Bezpečnostní problém fóra

[beer]

Google Chrome zablokoval přístup na tuto stránku na webu forum.ubuntu.cz.
Na tuto webovou stránku byl vložen obsah z webu i.wz.cz, který je známým distributorem malwaru. Pokud tuto stránku navštívíte, pravděpodobně nakazí váš počítač malwarem.
Malware je škodlivý software, který způsobuje například odcizení identity, finanční ztráty nebo trvalé smazání souborů.

[Martin Šácha]

Kód: [Vybrat]

sudo echo "127.0.0.127 i.wz.cz">>/etc/hosts

[beer]

To ale není řešení, z práce přistupuji z vidlí. Řešení je odstranění toho vloženého kódu z fóra...
Myslím, že ti, co mají ubuntu, se toho moc bát nemusí, ale asi by bylo dobré například deaktivovat javu a javascript...

Jestli to chápu správně, někdo propašoval skrytý frame a podařilo se mu ho vložit někam do fóra? Třeba do podpisu?

Kód: [Vybrat]

sudo echo "127.0.0.127 i.wz.cz">>/etc/hosts

Navíc takhle to nefunguje :-).

$ sudo echo "127.0.0.127 i.wz.cz">>/etc/hosts
bash: /etc/hosts: Operace zamítnuta

Nejjednodušší je se přihlásit jako root.

[Martin Šácha]

Ne, jen má někdo avatar z tohodle hostingu...

Kód: [Vybrat]

echo "127.0.0.127 i.wz.cz" >> %WINDIR%\system32\drivers\etc\hosts

[beer]

Ne, jen má někdo avatar z tohodle hostingu...

Kód: [Vybrat]

echo "127.0.0.127 i.wz.cz" >> %WINDIR%\system32\drivers\etc\hosts

To ale nevypadá na hostingové centrum . V práci nemám možnost přidávat do hosts souboru. Nemáme tam klasické desktopy, ale terminály. Nemám k farmě admin práva.

[Vojtěch Trefný]

Při přístupu na kterou stránku přesně se ti to stane?

Pravděpodobně to není žádný kód, ale obrázek (už jsem se s tím jednou setkal -- někdo si vložil avatar z takové stránky a bylo...)

[Vojtěch Trefný]

Vtipný je, že Google Webmaster Tools se tváří, že je všechno v naprostém pořádku...

[beer]

Při přístupu na kterou stránku přesně se ti to stane?

Pravděpodobně to není žádný kód, ale obrázek (už jsem se s tím jednou setkal -- někdo si vložil avatar z takové stránky a bylo...)

http://forum.ubuntu.cz/index.php?action=unreadreplies

Bylo by možné vygrepovat hříšníka, a v případě, že se jedná o avatar, tak ho požádat, aby si nahrál avatar třeba na flickr, picasu, nebo dropbox ?

Koukám, že i.wz.cz patří skutečně pod něco, jako hosting - web zdarma. Je to blokované i z Firefoxu, akorát mi firefox v práci nic nehlásí ohledně forum.upc.cz, narozdíl od Google Chrome.

Hláška z firefoxu na i.wz.cz, případně wz.cz:

Nahlášená útočná stránka!
     
     
     
     
       
       
         
          Tato webová stránka na serveru i.wz.cz byla nahlášena jako útočná stránka a proto byla na základě vašeho bezpečnostního nastavení zablokována.
       

       
       
         
          Útočné stránky se pokouší nainstalovat programy, které kradou vaše důvěrná data, používají váš počítač k dalším útokům, nebo jakkoliv poničí váš systém.Některé stránky poskytují škodlivý software záměrně, řada z nich byla ale sama napadena a činí tak bez vědomí jejich vlastníků.

[Vojtěch Trefný]

Bylo by možné vygrepovat hříšníka, a v případě, že se jedná o avatar, tak ho požádat, aby si nahrál avatar třeba na flickr, picasu, nebo dropbox ?

Kdyby to bylo možné, tak to udělám a avatar mu smažu, ale jak to asi mám grepovat...

[beer]

Bylo by možné vygrepovat hříšníka, a v případě, že se jedná o avatar, tak ho požádat, aby si nahrál avatar třeba na flickr, picasu, nebo dropbox ?

Kdyby to bylo možné, tak to udělám a avatar mu smažu, ale jak to asi mám grepovat...

No, já myslel, že by to šlo vygrepovat nějak rekurzivně, můžu se na to doma mrknout, pustím na forum.ubuntu.cz wget, a pak zkusím vygrepovat i.wz.cz.

třeba by to šlo nějak takto ve složce s forem:

Kód: [Vybrat]

grep -i -r i.wz.cz

[beer]

Jinak, když jsem použil google, tak to našlo nějaké odkazy na wz.cz, ale ty to zřejmě nezpůsobují, protože ty příspěvky jsou staré...

například:
http://forum.ubuntu.cz/index.php?topic=5893.msg40873#msg40873

Vtipný je, že Google Webmaster Tools se tváří, že je všechno v naprostém pořádku...

Ne jen webmasters tools, ale i:
http://www.google.cz/safebrowsing/diagnostic?site=forum.ubuntu.cz

Ukazuje to google chrome i někomu jinému? Nemám bezpečnostní problém někde u sebe?

Nemůže se jednat o nějaký podvrh fóra přes man in the middle? Ubuntu.cz je navíc zabezpečeno pomocí DNSSEC, nevím, jestli je realizovatelné, aby mi někdo na cestě podvrhl fórum a upravené fórum mi naservíroval se škodlivým kódem?

[ntz_reloaded]

hmm ..

[formalne] diky za oznameni, zamykam, vyhazuju .. poresime to [/formalne]

zdravim, ntz

ps. pokud nechces *content z wz.cz, tak si nakonfiguruj klienta ..