Wirusy na forum!

Problematyka

Piszę ten temat ku przestrodze. Otóż ostatnio 12-latki bawią się dawno odkrytymi exploit'ami. Uważajcie! Jeśli nie jesteście dobrze zabezpieczeni, możecie stracić wasze konta!

Omówienie

Czym jest exploit?

Exploit to program mający na celu wykorzystanie błędów w oprogramowaniu.

Najczęściej program taki wykorzystuje jedną z kilku popularnych technik, np. buffer overflow, heap overflow, format string. Exploit wykorzystuje występujący w oprogramowaniu błąd programistyczny i przejmuje kontrolę nad działaniem procesu – wykonując odpowiednio spreparowany kod (ang. bytecode), który najczęściej wykonuje wywołanie systemowe uruchamiające powłokę systemową (ang. shellcode) z uprawnieniami programu, w którym wykryto lukę w zabezpieczeniach. Ludzi używających exploitów bez podstawowej wiedzy o mechanizmach ich działania nazywamy script kiddies.

Jak się bronić?

1. Myśl użytkowniku. Nie wchodź w niewiadomo-jak-cudne tematy.
2. Zainstaluj antywirus. Jeśli nie masz pieniędzy na antywirusa, exploit'y używane przez script kiddies z tego forum wykrywa darmowy Avast (www.avast.com).
3. Blokujemy tagi typu IMG. Wchodzimy w "Panel Kontrolny Użytkownika", wybieramy "Zmień Opcje" i później wyszukujemy "Wizualne elementy postów
Możesz włączyć lub wyłączyć pokazywanie różnych elementów wiadomości, które mogą spowolnić połączenie, lub stanowić niepotrzebne wodotryski.
Pokazuj podpisy
Pokazuj avatary
Pokazuj obrazy (włączając dołączone obrazki oraz obrazy w tagu [IMG])"
Odznaczamy to ostatnie.
4. Stosuj się w szczególności do zasady numer 1. Nie ściągaj nigdy plików z niewiadomego źródła.

A jeśli już mój komputer został zarażony?

Przeskanuj komputer programem antywirusowym z aktualną bazą wirusów oraz programem do wyszukiwania Spyware. Osobiście używam Ad-Aware SE Personal (do pobrania z http://dobreprogramy.pl/index.php?dz=2&t=82&id=107). Możemy dla pewności także przeskanować programem do odnajdywania Rootkit'ów firmy Sophos (do pobrania z http://www.sophos.com/products/free-tools/sophos-anti-rootkit.html). Jeśli nic nie wykryje, a jesteś pewien, że masz tego exploit'a, polecam zapoznanie się z programem HijackThis. Poradnik do niego znajduje się tutaj: http://www.searchengines.pl/phpbb203/index.php?showtopic=15989.

Mam nadzieję, że pomogłem chociaż trochę. Pozdro!

O lol, własnie pare sekund temu pojawił się tu rootkit. hehe. Dzięki, fajny poradnik.

O lol, własnie pare sekund temu pojawił się tu rootkit. hehe. Dzięki, fajny poradnik.

To był exploit ;). I właśnie on mnie zainspirował :D.

Avast to wykrywa? LOL to shit jakis =]

Data dołączenia: 20 01 2007

...?

Ja pitole...

Przykleić Temat, etmaty w któych wykryty jest exploit na bierząco kasować.
Teraz napisz jeszcze jak dokładnie zablokować taki IMG i hicior xD (Tak co by noobiki wiedziały)

@Szkut
JA już to zrobiłem chodzi, żeby dopisał to do "głównego" posta, co by było widoczne.

Widze ze masz fajny podpis... Powodzenia w przyszlosci. Ja bym nie ufal temu poradnikowi... Zreszta... Niczemu juz na tym forum nie zaufam...

Zablokuj tagi img w panelu uzytkownika

czyli jak mi ad avare nic nie wykryl to moge czuc sie spokojny?
Ty napisales ze uzywasz ad avare i good jest

Tu też wrzucił :D :D :D

Operką można jeszcze zupełnie zablokować obrazki, jeśli to coś da. Ja tak zrobiłem + wyłączyłem tagi [IMG] w Panelu Sterowania. Ech, żeby jeszcze skórka Lite była...

Data dołączenia: 20 01 2007

...?

No i co? Sory, ale to mądry użytkownik A TY WYSTAWIŁEŚ MI 20 NOTEK Z TYM SAMYM TEKSTEM! Dłużej siedzisz na forum, ale wystawiasz notki masowo z tekstem typu "idiota itp" Więc nie oceniej innych jak sam jesteś <cenzura>.

Poradnik jest pewny! Przeciez nie shakuje was tym poradnikiem qrwa.

Widze ze masz fajny podpis... Powodzenia w przyszlosci. Ja bym nie ufal temu poradnikowi... Zreszta... Niczemu juz na tym forum nie zaufam...
No lol, przecież ta strona to nie wirus. Dużo użytkowników daje linki do swoich stron w podpisach. Nie ma w tym nic zuego. Poradnik dobry, zufaj.

Ten Koles Wrzucil Tu Tez Rootkita Wylaczcie Img W Panelu

Uważajcie na użytkowników Tibia_rox!!! On daje rootkity!!!

Jak ja się ciesze, że kutwa to zablokowałem :D, koleś dał Exploita (przynajmniej na to wygląda)(Chodzi o tego co podał Szkut). Dał go na góre co by tekst wyglądał normalnie... niestety na mnie ci się nie udało kochana dziecinko.

Pozdrawiam Wszystkich oprócz pzełto Hakera/Exploitera itp.

Edit : "Użytkowników czytających ten temat: 11 (zarejestrowanych: 11, gości: 0)" "[...] Dwimenor [...]" Hello Dwim :P, mam nadzieje że cała "Jedenastka" ma wyłączone tagi :D

@Down
Tego pana już nie ma... teraz trzeba mu zawiesić IP

A teraz mega BONUS pt. : "Gdzie najlepiej wcisnąć EXPLOIT'a" <- POLECAM
No a wiec witam młody hakerze prosimy dalejA wiec Exploit'a najlepiej jest wcisnąć... SOBIE W D**E!!!

Poszlo pw do Gimlosa zaraz się zajmie tym gosciem.

W momentach takich jak te naprawdę się cieszę, że mam Linuxa. Jak wchodzę na win2k(ssie! zwlaszcza 2k!), to mi - po jakichś... 20 sek. od połączenia się - avast! blokuje exploity... geez...

@slawekmag

Nie chodzilo mi o wirki tylko o reklame ;p

wchodząć na forum.tibia.pl pokazało mi się to :
http://img262.imageshack.us/img262/8536/kopekpulpit00019pv.jpg (http://imageshack.us)
Czy to jest Exploit?

wchodząć na forum.tibia.pl pokazało mi się to :
(Obrazków nie cytujemy)
Czy to jest Exploit?

Tak.

@slawekmag

Nie chodzilo mi o wirki tylko o reklame ;p

Hmn, to z płaceniem za reklame to była sprawka moderatora :p.

Ale o so hozi? Bo ja sie w tym nie orientuje i dalej nie wiem o co biega.
@Down:
A co to jest ten exploit i jakis rootkit?

Ale o so hozi? Bo ja sie w tym nie orientuje i dalej nie wiem o co biega.

Na forum pojawił się exploit, wsadzony przez script kiddie.

Na forum pojawił się exploit, wsadzony przez script kiddie.
No nie wiem czy przez script kiddie -.-
Taki rootkit żadko widuje.

No nie wiem czy przez script kiddie -.-
Taki rootkit żadko widuje.

Widziałem Cię na haker.com.pl. Przeszperaj to forum. Znajdziesz gdzieś opisany ten exploit o ile dobrze pamiętam.

Nabisz pytanko ale cóż - Proszę o odpowiedź...
Wbiłem na temat "12 lvl kradnie avengera" -.-
Nic się nie dzieje, czytam komenty - exploit.
Kaspersky nic nie wykrył.
Firewall nic nie brzęczał.
Sophos Anti-Rootkit nic.
AriesRemoverInst - także nic.
HiJackThis - Nic niebezpiecznego
Ad-Aware SE - Coś było, ale wszystko usunęłem.

Czy jestem w 100 procentach bezpieczny? A jeśli nie, to co mogę zrobić? Najlepiej bez formata... ale jeżeli nie ma innej możliwości...
Proszę o szczere rady, ludzi którzy się na tym znają. I szegółowe instrukcje, plz :)

Nabisz pytanko ale cóż - Proszę o odpowiedź...
Wbiłem na temat "12 lvl kradnie avengera" -.-
Nic się nie dzieje, czytam komenty - exploit.
Kaspersky nic nie wykrył.
Firewall nic nie brzęczał.
Sophos Anti-Rootkit nic.
AriesRemoverInst - także nic.
HiJackThis - Nic niebezpiecznego
Ad-Aware SE - Coś było, ale wszystko usunęłem.

Czy jestem w 100 procentach bezpieczny? A jeśli nie, to co mogę zrobić? Najlepiej bez formata... ale jeżeli nie ma innej możliwości...
Proszę o szczere rady, ludzi którzy się na tym znają. I szegółowe instrukcje, plz :)

W 100 % nigdy nie jesteś bezpieczny, ale zainstaluj jeszcze firewall'a. I będzie okej. :)

Mam Firewall'a :) I nic się nie działo.
Najbardziej niepokoją mnie braki żadnych oznak wira...
Czyli mogę się zalogować na luzie? ;s

Bloodhound.Exploit.56
Risk Level 1: Very Low
Discovered: December 27, 2005
Updated: February 10, 2006 02:47:15 PM ZW3
Type: Trojan Horse, Worm
Systems Affected: Windows 2000, Windows 95, Windows 98, Windows Me, Windows Server 2003, Windows XP

Note: Bloodhound.Exploit.56 is designed to identify behavior that would occur if the Microsoft Windows Graphics Rendering Engine WMF Format Unspecified Code Execution Vulnerability (as described in Microsoft Security Bulletin MS06-001) is exploited. As Symantec becomes aware of changes to the exploit code, or if files are identified that trigger this detection but are not malicious, the detection is refined. It is important to keep your definitions up to date to ensure the most complete protection.

Tutaj mamy strony na ktorych wykryto naszego robaczka:
[http://]h0nest.org/[REMOVED]/12***** (IP address 195.0.210.192)
[http://]kube.isa-geek.com/[REMOVED]/wen/up***** (IP address not found)
[http://]charmedmadgic.free.fr/[REMOVED]/sdbot05b.jpg (IP address 212.27.63.117)
[http://]69.50.171.122/[REMOVED]/test1.php
[http://]www.jerrynews.com/[REMOVED]/calc***** (IP address 211.100.26.169)
[http://]apperception.biz/[REMOVED]/main***** (IP address 66.226.64.19)
[http://]apperception.biz/[REMOVED]/calc***** (IP address 66.226.64.19)
[http://]sploso.com/[REMOVED]/starter2***** (IP address 72.5.54.36)
[ftp://]x.www2.ninoa.com/[REMOVED]/pub/ied***** (IP address 205.177.28.180)
[ftp://]x.www2.ninoa.com/[REMOVED]/pub/epl***** (IP address 205.177.28.180)
[http://]www.freecat.biz/[REMOVED]/tr/pawn005***** (IP address not found)
[http://]www.freecat.biz/[REMOVED]/tr/pawn002***** (IP address not found)
[http://]fullchain.net/[REMOVED]/apa/dex***** (IP address 192.225.177.21)
[http://]235.regvista.com/[REMOVED]/liveupdate***** (IP address 85.255.115.197)
[http://]fiv.bestswf.com/[REMOVED]/zob***** (IP address 62.214.98.56)
[http://]imkportedoor.com/[REMOVED]/images/ny.wmf
[http://]www.studiolacase.com/[REMOVED]/images/msits*****
[http://]123greetings.2mydns.com/[REMOVED]/up*****
hunggar.info/[REMOVED]/e*****
card.twbbs.biz/[REMOVED]/up*****
tftp –i 86.135.149.130 GET h1*****
[http://]luckyboy2000.go2.icpcn.com/[REMOVED]/1230*****
[http://]expl.us/[REMOVED]/web*****
[http://]expl.us/[REMOVED]/bin/file1*****
[http://]regtop.info/[REMOVED]/tur*****
[ftp://]66.235.203.27/[REMOVED]/chezz*****
[http://]bluefade.net/[REMOVED]/c*****
196.regvista.com/[REMOVED]/liveupdate*****
[http://]n.s.x.northclicks.net/[REMOVED]/ctr.jpg
[http://]www.11511.com/imgs/ad/[REMOVED]/3721/a*****
[http://]1800-search.com/[REMOVED]/as*****
[http://]warehouse.deptos.com.mx/[REMOVED]/m*****
Tutaj link, gdzie wylaczasz [IMG] na wszelki wypadek jakby ktos niewiedzial =)
http://forum.tibia.pl/profile.php?do=editoptions

Tyle o naszym exploicie =)
@topic
Dobry pomysl z tym poradnikiem, Gz. Ale czy ktos w XXI w. nie uzywa firewalli/antywirusow? 8o
Pzdr. Ca$his.

Ojj, uwierz, że znajdziesz takich osób całą masę :).

@up
No dobra, wierze x) Najgorsze jest to, że nie mamy jak im pomóc =\
Bo byle cracker/hacker (np. ja <joke>) moze ich kompa zamienic w bagno...
Tak jakby stala otwarta brama zapraszajaca i mowiaca 'last oppourtunity!' ktos znajacy jez. angielski poprostu wejdzie...

Nabisz pytanko ale cóż - Proszę o odpowiedź...
Wbiłem na temat "12 lvl kradnie avengera" -.-
Nic się nie dzieje, czytam komenty - exploit.
Kaspersky nic nie wykrył.
Firewall nic nie brzęczał.
Sophos Anti-Rootkit nic.
AriesRemoverInst - także nic.
HiJackThis - Nic niebezpiecznego
Ad-Aware SE - Coś było, ale wszystko usunęłem.

Czy jestem w 100 procentach bezpieczny? A jeśli nie, to co mogę zrobić? Najlepiej bez formata... ale jeżeli nie ma innej możliwości...
Proszę o szczere rady, ludzi którzy się na tym znają. I szegółowe instrukcje, plz :)

Możecie mi odpowiedzieć? Mogę się ze spokojem logować? ;s
Nie znam się zabaradzo na tym ;P

Możecie mi odpowiedzieć? Mogę się ze spokojem logować? ;s
Nie znam się zabaradzo na tym ;P

Według mnie, możesz.

Wg. mnie, powinno się to znaleźć e dziale poradniki...

Wg. mnie, powinno się to znaleźć e dziale poradniki...

Niektóre poradniki nie powinny się tam znajdować :> Tutaj pasuje.

Wg. mnie, powinno się to znaleźć e dziale poradniki...

Ale to pasuje raczej tutaj, bo to jest odnośnie bieżących wydarzeń na forum.

A może zamiast zrzucać na nas robotę załatacie swoje systemy?

Edit: teraz doczytałem:
Note: Bloodhound.Exploit.56 is designed to identify behavior that would occur if the Microsoft Windows Graphics Rendering Engine WMF Format Unspecified Code Execution Vulnerability (as described in Microsoft Security Bulletin MS06-001) is exploited. As Symantec becomes aware of changes to the exploit code, or if files are identified that trigger this detection but are not malicious, the detection is refined. It is important to keep your definitions up to date to ensure the most complete protection.Teraz szczerze:
K*r*a, ludzie! ta dziura ma ROK! SAMI JESTESCIE SOBIE WINNI, po kij wam ten pieprz*** windows update? tego trzeba używać! Dawać mi tu tego kolesia z tymi exploitami, zaraz go odbanuję i może WRESZCIE się nauczycie!

http://hacking.pl/5674 <= A tu macie pierwszą wzmiankę o tym (na Boga, 30 grudnia 2005!)

wiedzialem, ze to kiedys nastapi.
tagi img mam wylaczone na forum od 2 miechow.

Temat był już poruszany, wskazywana była również łatka systemowa. Polecam poszukać.