FORUM 
» Senaste inläggen
» Översikt

» Föreningsfrågor (84)
» Kustobsar (80)
» Svalan (76)
» Lokaler (179)
» Utrustning (67)
» Atlasinventeringen (38)
» Fågelskydd (55)
» Torslandaviken (25)
» Rapportering/RRK (49)
» Fältbestämning (189)
» Observationer (291)
» Foto (49)
» Kustfoto (51)
» Upplevelser i fält (78)
» Köp & Sälj (299)
» Samåkning (34)
» Övrigt (631)

     LOGGA IN 
För att göra inlägg i forumet måste du logga in. Eftersom forumet drivs i samarbete med Kustobsar, är det Kustobsars användaruppgifter som gäller.
ANVÄNDARNAMN

LÖSENORD

» Ny användare
     Övrigt 


Direkt till
senaste svaret


Visa fler trådar
under Övrigt


Till
översikten
club300.se trojaniserad

Fredrik Kronhamn     



enligt Google Safe Browsing (Firefox add-on) har www.club300.se trojaniserats. Sidan blir automatiskt blockerad i Firefox med förklaringen att skadlig kod har spridits via sajten.

Jag tittade igenom källkoden till index-sidan och hittade mycket riktigt en länk till ett förmodat elakt java-skript (länkat från domänen postfolkovs.ru). Den här typen av "script-injections" smittar din dator genom en så kallad "browser drive-by" - det räcker att man öppnar sidan i webbläsaren för att bli nerlusad.

Webb-servrar som drivs av hobbyister och organisationer är tyvärr tacksamma mål för hackers eftersom säkerhetstänkandet (intrångsskydd och dylikt) i dessa sammanhang är mycket lågt. De flesta minns väl attacken mot Artportalen.

Ni som besökt club300.se den sista tiden bör kika igenom datorn efter virus och browser hi-jacks.

2010-06-23 11:55:48


Fredrik Kronhamn     



Någon tycks ha rensat första-sidan under kvällen, men övriga sidor på www.club300.se verkar fortfarande drabbade. En enkel google-sökning ger resultatet "this site may harm your computer" - prova att söka på "site:club300.se".

Lite efterforskningar visar att det aktuella skriptet är en del av en kommersiellt tillgänglig programvara som används av black-hats/skurkar för att kapa datorer i stor stil. Var på er vakt.

2010-06-24 00:40:40


Markus Lagerqvist     



Hej,

Anledningen att en del undersidor fortfarande verkar drabbade/svartlistade är att man måste be om en ny granskning efter att rensning genomförts. Det är nyss gjort, men och det kan ta en stund innan svartlistningen släpper.

Ryssarna försökte för övrigt göra en ny attack natten till idag, men misslyckades då "hålen" nu är igenstängda.

2010-06-24 08:39:38


Max Allan Pihl     



Gick in på club300.se och det enda jag märkte var att först så ville inte Firefox gå in men om jag ignonerade den så gick det och då var det inga skadliga skript kopplade till sidan, och det enda som saknades var CSS:mallen, vilket gjorde att designen inte var något vidare.

Ni som kör Windows bör kanske inte gå in... Eftersom att virusrisken är 10x större för er än vi Linuxanvändare :)

2010-06-24 10:14:41


Fredrik Kronhamn     



Som sagt, sidorna verkar rensade nu, men svartlistningen är kvar.

Bra av dig Markus att bekräfta intrånget. Jag tycker att det kunde vara på sin plats med ett varnings-meddelande på förstasidan. Man vinner inget på att tysta ner den här typen av händelser.


2010-06-24 13:44:56


Markus Lagerqvist     



Hej,

Nej,självklart skall det inte tystas ned!

Så fort problemet uppmärksammade så stängdes sidan ned helt och låg nere ett tag så inga potentiella besökare skulle drabbas.

Meddelande gick även ut till Brevduvan om att sidan blivit hackad och att arbete pågick med att åtgärda/kontrollera problemen.



2010-06-24 14:02:34


Max Allan Pihl     



Det är så många hål i ASP-sidor, bättre med PHP :=)

2010-06-24 15:32:38


Fredrik Kronhamn     



Sidan är nerlusad igen. Skript-referenserna pekar nu på andra servrar, men det ser ut som samma typ av attack.

Dags att släcka ner sidan och städa grundligt?

2010-06-24 19:20:53


Jörgen Grahn     



Det bör kanske tilläggas att man normalt inte är/bör vara prisgiven åt hemsidan man surfar in på. För att man ska bli hackad som besökare måste man också ha ett säkerhetshål i sin webläsare (eller ett säkerhetshål i huvudet så man kör slumpmässiga program som erbjuds en.)

Vilka hål hos användaren som prylarna på club300 siktar in sig på vet jag inte[1], men rimligtvis handlar det om gamla sunkiga, opatchade versioner av Internet Explorer, och majoriteten av oss går säkra. För dessa crackers går det med plus ändå, om så bara en på tusen trillar dit.

[1] Jag hoppas att rapporten från Google länkar vidare till en lista som beskriver vilka läsare som är sårbara.

2010-06-24 22:51:27


Jan-Åke Noresson     



Varningen om angreppsrisk, som fortfarande ligger kvar på hemsidan, gör det lite läskigt att trycka på knappen "ignorera den här varningen".

Men så länge man använder en uppdaterad Firefox som webbläsare, kör med antivirusprogram som F-secure aktiverat - då är det alltså riskfritt att gå in på www.club300.se ... Eller?

Är även inloggning med lösenord på webbsidan att betrakta som riskfri?

Är den storstädning av sidan som Fredrik Kronhamn föreslår, redan på gång, så att man slipper chansa?

2010-06-25 16:25:52


Max Allan Pihl     



Att använda IE(internet Explorer) kanske inte är så lämpligt i något fall...
Om man ska lyssna på Tyska staten, https://www.bsi.bund.de/cln_183/ContentBSI/presse/Pressemitteilungen/Sicherheitsluecke_IE_150110.html


2010-06-25 17:58:51

 
Markus Lagerqvist     



Hej,

Ja, sajten ska vara städad och fixad, men kontroller pågår fortfarande av funktioner etc så man har inte "officiellt" gått ut och sagt att allt är fixat.

Jag var själv inne och loggade in och lade in senaste fågelprognosen utan några problem idag.

2010-06-25 23:17:50



Svara på
detta inlägg