1

Tråd: Lite om vad som hände med sidan

Först och främst, har man inget antivirus så bör man överväga att skaffa sig ett då största delen med denna attack var att infektera användarnas datorer.
Har man en licensierad version av windows så är Security Essentials gratis: http://windows.microsoft.com/en-US/wind … essentials

Annars finns flera gratis alternativ som:
Panda-free:http://www.cloudantivirus.com/en/
Avast-free: http://download.cnet.com/Avast-Free-Ant … tag=button
AVG-free: http://download.cnet.com/AVG-Anti-Virus … tag=button


Som flera noterade så har sidan haft ett mindre önskvärt beteende de senaste dagarna.
Det hela grundar sig i att elak kod lagts in på sidor som låg på samma server som sedan kunnat lägga till extra info i utvalda filer.

Dessa utvalda filerna är .htaccess som kan styra hur en sida beter sig i form av att de kan skriva om länkar "on the fly".
Så om en länk skall gå till mobilabredband.se/senaste så skickas man till elakrysksida.ru/senaste vilket i sin tur har elak kod på sidan.
De var inte enbart omdirigering av besökare som trycker på länkar som var målet utan de var avsikligt att skicka iväg samliga besökare som kom via sökmotorer till deras utvalda sidor och markerat att alla sidor på mobilabredband.se hade flyttat till elakrysksida.ru.

Sökmotorerna är snabba med att notera udda förändraringar och markerade då hela sidan mobilabredband.se som "potentiellt farlig" vilket är bra. Och har man modern webbläsare så kan man också mötas av stor röd ruta som uppmanar en att tänka ett var extra före man går in på siten.

Så vad har hänt sedan dess?
Förs var att hitta elaka koden som i sin tur påvverkar .htaccess filerna.
Denna fick benämningen Backdoor:PHP/Shell.F och publicerades den: Jan 18, 2012
http://www.microsoft.com/security/porta … 2147652984

Påbörjade flytt av mobilabredband.se till annan host så den inte kunde påverkas av andra infekterade siter.

Efter att Backdoor:PHP/Shell.F hade rensats och siterna som blivit infekterade hade åtgärdats så var de dags att rensa samtliga .htaccess filer från skräp koden.

Skickat iväg förfrågan till google att göra en review av sidan så den kan bli grönmarkerad igen.

Gillar prylar, 2G/3G/4G, den som har mest prylar när den dör vinner!

2

Sv: Lite om vad som hände med sidan

Andreas skrev:

Har varit på lite solsemester och nått måste ha hänt undertiden  hmm .

Welcome back to the future... http://www.dvbcube.org/Smileys/jasons_smilies/d020.gif

>>  _____PC (Win 10 Pro)  <=>  *D-Link DWR-923  <=> o/e <~>  Laptop (Win 10 Home)____ <<
*DWR-923 Telenor 4G LTE<=>[Panorama-MiMo•**Slingbox•***UMR]<~>[4 TP-Link Extender<~>2"Foscams"]
**Slingbox-Solo<=>[Denver dvb-tmpeg-4 hd tuner•Auto Switch<=>4 CMOS-Cams•1 CMOS-Cam]
***Dovado-UMR<=>TellStick<~>[1 NEXA: Slingbox, AC on/off • 5 NEXAs: 5 CMOS-Cams, AC on/off]

3

Sv: Lite om vad som hände med sidan

Micke skrev:
Andreas skrev:

Har varit på lite solsemester och nått måste ha hänt undertiden  hmm .

Welcome back to the future... http://www.dvbcube.org/Smileys/jasons_smilies/d020.gif


Kan man lätt säga, blivit ett antal timmar slitandes i håret tongue
Något som är bra är att majoriteten har moderna browsers som varnar i god tid.

Gillar prylar, 2G/3G/4G, den som har mest prylar när den dör vinner!

4

Sv: Lite om vad som hände med sidan

Andreas skrev:

Kan man lätt säga, blivit ett antal timmar slitandes i håret tongue
Något som är bra är att majoriteten har moderna browsers som varnar i god tid.

Ett stort tack för ditt arbete!
Skyddet i Firefox borde vara basic för alla användare!   http://www.dvbcube.org/Smileys/jasons_smilies/a040.gif
http://img217.imageshack.us/img217/8126/2012012212h2848.png

>>  _____PC (Win 10 Pro)  <=>  *D-Link DWR-923  <=> o/e <~>  Laptop (Win 10 Home)____ <<
*DWR-923 Telenor 4G LTE<=>[Panorama-MiMo•**Slingbox•***UMR]<~>[4 TP-Link Extender<~>2"Foscams"]
**Slingbox-Solo<=>[Denver dvb-tmpeg-4 hd tuner•Auto Switch<=>4 CMOS-Cams•1 CMOS-Cam]
***Dovado-UMR<=>TellStick<~>[1 NEXA: Slingbox, AC on/off • 5 NEXAs: 5 CMOS-Cams, AC on/off]

5

Sv: Lite om vad som hände med sidan

Andreas skrev:

Kan man lätt säga, blivit ett antal timmar slitandes i håret tongue
Något som är bra är att majoriteten har moderna browsers som varnar i god tid.

Jo bra jobbat  !!

Men jag är inte riktigt med på vad som hände...servern måste ju även den ha kört en utdaterad apacheversion  ??  dvs att ryssarna utnyttjade ett säkerhetshål för att plantera in "skiten".

Fiber 250/100 Mbits, Ubiquiti Edgemax Lite, Telenor 4G 80 Mbits (Dec 2011) , Huawei E392 samt E398, Poynting panelantenn, 14 dbi 2600 Mhz, ASUS RT-N66U/AC68U,  1 st IP kamera D-link DCS-932L.  TP-Link 3420v2/WR703N, kör ROOter såklart  smile

6

Sv: Lite om vad som hände med sidan

Micke skrev:
Andreas skrev:

Kan man lätt säga, blivit ett antal timmar slitandes i håret tongue
Något som är bra är att majoriteten har moderna browsers som varnar i god tid.

Ett stort tack för ditt arbete!
Skyddet i Firefox borde vara basic för alla användare!   http://www.dvbcube.org/Smileys/jasons_smilies/a040.gif
http://img217.imageshack.us/img217/8126/2012012212h2848.png

http://www.donottrackplus.com/howitworks.php är rätt bra att ha också om man vill vara lite anonym. För nuvarande bara kapitalet som snokar men man vet inte när piratjägarna och FBI också använder detta. Men jag är nog bara paranoid.

3G Telenor 16 Mbps i mobilen
4G Tre
Fiber 1000 Mbps

7

Sv: Lite om vad som hände med sidan

ruva skrev:

För nuvarande bara kapitalet som snokar men man vet inte när piratjägarna och FBI också använder detta. Men jag är nog bara paranoid.

http://img4.memecenter.com/uploaded/We-Are-Legion_e0f3966d38ae2b7ee6a88321b35b3d6d.jpg

>>  _____PC (Win 10 Pro)  <=>  *D-Link DWR-923  <=> o/e <~>  Laptop (Win 10 Home)____ <<
*DWR-923 Telenor 4G LTE<=>[Panorama-MiMo•**Slingbox•***UMR]<~>[4 TP-Link Extender<~>2"Foscams"]
**Slingbox-Solo<=>[Denver dvb-tmpeg-4 hd tuner•Auto Switch<=>4 CMOS-Cams•1 CMOS-Cam]
***Dovado-UMR<=>TellStick<~>[1 NEXA: Slingbox, AC on/off • 5 NEXAs: 5 CMOS-Cams, AC on/off]

8

Sv: Lite om vad som hände med sidan

plun skrev:
Andreas skrev:

Kan man lätt säga, blivit ett antal timmar slitandes i håret tongue
Något som är bra är att majoriteten har moderna browsers som varnar i god tid.

Jo bra jobbat  !!

Men jag är inte riktigt med på vad som hände...servern måste ju även den ha kört en utdaterad apacheversion  ??  dvs att ryssarna utnyttjade ett säkerhetshål för att plantera in "skiten".

Kan tolkas som en "feature" på hotellet antar jag, att vhostarna kan babbla fritt mellan varandra och skriva hur de vill så länge de hade skrivrättighet på ena siten så kunde de göra vad de ville på de andra också, så 1 site med hål blev 15 infekterade siter på några minuter. Nuvarande host "infoferenda" har lite trevligare regler så en site inte kan smitta av sig på alla andra vilket känns bra.

Kan inte exakt säga hur deras script funka och vilken form av hål de använde sig av. Vet att de inte var just mbbb som hade luckan då det var två andra siter som fått det elaka scriptet uppladdad och det tycks ha exekverats mer eller mindre konstant då så fort jag rensade .htaccess filen så tog de någon minut tills de var tillbaka med elaka koden, och den var effektiv på att försöka låsa fast deras ändring då den ändrade rättigheterna på filen från t.ex. 644 till 444 "enbart läs". Så att jag som ägare inte kunde redigera/ändra rakt av. Testade också att låsa filen så att de inte skulle kunna ändra den men tydligen så gick de att duplicera orginalet, stoppa in skräpet och sedan radera orginalet och ersätta den efter så kom man förbi 444 låsningen.

big_smile

Gillar prylar, 2G/3G/4G, den som har mest prylar när den dör vinner!

9

Sv: Lite om vad som hände med sidan

kjellorix skrev:

Jag som inte hade WOT i mozilla då, inga plugin alls. Nu har jag WOT & DNT+.

Det räcker ju fullständigt att bara ha "NoScript" i foxen.

"WOT" meddelar oftast bara att det inte finns tillräckligt många klassiferingar för webplatsen och sidan öppnas rakt av.

"DNT+" är väl nån slags överkurs i säkerhet?

Vad tycker Andreas?

>>  _____PC (Win 10 Pro)  <=>  *D-Link DWR-923  <=> o/e <~>  Laptop (Win 10 Home)____ <<
*DWR-923 Telenor 4G LTE<=>[Panorama-MiMo•**Slingbox•***UMR]<~>[4 TP-Link Extender<~>2"Foscams"]
**Slingbox-Solo<=>[Denver dvb-tmpeg-4 hd tuner•Auto Switch<=>4 CMOS-Cams•1 CMOS-Cam]
***Dovado-UMR<=>TellStick<~>[1 NEXA: Slingbox, AC on/off • 5 NEXAs: 5 CMOS-Cams, AC on/off]

10 Senaste redigerad av Micke (2012-01-26 14:21:55)

Sv: Lite om vad som hände med sidan

kjellorix skrev:

Tackar jag hämtar NoScript gillar inte tillägg, jag måste dölja alla toolbars 17", men dom funkar nog i bakgrunden.

Jodå, men du måste ju komma åt ikonen för att ev. snabbt kunna godkänna resp. sida.

Min ligger här...http://i.imgur.com/iqU3Q.png

Här kan den senaste hämtas...https://addons.mozilla.org/sv-SE/firefo … src=search

>>  _____PC (Win 10 Pro)  <=>  *D-Link DWR-923  <=> o/e <~>  Laptop (Win 10 Home)____ <<
*DWR-923 Telenor 4G LTE<=>[Panorama-MiMo•**Slingbox•***UMR]<~>[4 TP-Link Extender<~>2"Foscams"]
**Slingbox-Solo<=>[Denver dvb-tmpeg-4 hd tuner•Auto Switch<=>4 CMOS-Cams•1 CMOS-Cam]
***Dovado-UMR<=>TellStick<~>[1 NEXA: Slingbox, AC on/off • 5 NEXAs: 5 CMOS-Cams, AC on/off]

11

Sv: Lite om vad som hände med sidan

Det var väl enkelt?

http://i.imgur.com/gAmtL.png

>>  _____PC (Win 10 Pro)  <=>  *D-Link DWR-923  <=> o/e <~>  Laptop (Win 10 Home)____ <<
*DWR-923 Telenor 4G LTE<=>[Panorama-MiMo•**Slingbox•***UMR]<~>[4 TP-Link Extender<~>2"Foscams"]
**Slingbox-Solo<=>[Denver dvb-tmpeg-4 hd tuner•Auto Switch<=>4 CMOS-Cams•1 CMOS-Cam]
***Dovado-UMR<=>TellStick<~>[1 NEXA: Slingbox, AC on/off • 5 NEXAs: 5 CMOS-Cams, AC on/off]

12

Sv: Lite om vad som hände med sidan

Annars kan man tex högerklick på sidan och få en lista på div åtgärder...

13

Sv: Lite om vad som hände med sidan

Sök på moz sidan, länk finns i läsaren.

14

Sv: Lite om vad som hände med sidan

Då var det dags igen. När jag var inne på en tråd och klickade på:
MobilaBredband.se - Sveriges största forum för mobilt bredband
Kom jag till: http://onmouseout-change.ru/vis/index.php som Firefox stoppade.

3G Telenor 16 Mbps i mobilen
4G Tre
Fiber 1000 Mbps

15

Sv: Lite om vad som hände med sidan

Jupp något liknande för mig med...

Vissa länkar går off site....

16

Sv: Lite om vad som hände med sidan

Händer inte för mig

D-link DWR-923 - Telenor - 2X Poynting LPDA-A0044

17

Sv: Lite om vad som hände med sidan

Var icke home länken i mittfall.

Vissa andra sidor med 3jeparts reklam har samma länkar.

18

Sv: Lite om vad som hände med sidan

http://img802.imageshack.us/img802/4765/climsyclipboardb.jpg

>>  _____PC (Win 10 Pro)  <=>  *D-Link DWR-923  <=> o/e <~>  Laptop (Win 10 Home)____ <<
*DWR-923 Telenor 4G LTE<=>[Panorama-MiMo•**Slingbox•***UMR]<~>[4 TP-Link Extender<~>2"Foscams"]
**Slingbox-Solo<=>[Denver dvb-tmpeg-4 hd tuner•Auto Switch<=>4 CMOS-Cams•1 CMOS-Cam]
***Dovado-UMR<=>TellStick<~>[1 NEXA: Slingbox, AC on/off • 5 NEXAs: 5 CMOS-Cams, AC on/off]

19

Sv: Lite om vad som hände med sidan

Försökt åter reproducera de som nämns men lyckas inte.
Ingen elak kod i .htaccess alla fall, intressant att vissa får problem fortfarande.
Om det är tredjeparts ad's mjukvaran som har tvivelaktiga annonsörer är de ju illa.

Gillar prylar, 2G/3G/4G, den som har mest prylar när den dör vinner!

20 Senaste redigerad av Micke (2012-01-28 11:30:29)

Sv: Lite om vad som hände med sidan

Här är allt i sin ordning...gillar bara roliga skyltar som passar i resp. tråd! smile

>>  _____PC (Win 10 Pro)  <=>  *D-Link DWR-923  <=> o/e <~>  Laptop (Win 10 Home)____ <<
*DWR-923 Telenor 4G LTE<=>[Panorama-MiMo•**Slingbox•***UMR]<~>[4 TP-Link Extender<~>2"Foscams"]
**Slingbox-Solo<=>[Denver dvb-tmpeg-4 hd tuner•Auto Switch<=>4 CMOS-Cams•1 CMOS-Cam]
***Dovado-UMR<=>TellStick<~>[1 NEXA: Slingbox, AC on/off • 5 NEXAs: 5 CMOS-Cams, AC on/off]

21

Sv: Lite om vad som hände med sidan

Andreas skrev:

Om det är tredjeparts ad's mjukvaran som har tvivelaktiga annonsörer är de ju illa.

Kanske det här hjälper berörd folk?   http://www.dvbcube.org/Smileys/jasons_smilies/a014.gif

https://static-ssl-cdn.addons.mozilla.net/en-US/firefox/images/addon_icon/8686-64.png?modified=1327653244Close'n forget 0.11.3
Very simple add-on that closes the current tab and make Firefox forget about the visit: suppressing cookies related to the current page, cleaning (beware : may be partial) the browser history and so on.

Källa: https://addons.mozilla.org/en-US/firefo … en-forget/

>>  _____PC (Win 10 Pro)  <=>  *D-Link DWR-923  <=> o/e <~>  Laptop (Win 10 Home)____ <<
*DWR-923 Telenor 4G LTE<=>[Panorama-MiMo•**Slingbox•***UMR]<~>[4 TP-Link Extender<~>2"Foscams"]
**Slingbox-Solo<=>[Denver dvb-tmpeg-4 hd tuner•Auto Switch<=>4 CMOS-Cams•1 CMOS-Cam]
***Dovado-UMR<=>TellStick<~>[1 NEXA: Slingbox, AC on/off • 5 NEXAs: 5 CMOS-Cams, AC on/off]

22

Sv: Lite om vad som hände med sidan

Kom en gång, har ej sett det mer.
Men kör varken ff eller wintendo.

23

Sv: Lite om vad som hände med sidan

byte från windows till opensuse mindre virus problem

Telenor E-1550 Telia E-392
Dovando Tiny fw 5.0.16 (6.2.3)
Comviq Mobilt Bredband Wi-Fi ZTE MF60