Server Mobilmania.cz napaden malware - aktualizace

22. 6. 2009 19:41 (aktualizováno) Tomáš Kapler

Aktualizace: v půl desáté ráno opraveno, opravdu mrcha v reklamním boxu

Server Mobilmania.cz obsahuje malware, konkrétně skript na turbonamestore.cn a mediahousenamebuyvideo.cn (a možná i další, jestli to dělá skript). Mallware zřejmě napadl některý z reklamních systémů či jejich klientů (což tedy není chyba Mobilmanie), každopádně to pak končí tak, že se se místo načtení stránky Mobilmanie objeví následující stránka a to už by je asi mělo zajímat. Otázka je, jak tomu zabránit.

[caption id=„attachment₃₈₄“ align=„alignnone“ width=„300“ caption=„Mobilmania Mallware“][/caption]

Podle hodnocení
Podle vláken
Nejnovější

21. 6. 2009 21:26

informatik (neregistrovaný) 93.89.100.---

u mně se mobilmania.cz načítá normálně (FF 3.0.11)
- Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor
21. 6. 2009 23:19

noname (neregistrovaný) 80.250.1.---

no google chrome je zjevně pečlivější v kontrole než ff. Google chrom tuším hlásí tohle i když se odkazuje na stránku s mallware a nejenom když jej přímo obsahuji, ale nevím, nezkoumal jsem to detailně. Každopádně ještě teď po 3 hodinách to tam mají
- Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor
22. 6. 2009 6:21

Brooch (neregistrovaný) 86.49.106.---

Je to tam. Reklama za kazdou cenu.
HTML:Iframe-inf http://www.mbo.cz/contentportal/portals/mobilmania/infobox.php
- Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor
22. 6. 2009 9:28

David Polesný (neregistrovaný) 193.165.166.---

Mrška v reklamním boxu... Už je opraveno.
- Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor
22. 6. 2009 9:42

Pavel (neregistrovaný) 90.183.20.---

to se mi stalo na mem webu a zpusoboval to malware ktery vyuziva málo zabezpečený soubor s heslama v total cmd. Změnil jsem hesla a nahrál půsodní soubory. Pravděpodobně napadá pouze soubory index, main, defaul
- Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor
22. 6. 2009 10:24

Petr (neregistrovaný) 84.42.154.---

To je tak kdyz PHP patlala-patlala. Jeste jsem si nevsiml, ze by weby na jine technologii byly timto zpusobem napadene. Tech PHP jsou snad tisice.
- Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor
22. 6. 2009 10:48

sartori (neregistrovaný) 212.96.161.---

To je jednoduche - pro Firefox staci:
View/Preferences/Security:
Tell me if the site I'm visiting is a suspected attack site: off
Tell me if the site I'm visiting is a suspected forgery: off
- Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor
22. 6. 2009 12:52

honziik (neregistrovaný) 193.85.202.---

podle mne na 90% za to muze XP s virem a ulozenym heslem v TotallCommanderu
- Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor
22. 6. 2009 13:48

FIdo (neregistrovaný) 81.92.157.---

A co tam ma jako byt? Ty zminovane cinske odkazy zobrazi oba totez. Logo Subaru a v azbuce pozadavek na login a heslo.
- Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor
23. 6. 2009 0:31

Fido (neregistrovaný) 86.49.64.---

>Pavel: Ano. Neco podobneho jsem resil znamemu na webu. A napadene byly prave tyto tri soubory (klasicky iframe s odkazem nekam do Ciny) ale krome toho jeste uplne ve vsech souborech byl jakysi vlozeny skript. Co delal nevim. Me nedelal nic ale google ty stranky oznacil jako nebezpecne a presvedcit ho, ze uz jsou v poradku dalo docela dost prace.
- Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor
23. 6. 2009 15:15

Bobrnautus (neregistrovaný) 160.218.77.---

Také mám podobnou zkušenost s jedním hostingem, na konce souborů byl přihrán iframe vedoucí na mediahomenameshopmovie.cn. Vtip je ale v tom, že dle logů nějak zblbnul apache, mám podezření na nějakou 0-day záležitost, tak jsem osekal dostupné moduly, osekal php, zpřísnil nastavení mod_security a suhosinu a zatím to drží.... Tak uvidíme....
- Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor
30. 6. 2009 9:04

Homer (neregistrovaný) 89.102.80.---

[8] Je blbost nechávat v TC uložené heslo.

Zasílat nově přidané názory e-mailem