Проблема на форуме. Очень нужна помощь. - Безопасность

Grekus · 28.09.2006, 15:18

Очень нужна помощь!
У меня Firefox с Noscript.
Проблема вот в чём:
на форуме, который я постоянно посещаю, (vBulletin Version 3.5.0) при кликах на некоторые топики мой FF без моего ведома перенаправляется на нестандартные порты сайтов, которые у меня не было намерения посещать. И я узнаю об этом только, если это https сайты и у FF есть претензии к их сертификатам.
Объясните, пожалуйста, кто может, что и как это происходит.

Очень важно и очень нужно, потому что в последние несколько дней у многих людей на форуме
компы оказались заражены rootkit'ом и мы ищем дыру или источник или способ, которым это делается.
Админ форума клянётся, что их сервер чист.
Помогите Христа ради.
Спасибо.

dr-evil · 28.09.2006, 15:22

пишите по русски, ссылки в студию

Grekus · 28.09.2006, 16:06

Не понимаю. Какие ссылки?
Если на форум, так это http://hyipdiscussionforum.com/
Переадресация делается на разные сайты, все не помню.
Несколко раз, например, была на www.Projectpcf.com.
Это не хакерский сайт. Похоже, на этом форуме кто угодно
может переадресовать на свой сайт, если умеет.
Только вот как и как при этом браузер используется и как с этим
бороться?
Спасибо, что откликнулись.

Xpl0rer · 12.10.2006, 04:35

Grekus, ты же не ожидаешь что сейчас все кинутся на этот сайт искать, какая именно ссылка ведёт не туда, куда ожидалось? Правда? Если ты хочешь что бы тебе помогли, укажи какая конкретно ссылка тебе не нравится, может тогда кто и заинтересуется.

Например я.

Alex Dark · 12.10.2006, 07:23

Цитата:

Grekus:
Очень важно и очень нужно, потому что в последние несколько дней у многих людей на форуме
компы оказались заражены rootkit'ом и мы ищем дыру или источник или способ, которым это делается.
Админ форума клянётся, что их сервер чист.

Вполне возможно что ты подцепил какую то гадость. Был аналогичный случай, когда вместо частопосещаемой страницы (не сайта а именно страницы) происходила переадресация на сайты "легкого поведения"
Антивирь на этом компебыл отключен. Лечение результатов не дало. т.к. это было на 98 поступил просто удалил ехплорер и все что с ним связано (в том числе реестр. что именно не помню и как, давненько это было) и установил заново. И все заработало

Grekus · 12.10.2006, 16:59

Цитата:

Сообщение от Xpl0rer

Grekus, ты же не ожидаешь что сейчас все кинутся на этот сайт искать, какая именно ссылка ведёт не туда, куда ожидалось? Правда? Если ты хочешь что бы тебе помогли, укажи какая конкретно ссылка тебе не нравится, может тогда кто и заинтересуется.

Например я.

Проблема в том, что тот, кто это делает, меняет линки (названия топиков),
с которых производится переадресация. При этом никаких лишних страниц
не загружается, загружается страница, которую кликаешь и предупреждение от Firefox, что его не устраивает сертификат, если это
https сайт. Если FF всё устраивает, он, видимо, идёт, куда его послали и
соединяется с каким-то портом. И сайт и порт остаются неизвестными.
Это происходит не только у меня, но и у других.
Знать бы хотя бы, как блокировать FF от таких неавторизованных
блужданий и как получить информацию о сайте, но я понятия не имею, как это сделать. Noscript не помогает.
Форум, видимо, аккуратно взломан или есть общеизвестная дыра, но
Админ в нём уверен.
Так что остаётся только самозащита.

Псих · 13.10.2006, 11:37

Насколько я понял.. проблема в том, что при клике на название топика юзер попадает на на другой сайт?

При просмотре списка топиков проверь ссылку, которая ведет на просмотр топика. Она должна выглядеть приблизительно site/showthread.php?p=
Отпишешься.
Если ссылка выглядит нормально, то скорее всего на форуме найдена XSS уязвимость, которая позволяет вставить на страницу JS код типа

Код:

window.location='http://microsoft.com'

который и производит перенаправление.

Grekus · 13.10.2006, 11:58

Псих!
А можешь поподробнее об этой уязвимости?
Или может ссылку дашь, где почитать?
Спасибо.

Псих · 13.10.2006, 19:50

Grekus
Хех. Ну человек ты даешь. Форум уже давно как дырявый, а ты все не можешь понять как и что случилось. Причем найдено мной было не только XSS
_http://search.securityfocus.com/swsearch?sbm=%2F&metaname=alldoc&query=vBulletin+3.5.0&x=38&y=12

Grekus · 13.10.2006, 20:57

Ты прав, Псих.
Теперь понятно. Похоже, именно это и происходит.
Спасибо большое.

28.09.2006, 15:18	# 1
Grekus Junior Member Регистрация: 28.02.2003 Адрес: Internet Сообщения: 51	Проблема на форуме. Очень нужна помощь. Очень нужна помощь! У меня Firefox с Noscript. Проблема вот в чём: на форуме, который я постоянно посещаю, (vBulletin Version 3.5.0) при кликах на некоторые топики мой FF без моего ведома перенаправляется на нестандартные порты сайтов, которые у меня не было намерения посещать. И я узнаю об этом только, если это https сайты и у FF есть претензии к их сертификатам. Объясните, пожалуйста, кто может, что и как это происходит. Очень важно и очень нужно, потому что в последние несколько дней у многих людей на форуме компы оказались заражены rootkit'ом и мы ищем дыру или источник или способ, которым это делается. Админ форума клянётся, что их сервер чист. Помогите Христа ради. Спасибо.

28.09.2006, 15:22	# 2
dr-evil ::VIP:: Регистрация: 17.02.2002 Адрес: /home/dr-evil Пол: Male Сообщения: 2 212	пишите по русски, ссылки в студию __________________ Сеть - это диагноз... а сисадмин - состояние души. Питер! Все на сходку!!! \| Обзоры порталов. Добавь свою любимую систему!

12.10.2006, 04:35	# 4
Xpl0rer Junior Member Регистрация: 18.09.2006 Адрес: loopback 0/0 Сообщения: 82	Grekus, ты же не ожидаешь что сейчас все кинутся на этот сайт искать, какая именно ссылка ведёт не туда, куда ожидалось? Правда? Если ты хочешь что бы тебе помогли, укажи какая конкретно ссылка тебе не нравится, может тогда кто и заинтересуется. Например я. __________________ Билл - гей! Тсс-с!!!

13.10.2006, 11:37	# 7
Псих ::VIP:: Guinness Liker Понаехало тут Регистрация: 26.01.2003 Адрес: В нейроне Пол: Male Сообщения: 2 848	Насколько я понял.. проблема в том, что при клике на название топика юзер попадает на на другой сайт? При просмотре списка топиков проверь ссылку, которая ведет на просмотр топика. Она должна выглядеть приблизительно site/showthread.php?p= Отпишешься. Если ссылка выглядит нормально, то скорее всего на форуме найдена XSS уязвимость, которая позволяет вставить на страницу JS код типа Код: window.location='http://microsoft.com' который и производит перенаправление. __________________ меня не вылечат

13.10.2006, 19:50	# 9
Псих ::VIP:: Guinness Liker Понаехало тут Регистрация: 26.01.2003 Адрес: В нейроне Пол: Male Сообщения: 2 848	Grekus Хех. Ну человек ты даешь. Форум уже давно как дырявый, а ты все не можешь понять как и что случилось. Причем найдено мной было не только XSS _http://search.securityfocus.com/swsearch?sbm=%2F&metaname=alldoc&query=vBulletin+3.5.0&x=38&y=12 __________________ меня не вылечат

28.09.2006, 16:06	# 3
Grekus Junior Member Регистрация: 28.02.2003 Адрес: Internet Сообщения: 51	Не понимаю. Какие ссылки? Если на форум, так это http://hyipdiscussionforum.com/ Переадресация делается на разные сайты, все не помню. Несколко раз, например, была на www.Projectpcf.com. Это не хакерский сайт. Похоже, на этом форуме кто угодно может переадресовать на свой сайт, если умеет. Только вот как и как при этом браузер используется и как с этим бороться? Спасибо, что откликнулись.

13.10.2006, 11:58	# 8
Grekus Junior Member Регистрация: 28.02.2003 Адрес: Internet Сообщения: 51	Псих! А можешь поподробнее об этой уязвимости? Или может ссылку дашь, где почитать? Спасибо.

13.10.2006, 20:57	# 10
Grekus Junior Member Регистрация: 28.02.2003 Адрес: Internet Сообщения: 51	Ты прав, Псих. Теперь понятно. Похоже, именно это и происходит. Спасибо большое.