FTCF kaapattu?

[insinörtti]

Mitäs tämä nyt on. Webbiselain julistaa, että ftcf.org on hyökkäyssivusto, joka googlen testissä pyrki pukkaamaan käyttäjän koneelle pari uutta apuohjelmaa:

"Viimeisten 90 päivän aikana sivustossa testaamistamme 23 sivusta 16 sivulta ladattiin ja asennettiin haittaohjelmia ilman käyttäjän lupaa. Google kävi sivustossa viimeksi 2012-08-25 ja sivustosta löydettiin epäilyttävää sisältöä viimeksi 2012-08-25.

Haittaohjelmia ovat muun muassa 2 trojan(s), 2 exploit(s). Onnistuneet tartuttamiset käynnistivät keskimäärin 1 uutta prosessia kohdekoneessa.

Haittaohjelmia ylläpidetään 2 verkkotunnuksessa, esimerkiksi verkkotunnuksissa katzensprung.ch/, effectwatchers.pro/.

1 verkkotunnusta näyttää toimivan välittäjinä haittaohjelmien jakelemisessa tämän sivuston kävijöille, esimerkiksi verkkotunnukset katzensprung.ch/."

Kellään tietoa aiheesta, onko väärä hälytys vai mennyt verkkotunnus vanhaksi ja uusiin nimiin tai joku onnistunut kaappaamaan palvelimen?

[Smacket]

Hyvinhän tuo näyttäisi toimivan?

[Satakuusnelonen]

Mulla kanssa selain blokkas ton sivun virus ilmoituksella.

[Smacket]

Mitä kautta te tuonne sivulle menette ja millä selaimella / käyttöjärjestelmällä?

[Vittorio Jano]

Oma Chrome varoittaa sivusta. Käyttiksenä OS X 10.6.8.

[Smacket]

Kokeilin itsekkin vielä Safarilla (6.0) ja Chromella (21.0) / OS X 10.8.1 ja hyvin aukeaa.

Hommahan on siitä kiinni, mikäli esimerkiksi Chromessa on käytössä tuo Googlen "isoveli" systeemi. Taitanee myös Winkkaripuolella olla joissain virustorjuntapaketeissa site-checker -lisäpalikka mikä käy urkkimassa tietokannoissa jos sivuston kautta on jotain skeidaa lähetetty joskus ja sitä kautta joutunut jonkin tahon mustalle listalle.

[insinörtti]

Firefox 14.0.1 + F-Securen Browsing Protection käytössä.

Uskaltauduin nyt sinne foorumille ja näkyy muilla olevan samanlaisia kokemuksia kuin itselläni - viruksia/troijalaisia on koneelle ilmaantunut. Omakin virustutkani julisti pari päivää sitten yhden ei-toivotun vieraan nitistäneensä. Edellisestä kerrasta on vuoden verran, joten aika selvältä nyt vaikuttaa, että tuolta niitä tulee.

[-HH-]

Olikos se to-iltana kun tuolla kävi niin avast blokkasi useamman troijalaisen tuolta...

[Pasi]

Ne jotka eivät saaneet varoitusta ovat saaneet tartunnan

Liinuxissakin FF huutaa varotusta, mutta mie en pelkää

[Smacket]

Ne jotka eivät saaneet varoitusta ovat saaneet tartunnan

Liinuxissakin FF huutaa varotusta, mutta mie en pelkää

Eipä tartu täälläkään Vielä kun koneen selaimen maustaa lisäosalla, joka blokkaa jokaisen javascriptin pois käytöstä, niin johan vaan pelkä sisältö pomppaa ruutuun ripeästi ilman roskaa. Noi haitakkeethan yleensä alkaa työntämään mauno matoja koneelle juurikin noiden erillaisten scriptien ja mainosbannereiden kautta.

Nyt alkoi sen verran kiinnostamaan tuon saitin rakenne, että täytynee ihan tutkia millaista haitaketta sieltä (tai jostain muualta) oikein olisi koneelle tulossa.

[Zygi]

Homma korjattu, joku päässyt kirjoittamaan jostain syystä tuonne .js -kirjastoihin.
Päivitin foorumin 2.0.2 versioon ja poistin ongelman... päivitys ei vielä poistanut noita ohjauksia joten jouduin poistamaan noita suoraan tuolta koodista.
Jos siis vielä näkyy näitä ilmoituksia niin laittakaa mulle suoraan sähköpostia asiasta niin fiksataan. tommi piste rintamaa ät geeeeemail (poista e-kirjaimet) piste com

Ilmoitin myös googlelle tuolla heidän verkkosivuvalvonnassaan että tarkistaisivat sivun uudelleen jotta tulikettu lakkaa huutamasta.
Toivottavasti päästään pian taas normitilaan.

Kyseessä siis oli smf:n vanhan version haavoittuvuus.

Itsellä myös firefox blockasi noita troijalaisia niin hyvin ettei edes ongelmaa tullut. Exploderilla vinkui F-Secure välittömästi.

Itse domaini on voimassa seuraavat kolme vuotta joten tuskin menee kuppi ihan heti nurin ainakaan sen takia (Ellei palveluntarjoaja taas säädä jotain randomia, kuten tapahtui tänäkeväänä).

-Tommi