Forum PHP.pl > Wirus!

Pomoc - Szukaj - Użytkownicy - Kalendarz

Pełna wersja: Wirus!

Forum PHP.pl > Inne > Opinie, ogłoszenia, pytania > Forum

iker

5.05.2006, 21:41:19

Dostałem dziś e-maila adresowanego od: forum@php.pl o treści:

Kod

http://traffdollars.biz/dl/loadadv597.exe

-------------------------------------
Forum php.pl Statystyki:
-------------------------------------
Zarejestrowanych użytkowników 13567
Wszystkich postów: 215026
Busiest Time: 65 users were online on 2006-03-21 13:27

-------------------------------------
Podręczne linki
-------------------------------------
Adres forum: http://forum.php.pl/index.phpZaloguj: http://forum.php.pl/index.php?act=Login&CODE=00
Przywracanie hasła: http://forum.php.pl/index.php?act=Reg&CODE=10

-------------------------------------
Jak wypisać się z subskrypcji
-------------------------------------
Obejżyj twoje ustawienia email (http://forum.php.pl/index.php?act=UserCP&CODE=02) i wybierz Wysyłaj informacje administratorów i odznacz wybór

Link u góry listu prowadzi do wirusa! Ktoś się podszywa...

nospor

5.05.2006, 21:46:10

nie ty jeden to dostales. ok, dzieki za info, jak cos bedzie wiadomo konkretniej to sie odezwiemy. jakby ktos tez dostal tez niech napisze.

jesli ktos to dostanie, niech pamieta by nie otwierac

Seth

5.05.2006, 21:51:53

To moze mas mail do userow ze sprostowaniem + informacja na wortalu bo nie wiem czy wszyscy tutaj dotra

wassago

5.05.2006, 22:05:14

... Przykładem jestem ja :-) Mass mail to przedni pomysł, i browar dla tych co ucierpieli przez tego maila ;-P

nospor

6.05.2006, 00:22:12

Na chwile obecną problem wydaje sie byc rozwiązany. Przepraszamy za niedogodnosci i spam

ps: ide spac
ps2: dziękujemy za szybką reakcję uzytkowników, dzieki ktorym udalo sie i nam szybko zainterweniowac

matrach

7.05.2006, 11:43:47

Jest jeszcze jeden skutek.
W forum "Przedszkole" w przyklejonym temacie o kursach wszystkie linki prowadzą do tego pliku
--------------
Już ktoś naprawił

DeyV

7.05.2006, 12:14:57

Zostało to już poprawione.
Dziura bezpieczeństwa również została już chyba załatana.

Za problemy serdecznie przepraszamy.

Pronigo

13.05.2006, 06:23:07

Chyba kolejny wirus krąży:

"Forum php.pl
Hello! Please, help our forum - http://traffmoney.biz/dl/loadadv606.exe

Thank You!"

dodatkowe info:
To: nospor@interia.pl
Subject: Hello! ( From Forum php.pl )
From: "Forum php.pl" <forum@php.pl>
X-Priority: 3
X-Mailer: IPB php Mailer
Message-Id: <E1Fc7q7-0006Xg-PU@php.pl>
Sender: www-data <www-data@php.pl>
Date: Fri, 05 May 2006 23:27:55 +0200

zulus

13.05.2006, 07:48:02

u mnie to samo

mda

13.05.2006, 10:10:43

ja tez dostalem, lecz data jest z 5 maja....

spenalzo

13.05.2006, 10:20:28

Czy było to związane z plikiem admin.php?

czachor

13.05.2006, 10:52:37

To już mój drugi mail... Kolejna dziura czy możliwe, że za pierwszym razem jakimś cudem wyciekła baza danych?

W sumie data jest też z 5.05., ale taka data rzeczą zmienną jest...

easy

13.05.2006, 11:13:48

Kod

From: Forum php.pl <forum@php.pl> Mailed-By: php.pl
To: nospor@interia.pl
Date: May 5, 2006 11:27 PM
Subject: Hello! ( From Forum php.pl )

Kod

Forum php.pl
Hello! Please, help our forum - http://traffmoney.biz/dl/loadadv606.exe

Thank You!

seaquest

13.05.2006, 11:47:52

Na prawdę nie ma co tragizować. Nie było kolejnego włamu. Po prostu podochodziły maile z poprzedniego. Świadczy o tym właśnie data i godzina oraz to, że do większości osób do którch mail nie doszedł wtedy, doszedł teraz.

tommy4

13.05.2006, 11:51:07

Mail jak wyżej, dotarł wczoraj. Po nazwie pliku wiedziałem, żeby nie otwierać.

Load advertise!:D

czachor

13.05.2006, 14:24:14

Cytat(seaquest @ 2006-05-13 11:47:52)

Świadczy o tym właśnie data i godzina oraz to, że do większości osób do którch mail nie doszedł wtedy, doszedł teraz.

No tak, ale to jest już drugi mail. Wtedy dostałem pierwszego, dzisiaj kolejny. Niby ta data... Może jestem przewrażliwiony, nie wiem.

Fallout

13.05.2006, 14:43:20

Kod

From - Sat May 13 15:33:37 2006
X-Account-Key: account2
X-UIDL: 1147524975.19433.gol-gdynia.mm.pl,S=1908
X-Mozilla-Status: 0001
X-Mozilla-Status2: 00000000
+OK
From: avast! 4
Subject: [heurystyka avast! - OSTRZEŻENIE]

Podejrzana sekwencja białych znaków

Nadawca:  "Ted" <Septimus.Cervantes@poczta.onet.pl>
Odbiorca:  <Florence.Boyer@o2.pl>
Temat:  Program                               14785013
.

dostalem to o 15.33 x2 czyli razem juz 3.. no panowie, najwiekszy portal php skupiajacy najwieksze grono progrmistow php w Polsce nie potrafi sam zalatac dziury?

pozdro

seaquest

13.05.2006, 16:34:52

Fallout, ale to co dostałeś, to nie od nas.

Na php.pl nie było kolejnego włamu.

Fallout

13.05.2006, 17:01:42

Cytat(seaquest @ 2006-05-13 16:34:52)

Fallout, ale to co dostałeś, to nie od nas.

Na php.pl nie było kolejnego włamu.

kurde fakt ze w tym nie widać to avast wyczyscil ale jak wyskoczylo to bylo php.pl i podobny odnosnik jak wczesniej :/ fakt ze zkacowany bylem no ale poszukam po logach :/ jesli faktycznie sie machnalem to sorki zaraz sprawdze

[edit]

W czeluściach logów znalazłem tylko to...

Kod

05/13/06 15:33:41 00000244:   --POP Heuristic module found something and user wants to delete message
05/13/06 15:33:43 00000244:   --POP Mail is clean
05/13/06 15:33:45 00000244:   --POP Mail is clean
05/13/06 15:33:48 00000244:   --POP Mail is clean
05/13/06 15:33:53 00000244:   --POP Mail is clean
05/13/06 15:33:54 00000244:   --POP Mail is clean
05/13/06 15:34:00 000000E4:   --POP Mail is clean
05/13/06 15:34:00 000000E4:   --POP Heuristic module found something and user wants to delete message

więc nijak mogę potwierdzić :/ no coż następnym razem screenshota zrobie

p.s. szkoda że avast nie zostawił więcej info :/

nospor

13.05.2006, 18:28:57

Panowie. Podczas ataku z piątego maja, poszly dwa mass maile. Pierwszy znich doszedl od razu prawie do wszystkich. Drugi, doszedl dzis w nocy. Nie wpominalalismy o drugim, bo wydawalo sie ze zostal zatrzymany. Najwyraźniej nie. zostal tylko opóźniony.

To jest wersja lo-fi głównej zawartości. Aby zobaczyć pełną wersję z większą zawartością, obrazkami i formatowaniem proszę kliknij tutaj.