriterande är det. Det spelar ingen roll om man surfar från luren eller datorn och inte heller vilken plats man gör det ifrån.

Länk till kommentera
Dela på andra webbplatser

  • 1 year later...

Detta ligger fortfarande kvar.

Numera redirectar den till http://url4short.info/XXXXXXXXXXXXXXXXXXXXX

 

Troligen har forumet blivit injectat med skadlig kod, har sett det på andra forum med där de lyckats ta bort det så admin här bör kunna ordna detta, detta händer just när man går via google länkar samt endast första gången.

 

IPB har haft säkerhetshål som orsakat detta tidigare se:

http://peter.upfold.org.uk/blog/2013/01/15/cleaning-up-the-ip-board-url4short-mess/

Finns flera trådar på deras forum om detta med(kräver dock client login):
http://community.invisionpower.com/topic/406216-google-redirecting-to-filestore123/

 

Om admin behöver mer hjälp att felsöka hjälper jag gärna till med det ligger INTE i DNS eller liknande som tidigare antytts.

Länk till kommentera
Dela på andra webbplatser

Jag har skrivit ett flertal gånger nu att innan vi har lyckats täppa till det hål där en inject tar sig in så rekommenderar jag VERKLIGEN INTE att ni söker i forumet via Google! Då hänger det med en redirect i requesten om ni har otur och det har varit riktigt besvärligt att bli av med. Jag skrev tre patchar och sen var det lugnt men nu har personen bakom denna inject skrivit om skiten och jag är inne och rensar varenda dag men likförbannat tar det sig in...

 

Vi kör inte helt vanilj IPB och dessutom så har vanilj IPB samma problem, men deras patchar för problemet löser ingenting.

 

Jag jobbar febrilt på det men det är inte helt enkelt att söka efter en UUENCODED sträng som kommer in krypterad via en HTTP request för utan att veta exakt hur den ser ut eller vilken checksum den har kan jag inte börja söka i våra gigantiska logfiler för alla HTTP anrop... Det är rätt många varje sekund och då kan ni ju själva räkna ut hur mycket data man måste igenom för någonting som injectas en till två gånger i veckan...

 

Så kan ni inte låta bli att söka via Google så är det svårt för mig att ha full koll 24/7 men jag jobbar på det.

 

Det finns EN lösning på problemet och den heter byta till nästa version av forumets mjukvara, men det kräver att jag kodar nya templates, portar alla egna felrättningar och portar all unik kod för jaktsidan samt gör om den Svenska översättningen... Det är ett jobb som troligen tar mig och Niclas minst en vecka att göra, och det är fortfarande ingen garanti att skiten inte tar sig in likförbannat...

 

Den nya varianten på denna inject skriver inte längre in $mds som variabel utan nu heter den $rsa och både nyckel och payload har ändrats så någon sitter och tjänar pengar på detta eftersom det ändras konstant hela tiden.

 

Så i kort form: Sök inte på Google - använd vår egen sökmotor!

Länk till kommentera
Dela på andra webbplatser

Jag vill inte trampa någon på tårna nu då jag vet att ni arbetar febrilt med att hålla allting flytande .... MEN

 

Det är inte okej att svara "undvik att googla" ... hur tror ni nya användare hittar hit?

Idag verkar redirecten inte skickas till någonting som installerar dumheter ex malware eller liknande MEN det innebär INTE att den inte gör det imorgon!

 

Att rensa för dagen ger ingenting då det är tusentals burkar som infekterar och söker på nätet hela tiden efter dessa exploits och som du själv påpekar så sker det inom X antal timmar.

Att utveckla en site som inte går att patcha med leverantörers std patchar är galet och är att be om problem speciellt vid zero days exploits.

Att IPB själva inte klarar av att patcha sin forumprogramvara är under all kritik om det är som du säger med tanke på hur många år som nu problemet existerat, rekommenderar i sådana fall att byta forumprogramvara helt(och i samband med det även konfigurera denna så den går att enkelt patcha).

 

Man bör även ha 100% koll på alla de övriga komponenter man använder sig av på sin site då säkerhetshål upptäcks varje dag och man SKALL ha en patch plan för sina servrar.

 

Jag talar av erfarenhet, jobbat som systemadministratör i 10år+ och satt upp "contingency plans" för en mängd siter samt arbetar med säkerhet och pentester kontinuerligt.

 

Jag hoppas verkligen detta löser sig snarast då jägarförbundet själva är med på detta forum och det ser ganska illa ut att det (enligt mig) inte sköts på ett optimalt sätt.

 

Hoppas inte någon tar detta fel nu men detta är ett stort aktivt problem och måste lösas.

Länk till kommentera
Dela på andra webbplatser

Jag förstår din problematik men gå ut med en förfrågan om andra är intresserade av att hjälpa till, tror fler både är intresserade och har kunskapen men vet inte hur de skall gå tillväga för att hjälpa till eller är för lata för att fråga.

Som jag skrev tidigare så vet jag precis vilket jobb det är att arbeta med detta på fritiden då jag själv driftar saker även på min fritid och ni skall ha en eloge till ATT ni lägger er tid/energi på detta :)

 

Jag blir dock upprörd över svar som att det är DNS problem etc. när det uppenbarligen inte är det samt att samma säkerhetsproblem återkommer gång på gång, denna gång sedan december om ni inte patchat flertalet gånger sedan dess(inget ni informerat om här).

 

Så var vänder man sig om man vill börja hjälpa till?

 

PS. Det är fara för användare, inga tveksamheter om det, enda anledningen att man inte blir drabbad exakt  just nu är för att url4short plockade bort redirecten, är inte insatt i just detta exploits kod men antar att den kan uppdatera sig med var den får URLen ifrån och kan således skicka användarna till en annan URL som innehåller skadlig kod det är inget vi till 100% vet när och om det sker.

Länk till kommentera
Dela på andra webbplatser

Vem har sagt att det är något DNS problem?

Det enda jag har sagt är att man drabbas av en redirect om man kommer in via en sökmotor som Google t ex, men eftersom jag har deobfuskerat den payload som skickas med - samt har koll på vad som händer när man klickar - så valde vi att köra på.

Den gamla varianten har jag patchat och den är fixad men en ny variant kom förra veckan och det är den som jag har jobbat med att få bort nu - vilket jag hoppas min senaste patch skall lösa. (för fem minuter sedan)

 

Om du inte är insatt i just denna koden så varför skriver du då att det är skadligt?

 

Vi drabbades (för första gången någonsin!) av ett XSS inject i syfte till att skapa trafik till 3:e part för att tjäna pengar på reklambanners. Shit happens. En gång på 10 år kan jag leva med.

På mitt jobb jag har på dagarna - och som jag faktiskt har betalt för! - skulle jag inte acceptera det, men å andra sidan har vi helt andra pengar att röra oss med.

  • Like 2
Länk till kommentera
Dela på andra webbplatser

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Gäst
Svara på detta ämne ...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Läser
  • Användare som läser detta    0 medlemmar

    • Inga registrerade användare tittar på detta sida.








×
×
  • Skapa ny...