Dzisiaj ok. godziny 14 Google uznało, że serwery jednego z największych polskich forów, http://elektroda.pl, rozsiewają złośliwe oprogramowanie. Według wyjaśnień zamieszczonych na forum, początkowo za źródło problemu uznano obrazki zamieszczane w treści postu z zewnętrznego, zainfekowanego serwera dex.net.pl, jednak później okazało się, że źródłem problemów były reklamy na stronie głównej serwowane przez zainfekowany, zewnętrzny system OpenX. Według użytkowników forum jego odwiedzenie za pomocą niezaktualizowanego oprogramowania mogło skutkować pobraniem i uruchomieniem plików wykonywalnych o bardzo niskim poziomie wykrywalności przez antywirusy.
Reklamy zostały wyłączone, zatem serwis wkrótce powinien wrócić do normalnego działania. Podobny problem dotknął dzisiaj także stronę wiocha.pl. Źródłem infekcji mógł być system Ad4MMO – prawdopodobnie nie pierwszy raz.
Komentarze
dodatkowo jeszcze przy animezone.pl google znalazło błąd :)
Wow… zawsze boli, jak tak ceniony serwis jak elektroda traci reputację.
Bez, przesady reputacji nie traci, takie rzeczy wzmacniają serwis jednocześnie ucząc administratorów/integratorów(czujność).
Z jednym się zgodzę z Tobą „[…]tak ceniony serwis[…]”
pozdr.
Kolejny argument za używaniem AdbBlocka :)
Od kilku lat używam AdBlock i jak widać ochrania mnie nie tylko przez natrętnymi reklamami ale i przed złośliwym oprogramowaniem.
Jako ciekawostkę podczepię pod ten wątek diagnostykę bit~ly, ale najciekawsze pojawia się w środku 'Wykryliśmy następującą liczbę domen: 1052, które, jak się wydaje, pośredniczyły w rozpowszechnianiu złośliwego oprogramowania wśród użytkowników tej witryny, m.in: (tu linki i na pierwszym miejscu mrs.G)’
http://www.google.com/safebrowsing/diagnostic?site=bit.ly/
jeszcze lepsze jest to: http://www.google.com/safebrowsing/diagnostic?site=google.com/
Wszystko się stało przez openx, obecnie chyba to coś nazywa się revive. Ciągle niestety luki występują w tym oprogramowaniu. Od dawna wyizolowałem wszelkie otwarte dziwactwa na inny serwer, aby atak na aplikacje typu openx nie spowodował otwarcia backdoor do całego serwisu. Strona główna elektroda.pl includowała wstawkę javascript z zewnętrznego serwera, gdzie był zamieszczony ten openx. Z kolei „banner” niejako dociągał zasób exe z innego serwera. Dokładnie jeszcze analizuję sprawę. AdBlock powoduje zablokowanie całego javascript i nawet całej subdomeny adv, więc wtedy nie ma zagrożenia – oprócz mniejszych dochodów dla serwisu :) Ale to niech reklamodawcy się uczą i robią tak, aby ich nie blokować :)
Obrazki ładowane bezpośrednio w wiadomość za pomocą tagu img powodują również blokadę, ale najczęściej była to blokada jednej podstrony. Niestety wszystko co jest na głównej stronie, powoduje zablokowanie całej domeny.
Podjęte działania zaradcze:
– wyrzucenie openx (będzie pisany własny system bannerowy)
– planowane oranie całego serwera, gdzie leżał ten openx (i tak była pora na niego)
– zablokowanie tymczasowe bbcode img