Автор Тема: Вирус на сайте? (Прочитано 1596 раз)

may_be11 · « : 22 Янв. 2016, 10:55:12 »

который день уже DR web ругается

Отшельник · « **Ответ #1 :** 22 Янв. 2016, 11:22:17 »

Ерунда, по моему. Вирус - это программа, которая запускается, если ты что то скачиваешь или письмо какое-либо присланное открываешь, и там программа, которая запускается при открытии. А при просмотре web-страниц, какой может быть вирус ? Лишь разве. что реклама может мешаться.

Simple · « **Ответ #2 :** 22 Янв. 2016, 13:06:44 »

Цитата: Таежник от 22 Янв. 2016, 11:22:17

А при просмотре web-страниц, какой может быть вирус ?

Через дыру в броузере - запросто. Называется drive-by-download.

Цитата: may_be11 от 22 Янв. 2016, 10:55:12

который день уже DR web ругается

Спасибо, я оповещу админа.

may_be11 · « **Ответ #3 :** 22 Янв. 2016, 21:03:44 »

Цитата: Таежник от 22 Янв. 2016, 11:22:17

Ерунда, по моему. Вирус - это программа, которая запускается, если ты что то скачиваешь или письмо какое-либо присланное открываешь, и там программа, которая запускается при открытии. А при просмотре web-страниц, какой может быть вирус ? Лишь разве. что реклама может мешаться.

Вы немного не в теме видимо. Оч похоже на JS скрипт, он как посредник, эта штука тянет всякую заразу со стороннего сервака...

may_be11 · « **Ответ #4 :** 27 Янв. 2016, 09:44:52 »

Цитата: Simple от 22 Янв. 2016, 13:06:44

Спасибо, я оповещу админа.

Что то нашли или ложная тревога? У меня до сих пор ругает

Simple · « **Ответ #5 :** 27 Янв. 2016, 12:04:29 »

Пока не нашли.

дрыщ · « **Ответ #6 :** 26 Апр. 2016, 11:04:17 »

поищите

GrendelKir · « **Ответ #7 :** 26 Апр. 2016, 11:18:31 »

Цитата: дрыщ от 26 Апр. 2016, 11:04:17

поищите

это обязательно на сайте? (не форум кстати)
в браузере не может быть?

Бульба · « **Ответ #8 :** 27 Авг. 2016, 07:12:32 »

При заходе на главную лезет загрузиться вот эта хрень

Код: [Выделить]

http://mawko.com/i/external.js
антивирь ругается

June · « **Ответ #9 :** 04 Окт. 2016, 09:45:37 »

Злопыхатель · « **Ответ #10 :** 04 Окт. 2016, 15:09:27 »

Цитата: June от 04 Окт. 2016, 09:45:37

.-

http://bestsecuritysearch.com/russian-boxing-portal-allboxing-ru-hacked/

Цитировать

Allboxing.ru Compromised

The popular Russian boxing site allboxing.ru has been hacked by a hacker or a criminal collective. The portal has been compromised to include a redirection to a third-party site that contains a banking Trojan. The issue was discovered by researchers from Forcepoint Security Labs. The site is extremely popular in Russia, having about 3 million visitors per month.

The injected code silently redirects the users of the site to a third-party site that contains an exploit. The code uses several tactics and makes sure that the redirect executes only when a certain amount of user interaction with the infected site has been noted.

The code injection appears to load a jQuery plugin called “jQuery Animate Plugin v1.2” while in fact loading a counterfeit plugin. The criminal operators of the hack have made a significant effort to fool the programmers by blending with the legitimate source code by using the same formatting and code style.

The modified script loads another one which then runs an executes several commands from the attacker websites. It is interesting that there is a browser check function – Chrome and Opera users are not vulnerable as the attack cannot exploit their security mechanisms.

The user checks the user activity on the hacked site by watching for clicking, scrolling, and movement of the cursor. The attackers have created weighting scores to define a threshold level above which the redirection is executed. This is a good stealth tactic that prevents automated analysis from discovering the exploit. Another clever idea that has been employed is the use of the redirection domain and URL path which use well-known boxing terms.

The malicious script on the remote attacker site contains a Visual Basic script that exploits the CVE-2016-0189 vulnerability and attempts to run a Powershell script on the victim machine. The end goal is to distribute the Buhtap banking Trojan.

June · « **Ответ #11 :** 04 Окт. 2016, 19:42:27 »

http://allboxing.ru/forum/index.php#c2

ФОРУМ

Svit · « **Ответ #12 :** 09 Окт. 2016, 13:54:05 »

сегодня каждый раз при заходе на форум, ESET обнаруживает вот эту дрянь
Win32/Exploit.CVE-2016-0189

Simple · « **Ответ #13 :** 10 Окт. 2016, 10:10:41 »

Я пытаюсь достучаться до админа, но пока безрезультатно.
У меня пока такого не было, но у меня и антивирусов вышеупомянутых не стоит.
Ответьте плз на два вопроса:
1. каким броузером пользуетесь?
2. есть ли у вас адблок?

Geo · « **Ответ #14 :** 10 Окт. 2016, 10:15:25 »

Цитировать

1. каким броузером пользуетесь?
2. есть ли у вас адблок?

1. FF 49.0.1
2. Да, Abblock Plus

P.S. Вот эта хренька на скрине слева внизу, где часть алерта антивируса - там, надо полагать, должен был размещаться баннер, на который ругается.

Simple · « **Ответ #15 :** 10 Окт. 2016, 10:30:54 »

Похоже, не сам сайт инфицирован, а через баннер лезет.

Злопыхатель · « **Ответ #16 :** 11 Окт. 2016, 02:31:26 »

Цитата: Simple от 10 Окт. 2016, 10:30:54

Похоже, не сам сайт инфицирован, а через баннер лезет.

Сам-сам, в script.js воткнуто:

/forum/index.php --> /forum/Themes/default/scripts/script.js --> /misc/jquery.animate.js --> hxxp://wforex.ru.com/...

Автор Тема: Вирус на сайте? (Прочитано 1596 раз)

may_be11

Вирус на сайте?

Отшельник

Re: Вирус на сайте?

Simple

Re: Вирус на сайте?

may_be11

Re: Вирус на сайте?

may_be11

Re: Вирус на сайте?

Simple

Re: Вирус на сайте?

дрыщ

Re: Вирус на сайте?

GrendelKir

Re: Вирус на сайте?

Бульба

Re: Вирус на сайте?

June

Re: Вирус на сайте?

Злопыхатель

Re: Вирус на сайте?

June

Re: Вирус на сайте?

Svit

Re: Вирус на сайте?

Simple

Re: Вирус на сайте?

Geo

Re: Вирус на сайте?

Simple

Re: Вирус на сайте?

Злопыхатель

Re: Вирус на сайте?