Fertőz a BKV.hu!

T

Targenor

Vendég
23:52: A kártékony kódokat eltávolították a galériákból

Z hívta fel rá a figyelmem, hogy a bkv.hu galériája egy rendesen összekuszált JavaScript kódot is tartalmaz (GPL licensz alatt ;), ami aztán valahogy egy orosz domainről próbál levadászni további futtatható kódokat. A fertőző oldal az alábbi címen érhető el, de mindenki csak saját felelősségre nézze meg!

hxxp://www.bkv.hu/galeria/20080408rendezveny/varosliget/index.php

Frissítés: Úgy tűnik, hogy a /galeria/20080408rendezveny/ útvonal alatti összes galéria fertőzött

A szkript így néz ki, ha valakinek van kedve rejtvényt fejteni:

BKV script.jpg

Kis szemgúvasztás árán egyébként a kód egész jól olvasható, egyszerűen ignorálni kell a fura karaktereket (amiket a replace metódusok szednek ki egyébként).

A Wepawet ugyan nem értékeli veszélyesnek az oldalt, a Google Safe Browsing API-ja viszont igen. Wiresharkkal nagy vonalakban lekövettem a hálózati forgalmat, és elsőre úgy tűnik, hogy a hivatkozott orosz oldal 0 hosszúságú választ ad. Ebből legnagyobb eséllyel az következik, hogy a) benéztem valamit a nagy kapkodásban b) Rosszul sikerült a fertőzés illetve eltávolították a kártékony tartalmat a külföldi szerverről.

...kiderült, hogy az oldal egy Java JRE sebezhetőséget használ ki (valószínűleg ezt), baromi óvatosan nyúljatok hozzá!

Minden esetre azt javaslom, hogy csak alapos védelemmel felvértezve (NoScript, virtuális gép, stb.) vágjatok neki a bkv.hu domainjának, ki tudja milyen kártevők tanyáznak arrafelé! Az informatikai osztályt pedig ismét csókoltatom...

Z-nek pedig még egyszer köszönet a közérdekű infóért!

Szívesen vennék egy teljes packet dumpot arról a lefolyásról, mikor az első ruszki oldal vissza is ad valamit - valószínűleg figyeli a user agentet, és az alapján dobja ki az exploitot (az enyém elveszett, Houston, Houston HW problémánk van :p ).

Forrás: http://buhera.blog.hu/2010/01/06/fertoz_a_bkv_hu
 
T

Targenor

Vendég
Fertőző kódot találtak a BKV site-ján
2010/01/08

Tömegesen kezdett terjedni karácsony után a világhálón egy kártékony programkód. Úgy tűnik, a fertőzés a BKV site-ját is elérte.

Szegény embert az ág is húzza. Nem elég a hideg és a hó, most ráadásul -- feltehetőleg orosz hackerek -- fertőző programkódot csempésztek a közlekedési vállalat webhelyére, egyes bkv.hu oldalakra.

Szappanos Gábor, a VirusBuster víruslaboratóriumának vezetője elmondta: a kártékony JavaScript program egy orosz webcímen keres további futtatható kódot. Egyelőre a hackerek nem helyeztek el ott semmilyen letölthető tartalmat -- mondja a szakember --, így egyelőre nem tudni, mi a támadás célja. Amint azonban megjelenik valamilyen kód az orosz szerveren, aktiválódik a terjesztési mechanizmus. Ilyen módszerrel valamilyen botnet-összetevőt [a botnet számítógépes bűnözők által működtetett hálózat] vagy adatlopó trójait szoktak kiszórni az áldozat-gépekre, Így a VirusBuster azt ajánlja a szörfösöknek, hogy csak erős védelem mögül nézzenek be a bkv-hu site-ra.

A BKV lapján is megtalált kód karácsony után árasztotta el az internetet. A támadás több ezer weboldalt érintett világszerte. Meglehetősen kevés biztonsági cég szoftverje ismeri fel -- a VirusBuster közéjük tartozik.

Forrás: http://www.virusbuster.hu/ceginfo/ceghirek/fertozo-kodot-talaltak-bkv-site-jan
 

rama2010

Állandó Tag
Állandó Tag
Amióta itt legyeskedek a fórumon, már másodszorra próbálkozik egy trójai betörni a gépemre. Szerencsére a többszörös védelem lefüleli. A trójai neve: Generic10.BFLH. Mivel nem nagyon értek a számítástechnikához (csak használom) azt szeretném tőled, vagy aki ért hozzá, megkérdezni, hogy a trójai betörési kísérlet erről a web-oldalról indulhat ki? Lehet, hogy itt van a fertőzés gócpontja?
 

zsuzsanna03

Állandó Tag
Állandó Tag
Amióta itt legyeskedek a fórumon, már másodszorra próbálkozik egy trójai betörni a gépemre. Szerencsére a többszörös védelem lefüleli. A trójai neve: Generic10.BFLH. Mivel nem nagyon értek a számítástechnikához (csak használom) azt szeretném tőled, vagy aki ért hozzá, megkérdezni, hogy a trójai betörési kísérlet erről a web-oldalról indulhat ki? Lehet, hogy itt van a fertőzés gócpontja?


******

Valószínűleg nem.
Már régebben is nyitottam meg több olyan topikot, ahol
főleg képekkel bekerülhetett a vírus, mert a vírusírtóm
éktelen szirénázással kísérve beszélt le a további lépésről.:D

Sok kedves fórumozó nem használ, vagy nem megfelelő
vírusirtót használ, így könnyen terjesztheti a bacikat.

Mondjuk, azt nem értem, hogy a CH szervere hogy
engedheti be ezeket.
headscratch.gif
/mármint, a fertőzött fájlokat :D/
 

FLAMINGO

Ne kérj hozzáférést! Ha jár, a rendszer ADJA.
Fórumvezető
Kormányos
Off topic/tájékoztatás

Amióta itt legyeskedek a fórumon, már másodszorra próbálkozik egy trójai betörni a gépemre. Szerencsére a többszörös védelem lefüleli. A trójai neve: Generic10.BFLH. Mivel nem nagyon értek a számítástechnikához (csak használom) azt szeretném tőled, vagy aki ért hozzá, megkérdezni, hogy a trójai betörési kísérlet erről a web-oldalról indulhat ki? Lehet, hogy itt van a fertőzés gócpontja?
A CanadaHun elég komoly szerveroldali vírusellenőrzővel van ellátva, de a nem futtatott csatolmányokba "hozzáértők" be tudnak csempészni káros programrészleteket, amik aztán a nem vírus-védett gépen (vagyis nam a CH szerverén, hanem a tag gépén) elindulhatnak.
 
T

Targenor

Vendég
Amióta itt legyeskedek a fórumon, már másodszorra próbálkozik egy trójai betörni a gépemre. Szerencsére a többszörös védelem lefüleli. A trójai neve: Generic10.BFLH. Mivel nem nagyon értek a számítástechnikához (csak használom) azt szeretném tőled, vagy aki ért hozzá, megkérdezni, hogy a trójai betörési kísérlet erről a web-oldalról indulhat ki? Lehet, hogy itt van a fertőzés gócpontja?

Biztos, hogy nem.
Azok a BELINKELT képek lehetnek felelősek, amik, ahogy Flamingó is írta nem a CH-ra vannak feltöltve, hanem egy másik oldalról illesztik be a linket ide... És ahogy betöltődnek, akkor viszik a bacit is.
Egyébként rákerestem arra a névre, amit írtál. És a gugli csak ezt a topikot hozta fel találatnak, mármint egyedül itt szerepel ez a név.
 

rama2010

Állandó Tag
Állandó Tag
Biztos, hogy nem.
Azok a BELINKELT képek lehetnek felelősek, amik, ahogy Flamingó is írta nem a CH-ra vannak feltöltve, hanem egy másik oldalról illesztik be a linket ide... És ahogy betöltődnek, akkor viszik a bacit is.
Egyébként rákerestem arra a névre, amit írtál. És a gugli csak ezt a topikot hozta fel találatnak, mármint egyedül itt szerepel ez a név.

Képeket nem töltöttem le innen, illetve kottákat igen. A kották nem szerveren vannak? Hm..:confused:
 
T

Targenor

Vendég
Képeket nem töltöttem le innen, illetve kottákat igen. A kották nem szerveren vannak? Hm..:confused:

Nem értettél meg.
Vannak képek, amik be vannak linkelve (Nem a CH szerverére vannak feltöltve.) Ezek be(le)töltődnek ha megnyitod azt az oldalt, ahová belinkelték. Ugyanúgy letöltődik a gépedre, mint a CH designjának képei, hogy meg tudjon jelenni a képernyődön.
Ezek törlődnek később, ha törlöd az előzményeket/sütiket(cookie) pl. a Ccleaner ingyenes progival a gépedről.

De ha riaszt a vírusirtód, akkor egyszerűen helyeztesd csak karanténba, vagy töröltesd azonnal. Ennyi.
 

rama2010

Állandó Tag
Állandó Tag
Nem értettél meg.
Vannak képek, amik be vannak linkelve (Nem a CH szerverére vannak feltöltve.) Ezek be(le)töltődnek ha megnyitod azt az oldalt, ahová belinkelték. Ugyanúgy letöltődik a gépedre, mint a CH designjának képei, hogy meg tudjon jelenni a képernyődön.
Ezek törlődnek később, ha törlöd az előzményeket/sütiket(cookie) pl. a Ccleaner ingyenes progival a gépedről.

De ha riaszt a vírusirtód, akkor egyszerűen helyeztesd csak karanténba, vagy töröltesd azonnal. Ennyi.
Értem már, ha csak a CH - ra feltöltött anyagot töltöm le, akkor 100 %, hogy nem kaphatok vírust, de ha egy linkre kattintok, akkor csak a saját védelmemre számíthatok!! Oké és köszi :656:
 
Oldal tetejére