Du må være registrert og logget inn for å kunne legge ut innlegg på freak.no
X
LOGG INN
... eller du kan registrere deg nå
Dette nettstedet er avhengig av annonseinntekter for å holde driften og videre utvikling igang. Vi liker ikke reklame heller, men alternativene er ikke mange. Vær snill å vurder å slå av annonseblokkering, eller å abonnere på en reklamefri utgave av nettstedet.
  48 30757
nso
popålol
nso's Avatar
Administrator
Som mange har fått med seg ble det servert ondsinnet programvare via dette nettstedet iløpet av gårsdagen. Det er ekstremt beklagelig at det har skjedd, men det skal nå være utredet.

Det som har hendt er at noen har utnyttet en svakhet i annonsesystemet vi har brukt (OpenX). Det er helt bevisst at jeg skriver "brukt" i fortid, da dette ikke er noe som vi ønsker en gjentagelse av. Host1 får overleve uten annonse til jeg får skrevet en egen løsning i morgen kveld

Gjerningspersonene har kommet seg inn på administrasjons-panelet til annonsesystemet og har lagt inn en javascript-kode i annonseteksten som har fått besøkende til å laste ned virus-vare. La meg få konkretisere at de ikke har kommet seg inn i databasen og ikke har kommet seg inn på filsystemet. De har altså ikke fått tilgang til brukerdata, PM, innlegg i skjulte fora eller lignende. Den eneste adgangen de har tilegnet seg er å kunne oppdatere annonsetekst via et Web-GUI.

Det er en ekstremt beklagelig situasjon, men vi skal jobbe for å forhindre at noe lignende skjer igjen.
Det er sikkert lurt å kjøre en virus-scan hvis du har vært innom forumet iløpet av dagen og bruker et operativsystem som ikke er har grønn skrift på svart bakgrunn og/eller et halvråttent eple som logo.

Jeg beklager videre den senere responstiden. Jeg var opptatt på jobb i et varmt og bråkete datasenter i hele dag/natt og ble ikke gjort obs på problemet før på kveldstid av en vennlig freak med mobiltelefon, så virus-varen ble liggende ute en god del lenger enn den burde.

Som alltid; gi meg en lyd hvis det imot formodning skulle skje igjen.

Online virus-scans:
Panda ActiveScan 2.0 (IE only)
TrendMicro HouseCall (må laste ned en liten klient)
Bitdefender QuickScan (må laste ned en liten klient)
Sist endret av nso; 30. juni 2010 kl. 13:15.
Den/De som har gjort dette er teite synes jeg.
Den/De kunne isteden skrevet en tråd om sikkerhetshullet og fått kredz og status for sine skillz, men valgte isteden å hærpe nettsiden annonymt...
Way to go.
Sist endret av Turbolego; 30. juni 2010 kl. 04:51.
nso
popålol
nso's Avatar
Trådstarter Administrator
Sitat av Turbolego Vis innlegg
De som har gjort dette er teite synes jeg.
De kunne isteden skrevet en tråd om sikkerhetshullet og fått kredz og status, men valgte isteden å hærpe nettsiden annonymt...
Way to go.
Vis hele sitatet...
De som har gjort det er nok en automatisert robot, basert på grovanalysen av web-loggene. Jeg skal sitte meg ned og studere det nøyaktige hendelsesforløpet litt nærmere i morgen kveld,.
Sist endret av nso; 30. juni 2010 kl. 04:52.
Viruset som har blitt nedlastet, vet dere navnet eller plasseringen det ville tatt?
nso
popålol
nso's Avatar
Trådstarter Administrator
Jeg har beklageligvis ingen info da jeg ikke har hatt tid til å studere exploit'en i detalj.
http://freak.no/forum/showthread.php?t=160085 inneholder en del informasjon fra andre brukere.
Sist endret av nso; 30. juni 2010 kl. 05:05.
Tror nok det er fiksa og ligger allerede i filterene til forskjellige antivirus selskaper. Nod32 blokka siden umiddelbart hvertfall. LA ikke merke til no nedlasting thou
Sitat av Itsnotover Vis innlegg
Tror nok det er fiksa og ligger allerede i filterene til forskjellige antivirus selskaper. Nod32 blokka siden umiddelbart hvertfall. LA ikke merke til no nedlasting thou
Vis hele sitatet...
Ifølge den andre posten som nso refererer til så trengte man bare gå inn på forumet så ble det automatisk nedlastet.
Sist endret av Dyrdal; 30. juni 2010 kl. 05:10.
Sitat av Eivindeik Vis innlegg
Ifølge den andre posten som nso refererer til så trengte man bare gå inn på forumet så ble det automatisk nedlastet.
Vis hele sitatet...
hmmm

jeg googla jo den siden og da kom det jo opp ganske mange " trojan " malware " osv. Hadde vært utrolig rart hvis det ikke allerede er fiksa isåfall så suger nod bæsj !
Har vært innlogget på nff en god del av dagen og gårsdagen før det ble stengt.
Kjørte en online scan med BitDefender, men den fant ikke noe.
Sitat av nso Vis innlegg
De som har gjort det er nok en automatisert robot, basert på grovanalysen av web-loggene. Jeg skal sitte meg ned og studere det nøyaktige hendelsesforløpet litt nærmere i morgen kveld,.
Vis hele sitatet...
Det er jo noen som har scriptet denne roboten da
Sitat av nso Vis innlegg
skjulte fora
Vis hele sitatet...
Hæ? Har dere det også?
Hvordan får man tilgang til de?

Hva diskuteres dær?
Sitat av Sixpounder Vis innlegg
Hæ? Har dere det også?
Hvordan får man tilgang til de?

Hva diskuteres dær?
Vis hele sitatet...
ja det har de, og du får ikke tilgang med mindre du er vif eller crew afaik
det som diskuteres der er det bare vif og crew som vet. afaik
Det er kjipt å bli utsatt for sånne ting, samtidig som jeg synes dere håndterte det på en bra måte!

Keep up the good work!
med fruktkjøtt.
Tias's Avatar
Crew
Sitat av xhacktly Vis innlegg
Det er jo noen som har scriptet denne roboten da
Vis hele sitatet...
Det er det nok. Imidlertid tror jeg nso mener at ettersom angrepet ble utført av en robot så er ikke nFF nødvendigvis et mål i seg, men heller en nettside som roboten tilfeldigvis kom over på sin jakt etter nettsider med det riktige sikkerhetshullet. Derfor er det usannsynlig at dette ble utført av brukere med mål om å sverte forumet eller lignende.
BAD MOTHERFUCKER
Tomacco's Avatar
Jeg skulle egentlig spørre om dette i: http://freak.no/forum/showthread.php?t=160085 , men den ble stengt å jeg spør her.
Når jeg kjørte Virusscan (Norton) etter råd fra nso fikk jeg opp at det var fem "Downloadere" som var blitt blokkert. De var risiko Høy, hva gjør de?

Og den hadde visst blokkert en uautorisert tilgang til prosesstokken? Hva gjør det?

Og PS: Når jeg startet Spotify etterpå kom det en rød linje som sa at den "Failed at loading information for user "Lilypynt", men brukeren min heter ikke Lilypynt. (Vet ikke om det har noe med alt dette å gjøre men men..)
NOOOOOOOOOOOOOOOOOO-
robhol's Avatar
Sitat av Sixpounder Vis innlegg
Hæ? Har dere det også?
Hvordan får man tilgang til de?

Hva diskuteres dær?
Vis hele sitatet...
Det har du ikke noe med, det er derfor de er skjulte.

Det går mest ut på Frimureri og geiteofring, dog.
Tenkte jeg skulle meddele at jeg kjører Windows 7, med Microsoft Security Essentials (MSE) som antivirusløsning. Etter advarselen her på forumet i natt kjørte jeg en scan via TrendMicro housecall, der fant jeg noe ved navn "gecko-crash~ rootkit". Om dette er kommet herifra, eller ett annet sted vet jeg ikke, men jeg støtter oppfordringen om å kjøre en onlinescan da MSE helt klart har sine svakheter som vel alle andre antivirusløsninger har.
nso
popålol
nso's Avatar
Trådstarter Administrator
Dette innlegget viser til hvilke virus det er snakk om (Java/TrojanDownloader.Agent.NBA og Java/Exploit.Agent.NAC -- altså java-filer), og det ser ut til å stemme ganske bra. Hvis antivirusløsningen deres finner disse virusene på datamaskinen kan det godt være de kommer herfra, men hvis det finner andre så kommer det nok også fra andre kilder.
Sist endret av nso; 30. juni 2010 kl. 13:13.
Selv har jeg kjørt 5 forskjellig fullstendige søk (MSE, trend micro hosecall, spybot S&D, malwarebytes og threatfire), men det var kun MSE og trend micro som fant noe.

MSE fant 3 stk blandt annet TrojanClicker:Win32/Yabector.B, plasering C: \Users\****\Downloads\unlocker1.8.8.exe (nsis-6-$(PLUGINSDIR)\eBay_shorcuts_1016_new.exe) og to andre jeg ikke tror kommmer herfra : Program:Win32/RegCure og Adaware:Win32/Advantage

Trend micro hosecall fant 4 stk, 2x TROJ_JAVA.AX og 2x JAVA_DLOADR.WQ
nso
popålol
nso's Avatar
Trådstarter Administrator
Det kan være de som trend micro fant kommer herfra, det er vanskelig å si basert på navngivningen, men de andre har du fått på annen vis (via nedlastning, hvis man skal basere seg på lokasjon).
Sist endret av nso; 30. juni 2010 kl. 13:24.
Du nso, henviser i dette innlegget til en addon for Firefox (no-script). Da det ser ut til å være flere script som blir stoppet når jeg er innom Freak lurer jeg bare på om det vil være trygt og tillate script midlertidig fra Freak, og skjule advarselen om de andre blokkerte scriptene? Ville det tidligere (og eventuelt fremtidlige) annonsesystemet deres har vist som ett eget script eller ville den kommet inn under Freak, på listen av script som no-script gir deg?
Sist endret av møkk; 30. juni 2010 kl. 13:27.
Sitat av møkk Vis innlegg
Du nso, henviser i dette innlegget til en addon for Firefox (no-script). Da det ser ut til å være flere script som blir stoppet når jeg er innom Freak lurer jeg bare på om det vil være trygt og tillate script midlertidig fra Freak, og skjule advarselen om de andre blokkerte scriptene? Ville det tidligere (og eventuelt fremtidlige) annonsesystemet deres har vist som ett eget script eller ville den kommet inn under Freak, på listen av script som no-script gir deg?
Vis hele sitatet...
Det var nok jeg som foreslo det. Du kan ganske sikkert permanent tillate nFF.

Det som lå inni annonsesystemet var ikke et virus, men noe som heter en iframe, som betyr internal frame, ie intern ramme (trygt eksempel) med en størrelse på 1x1 (dvs usynlig). Denne iframen gikk til en annen side med script og faenskap på. Selv om du godtar at nFF skal kunne kjøre script, vil ikke noscript tillate at script som vises gjennom en iframe kjøres. Reklamen på nFF benytter seg IKKE av script for visning.

iframe brukes mest til å vise reklame på nettsteder eller til nettopp dette, å spre virus.

Rent praktisk og teknisk sett, nFF har ikke vært infisert med noe som helst virus.
google chromium advarte også på direkten om at det var ballware her

men vi som har svart OS har ikke så mye å frykte oO.
Bra det ikke er brunt lengere iallefall
Avast blokka viruset med en gang.
Scanner maskina nå for å være sikker, men tviler på at jeg har noe ulumskheter siden AVG ikke sa ifra (noe den pleier å gjøre :9)
Tenker de ikke på hvor mange uskyldige freaks som rammes?
for noen dyr! ;O
Sitat av RoadKill94 Vis innlegg
Tenker de ikke på hvor mange uskyldige freaks som rammes?
Vis hele sitatet...
Jo, selvfølgelig, det er det som er motivasjonsprinsippet bak hele angrepet....
Sitat av RoadKill94 Vis innlegg
Tenker de ikke på hvor mange uskyldige freaks som rammes?
Vis hele sitatet...
Uten at jeg skal være for slem, så vil jeg si at jeg betrakter dette som Darwin i praksis. De som blir infisert av dette har ikke ett oppsett på datamaskinen som forsvarer å kunne bruke den på det store internett og har egentlig ikke noe som helst å klage over heller.

For de som så noe bli lastet, det være seg java eller pdf-filer eller at maskinen arbeidet kraftig, men det kom INGEN advarsler fra antivirus, vel, dere bør kjøre en skann med et annet antivirus enn det dere bruker til daglig, for dere er med god sannsynlighet infisert med noe.
Firefox spurte meg om jeg ville laste ned tilleggsgreier igår, regner med at den prøvde å laste ned viruset?
her er hva jeg fant etter scann med nod32:
http://ranvik.net/privat/nffvirus/virusfranod32.PNG
"Uten at jeg skal være for slem, så vil jeg si at jeg betrakter dette som Darwin i praksis. De som blir infisert av dette har ikke ett oppsett på datamaskinen som forsvarer å kunne bruke den på det store internett og har egentlig ikke noe som helst å klage over heller."

Det samme kan man vel i såfall si om de som drifter nettsider!

Virkelig dumt du!
De som blir infisert av dette har ikke ett oppsett på datamaskinen som forsvarer å kunne bruke den på det store internett
Vis hele sitatet...
Kan vel ikke annet enn å være helt enig. Det finnes så mye bra GRATIS software som bare er å hente og bruke og som forhindrer sånne problemer.
Har du som pc-bruker programmer og data som du er redd for, så ta backup!
At denne lille 'fille-tingen' dukket opp her er vel bare fint, så kan de som fikk problemer kanskje bruke noen minutter på å hente seg programmer som beskytter maskina deres.. Og ta en backup av viktige filer... (En 16Gb minnepenn koster 199,- på Elkjøp..)
Sitat av bjakolle Vis innlegg
google chromium advarte også på direkten om at det var ballware her

men vi som har svart OS har ikke så mye å frykte oO.
Bra det ikke er brunt lengere iallefall
Vis hele sitatet...
Jeg bruker selv Google Chrome, og fikk opp en advarsel om at denne siden ikke var sikker. Så kan noen bekrefte at filen ikke ble lastet ned på Google Chrome, når det kom en slik melding.
Har nettopp startet en scaning med to virusprogrammer. Kommer nok til å ta litt tid.

Takker og bukker på forhånd.
NOOOOOOOOOOOOOOOOOO-
robhol's Avatar
Sitat av keentoo Vis innlegg
"Uten at jeg skal være for slem, så vil jeg si at jeg betrakter dette som Darwin i praksis. De som blir infisert av dette har ikke ett oppsett på datamaskinen som forsvarer å kunne bruke den på det store internett og har egentlig ikke noe som helst å klage over heller."

Det samme kan man vel i såfall si om de som drifter nettsider!

Virkelig dumt du!
Vis hele sitatet...
Nå synes jeg også den påstanden var litt teit (det å være Windows-bruker gjør ikke at du automatisk fortjener virus, samme hva kru sier ), men det var faktisk ikke her på bruket at feilen eller sikkerhetshullet lå. Det var i reklamesystemet, og feilen skal være tettet i nFFs tilfelle..
Sitat av keentoo Vis innlegg
Det samme kan man vel i såfall si om de som drifter nettsider!
Vis hele sitatet...
Vel, i likhet med alt innen dataverdenen må også programvare på nettsteder oppdateres og holdes hullfri.

Sitat av robhol Vis innlegg
Nå synes jeg også den påstanden var litt teit (det å være Windows-bruker gjør ikke at du automatisk fortjener virus, samme hva kru sier ), men det var faktisk ikke her på bruket at feilen eller sikkerhetshullet lå. Det var i reklamesystemet, og feilen skal være tettet i nFFs tilfelle..
Vis hele sitatet...
Jeg sa ingenting om Windows, og bare så det er nevnt, jeg bruker det selv. Jeg skriver dette fra en Windows XP maskin, men jeg ble ikke infisert selv om jeg var inne på nFF. Jeg fikk ikke beskjed engang fra antivirus, men det var fordi jeg har beskyttelse som er aktiv FØR antivirus slår til. Hadde dette vært noe som slo ut mot linux eller osx, hadde det likevel vært den som eier/drifter maskinen sin feil om man hadde blitt infisert av noe så enkelt som dette. OS spiller ingen trille.

edit: Bare for å legge til;
Antivirus vil ikke slå til mot noe før det er inne i minne eller lagret på disk. På så måte vil allerede problemet være inne i maskinen og mulig skade kan allerede ha skjedd. AV kan klare å fjerne det eller hindre at det sprer seg og det vil sannsynligvis reagere fortere enn mennesker gjør, men det sikreste forsvaret er å hindre at man kommer i kontakt med problemet fra starten av.
Sist endret av meitemark; 1. juli 2010 kl. 00:30.
Noen som vet om dette viruset virker på Linux?
Sitat av onClipEvent Vis innlegg
Noen som vet om dette viruset virker på Linux?
Vis hele sitatet...
Nei,ikke linux!

Updatert Ubuntu+noscript+firefox=Konge
▼ ... noen uker senere ... ▼
kjører avg scan nå vet ikke om det hjelper men helt sykt at noen kan gjøre dette av pure F!!
Så med Avira og threatfire på lap'en kan jeg regne med å ha fått denne lille buggen eller hva?
Viller vært fint om noen viste hvor denne saken lagret seg selv og hva den lagrer seg som på f.eks et xp OS da jeg går ut ifra at den kun har 1 forprogrammert fremmgangsmåte og adferdsmønster eller tar jeg feil?
▼ ... noen uker senere ... ▼
A madman with a box
mabala's Avatar
Jeg klikket feil og kom borti en add for weedshop igår. Har aldri klikket meg inn på noen av disse anonnsene før, og nå fryser PCen min seg hver lang jeg kjører et program som trenge litt kraft (Firefox osv). Tok en full scan noen timer før faktisk, siden jeg ikke hadde scannet PCen på lenge ..

Edit: skrev dette på ipoden ja
Sist endret av mabala; 12. august 2010 kl. 03:11.
nso
popålol
nso's Avatar
Trådstarter Administrator
Sitat av bomchickawahwah Vis innlegg
Jeg klikket feil og kom borti en add for weedshop igår. Har aldri klikket meg inn på noen av disse anonnsene før, og nå fryser PCen min seg hver lang jeg kjører et program som trenge litt kraft (Firefox osv). Tok en full scan noen timer før faktisk, siden jeg ikke hadde scannet PCen på lenge ..

Edit: skrev dette på ipoden ja
Vis hele sitatet...
Jess. Det har du nok pådratt deg annensteds enn freak.no. Vær snill å hold denne tråden innenfor topic. Virusvaren har ikke vært her på ukesvis, så det er ikke slik at du har pådratt deg noe herfra i går.
Sist endret av nso; 12. august 2010 kl. 03:24.
Er det mulig at det har kommet inn enda ett virus på siden, eller at det ikke er helt borte?
http://safeweb.norton.com/report/show?url=freak.no
NOOOOOOOOOOOOOOOOOO-
robhol's Avatar
http://safeweb.[COLOR="Red"]norton[/COLOR].com/

Forsvinner ikke en god del troverdighet der?

Jeg vet ikke hvorfor den registrerer 4 forskjellige versjoner av samme "trussel" på nøyaktig samme side, jeg teller bare én.
Dessuten viser det seg at "viruset" er en bit kode som er 100% harmløs med mindre man faktisk er idiot nok til å lime den inn i mIRC..
Sist endret av robhol; 18. august 2010 kl. 21:01.
Sitat av d3ath-jr Vis innlegg
Er det mulig at det har kommet inn enda ett virus på siden, eller at det ikke er helt borte?
http://safeweb.norton.com/report/show?url=freak.no
Vis hele sitatet...
Er nok bare norton som vil beskytte deg litt i overkant av hva som trengs vil jeg tro.
jeje, ignorerte det selv mtp på at det var norton ja. Men kan aldri være for sikker
Det er da noen som har spurt om hva en kode gjør på irc. Det er ren tekst, og ja AV reagerer å slikt. Det er ikke farlig.
Men man burde kanskje vurdere å fjerne aktuelle problemer uansett? Det meldes inn som virus og "drive by download" og dersom det er tilfellet så burde det uansett vært tatt bort fra siden, selv om det kanskje ikke er direkte farlig.

Jeg stoler nok på Norton til at jeg normalt holder meg lagt unna sider som slår ut på denne måten. Hadde jeg ikke kjent til freak.no fra før av ville jeg altså ikke besøkt siden, og dersom flere er som meg så kan det fort være siden går glipp av nye brukere på dette.
Sitat av Cikey Vis innlegg
Men man burde kanskje vurdere å fjerne aktuelle problemer uansett? Det meldes inn som virus og "drive by download" og dersom det er tilfellet så burde det uansett vært tatt bort fra siden, selv om det kanskje ikke er direkte farlig.
Vis hele sitatet...
Done and done.


Sitat av Cikey Vis innlegg
Jeg stoler nok på Norton til at jeg normalt holder meg lagt unna sider som slår ut på denne måten. Hadde jeg ikke kjent til freak.no fra før av ville jeg altså ikke besøkt siden, og dersom flere er som meg så kan det fort være siden går glipp av nye brukere på dette.
Vis hele sitatet...
Hmmm... er egentlig ikke sikker på om tapet av nortonbrukere er det helt store tapet.
Sitat av meitemark Vis innlegg
Done and done.
Vis hele sitatet...
Takk for det!



Sitat av meitemark Vis innlegg
Hmmm... er egentlig ikke sikker på om tapet av nortonbrukere er det helt store tapet.
Vis hele sitatet...
Det tar jeg som en personlig fornærmelse (og venter fremdeles på at noen skal gi meg en god grunn til at nyere versjoner av norton 360 er dårlige )