Ready64 Forum
Commodore 64 => Off Topic => Topic aperto da: AndreaP - 11 Maggio 2006, 18:46:33
-
Salve, il mio antivirus (www.freeav.com) aggiornato mi segnala la presenza di malware nel codice caricato da questo forum, precisamente quello caricato da (dando un'occhiata al sorgente html):
Qualcuno conferma?
-
Confermo amico mio per ben 2 volte 2 orette fa quando mi sono collegato il mio norton mi ha salvato le chiappe da un Trojan....maledetti virus :-)
ma purtroppo per il virus e' stato stecchito all'istante :-/ fate attenzione sempre ragazzi :-)
Nello specifico a me dava le seguenti informazioni...
Prima volta = xpladv548(1).wmf download.Trojan 11/01/2006 17:13:08
Seconda Volta = xpladv690(1).wmf download.Trojan 11/05/2006 17:17:42
Terza Volta = Bling.exe W32.spybot.Worm 22/06/2005 ore 23:48:19
ecco amici questo e' quello che ho trovato oggi...apparte le date e l'ora che sono sballate questo mi e' stato segnalato dal mio fido antivirus :-(
-
Salve, il mio antivirus (www.freeav.com) aggiornato mi segnala la presenza di malware nel codice caricato da questo forum, precisamente quello caricato da (dando un'occhiata al sorgente html):
Qualcuno conferma?
Confermo purtroppo.
E' un baco che affligge Invision Board 1.3 e che consente a malintenzionati la modifica del Wrapper HTML del forum, tramite inserimento di quel pezzo di codice, di volta in volta in forme leggermente diverse tra loro.
In pratica si tratta di un iframe invisibile (dimensioni di 1pixel) che richiama l'URL di una pagina su cui risiede il file infetto ogni volta che si apre o ricarica una pagina del forum.
Finora ho sempre rimosso il file a mano ma, finchè la falla non viene tappata con una patch, il problema torna a ripresentarsi.
Continuo ad adoperarmi per trovare una soluzione definitiva.
-
sembra essere la vecchia falla dei file WMF...
date un'occhiata qui:
http://www.microsoft.com/technet/security/...n/MS06-001.mspx (http://www.microsoft.com/technet/security/Bulletin/MS06-001.mspx)
e tenete il vostro Windows aggiornato! ;)
-
Dannato traffweb, nemmeno l'iframe vuoto e' servito a bloccarlo...
Cercate (o create se non c'e') in \windows il file "hosts" e inserite
0.0.0.0 traffweb.biz
cosi' QUALSIASI tentativo di andare su quel f**tt*o sito, voluto o non, sara' bloccato.
-
Ho applicato varie patch di sicurezza (http://forums.invisionize.com/index.php?showtopic=75148) che spero possano risolvere il problema.
Segnalatemi altri problemi o eventuali soluzioni.
Magicfly: niente "mi sembra" "mi pare" eccetera, parliamo solo se siamo sicuri altrimenti contribuiamo soltanto a ingenerare confusione senza contribuire alla risoluzione del problema. Non mi pare che la falla di cui parli possa modificare l'html del forum IPB1.3 (!).
Se riscontrate nuovamente il virus, segnalatelo qui per favore.
Segnalate anche eventuali errori nelle ricerche, nel login/logout, post di messaggi, profilo utente e qualsiasi altro malfunzionamento.
-
Uelà, il vecchio traff che fa le biz ha fatto capolino.
Altro metodo banale per bloccarne il collegamento su IE: inserire http://*.traffweb.biz nei siti con restrizioni e dimenticarsi di lui.
-
Io inizio a preoccuparmi... il mio antivirus (AVG Free edition) non ha rilevato nulla. Ora le possibilità sono 3:
1 - Rob con le sue patch ha risolto il problema;
2 - I miei sistemi di sicurezza (antivirus, firewall e anti spyware) non l'hanno rilevato e mi ha fatto fesso;
3 - Non colpisce tramite browser che non siano Internet Explorer (io uso soluzioni alternative già da tempo).
Qualcuno mi può illuminare? Grazie!
:ciauz:
-
Sì,ho avuto anch'io quel problema ultimamente...ma in pratica,che farebbe sta schifezza?
-
Io inizio a preoccuparmi... il mio antivirus (AVG Free edition) non ha rilevato nulla. Ora le possibilità sono 3:
1 - Rob con le sue patch ha risolto il problema;
2 - I miei sistemi di sicurezza (antivirus, firewall e anti spyware) non l'hanno rilevato e mi ha fatto fesso;
3 - Non colpisce tramite browser che non siano Internet Explorer (io uso soluzioni alternative già da tempo).
Qualcuno mi può illuminare? Grazie!
:ciauz:
sono d'accordo con te Evincaro sulla 3° opzione..io uso Firefox da una vita e non ho avuto alcuna intrusione, usandolo assieme al NOD32
-
La soluzione per questo problema proposta da Ian mi sembra la migliore, anch'io la uso da molto tempo per far deviare i possibili accessi a siti pericolosi su localhost. E' ottima anche per evitare il caricamento dei banner...
-
Purtroppo questa mattina il problema si è ripresentato.
PER FAVORE postate in questo thread solo in caso in cui il problema si ripresenti.
Qualsiasi soluzione che non sia una patch del codice PHP del forum è strutturalmente inefficace e quindi inutile.
Se le cose vanno bene (niente virus) non c'è bisogno di postare qui.
Per chi non avesse capito: il WRAPPER del forum viene modificato da uno script automatico che scandaglia la rete in cerca di vulnerabilità.
Mentre lo script è automatico, io devo modificare il Wrapper a mano tutte le volte e questa operazione va fatta per tutte le Skin per rimuovere il tag malizioso.
Mi dispiace per chi usa la skin bianca, ma per ora sono costretto a disabilitarla perchè altrimenti ogni volta devo fare una doppia modifica.
Sono iscritto alla discussione per essere aggiornato in tempo reale sul problema anche grazie al vostro aiuto, quindi niente messaggi inutili grazie.
Ho già spiegato sommariamente quello che succede, se non sono stato abbastanza chiaro (cosa possibile dato che ho dato molte cose per sottintese), chiedete tranquillamente spiegazioni indicando quello che non avete capito, sarò lieto di spiegarvelo. Per altri messaggi non inerenti valuterò la cancellazione (ebbene si, qualcuno è riuscito nell'impresa di farmi cambiare idea): a buon intenditor poche parole.
-
Applicata un'altra patch di sicurezza (non ufficiale).
Grazie ad eregil per la segnalazione.
Ancora una volta non resta che aspettare e vedere se la patch tiene.
-
Silenzio da alcuni giorni...
Toccando ferro il problema sembra essersi risolto in maniera definitiva.
Stando ai log, diversi visitatori trovano questa pagina perchè cercano notizie sul virus, quindi posto la soluzione del problema.
E' stata molto utile questa patch non ufficiale da applicare alla versione 1.3.1 Final del forum:
http://www.ibforen.de/index.php?ind=downlo...ion_view&idev=1 (http://www.ibforen.de/index.php?ind=downloads&op=section_view&idev=1)
(In questo thread (http://forums.invisionize.com/index.php?showtopic=99250) le istruzioni in inglese).
Ringraziamenti a eregil che ha scovato la risorsa e danke schon al tedescozzo che ha corretto l'exploit. ;)