О глюках, багах..., ...и прочих наглостях скрипта конференции |
ОФИЦИАЛЬНЫЙ САЙТ ГРУППЫ: WWW.DURANDURAN.COM |
{ наш проект закрыт } ОГРОМНОЕ СПАСИБО всем тем, кто был с нами все это действительно долгое время! Все ваши вложения в развитие конференции - абсолютно бесценны! Искренне надеемся, что данное объявление ни как не повлияет на вашу дальнейшую жизнь. Личное общение - завсегда лучше :) ЕЩЕ РАЗ - СПАСИБО ВАМ ВСЕМ ЗА ВСЕ! |
Здравствуйте, гость ( Вход | Регистрация )
О глюках, багах..., ...и прочих наглостях скрипта конференции |
john morgan |
26/07.2003 - 03:46
|
Дюранист Группа: VIP Сообщений: 2 036 Регистрация: 08/04.2003 Из: Владивосток Пользователь №: 17 |
Удивляет две вещи:
1.по сомнительным сайтам не хожу (давно) и винду всего месяц как переставил. 2. Выскакивает только при открытии 'в новом окне' какой-либо темы форума. Странно. Вот и третий раз вылезла. Не знаю как это окошко сохранить чтоб тебе прислать для ознакомления. |
|
|
DDfans |
26/07.2003 - 16:14
|
Хранитель портала Группа: Hi-Tech Сообщений: 4 109 Регистрация: 27/11.2002 Из: Москва, Кунцево Пользователь №: 1 |
john morgan
1. Значит хакнули Вашего провайдера или локальную сеть. На моем сервере следов взлома и проческих HTML добавок - нету. 2. Схватил Java вирусняк с обычного сайта, либо обычный вирус из письма или скаченной проги. Я код проверял - ничего нету. Установи 'паутиныча' и проскань кэш своего Internet Explorera или кэш другого браузера. 3. Я тут ничем не смогу помочь. Ну можбыть чего выяснится... При наведении на текстовую информацию страницы в окне браузера нужно нажать правую кнопку мыши (только не на графической ее части) и в выпадающем меню выбрать: Просмотр HTML-кода. Загрузится блокнот с HTML текстом, который ты сохрани и мне по мылу пришли. 2All: Еще есть у кого такая же батва? :cry: |
|
|
john morgan |
27/07.2003 - 02:33
|
Дюранист Группа: VIP Сообщений: 2 036 Регистрация: 08/04.2003 Из: Владивосток Пользователь №: 17 |
Изучил внимательно свой журнал. Сайты все приличные, типа Ленты и РБК. Только вот припоминаю, что когда-то со sports.ru были проблемки. У них когда-то был баннер типа: ваш ай-пи такой-то транслируется в интернет, для защиты своего компа зайдите сюда - и кнопочка ОК. Значит других версий быть не может. Но почему вылезает на твоем сайте?
|
|
|
DDfans |
27/07.2003 - 19:22
|
Хранитель портала Группа: Hi-Tech Сообщений: 4 109 Регистрация: 27/11.2002 Из: Москва, Кунцево Пользователь №: 1 |
МИНИ-ЦИТАТА Значит других версий быть не может. Других версий просто нет, так как теперь, я уж однозначно заявляю, что эта беда появляется только у тебя :(( Проблемы в тебе... и к сожалению я тут точно не смогу теперь помочь. Но мне хотелось бы в этом разобраться! МИНИ-ЦИТАТА Но почему вылезает на твоем сайте? Ну может быть 'пришилось', как к самому посещаемому ресурсу. Есть такие скрипты - вшиваются в реестр и крутят баннеры. Поэтому почему бы ему и не пришиться к нашей конфе, как к самой наиболее посещаемой, если другие ты посещаешь меньше. Установи URL адрес ресурса, который выкидывает этот баннер(окно) и ищи его в реестре виндов. Если найдешь - три ег нафиНг, однозначно! После этого, я уверен, ничего уже больше не будет. Бывало и я попадался на это :lol: |
|
|
john morgan |
13/08.2003 - 02:59
|
Дюранист Группа: VIP Сообщений: 2 036 Регистрация: 08/04.2003 Из: Владивосток Пользователь №: 17 |
Ну уж в этот раз конкретная %;?%%:?
Вот такая зверюшка вчера парализовала мне всю работу. http://securityresponse.symantec.com/avcen...aster.worm.html Убил ее вчера Касперским (у меня Нортон стоит) и все вспоминал, где ж я шарил в 11,30 утра? А сегодня пложалста Вот опять глючит. Причем время создания этого файла на винте ВСЕГДА во время открытия страниц форума. И после лечения я не лазил вообще нигде, а как зашел сразу посыпались VIRUS ALERT Проявляется так: Сообщает что Произошел сбой Generic Host Process for Win32 Services и указывает на файл svchost.exe Но этот файл чистый! Куда видимо перепрописывается... Затем пишет, что Компьютер будет перезагружен в результате неожиданной остановки службы Удаленного вызова процедур RPC. и дает 30 секунд на завершение-сохранение. Касперским вчера пролечил, ночью было все нормально. А сегодня захожу на форум, а Нортон начинает сообщать, что отловил вирус W32.msblaster.worm и успешно удалил его (ТРИЖДЫ!!!). А через минут 5 комп опять перезагружается. Но после лечения я не лазил НИГДЕ!!! Что бы это значило? |
|
|
DDfans |
13/08.2003 - 15:08
|
Хранитель портала Группа: Hi-Tech Сообщений: 4 109 Регистрация: 27/11.2002 Из: Москва, Кунцево Пользователь №: 1 |
john morgan
Пошел изучать твой вопрос... ELPRESIDENTE Странная ситуация получается Андрей Аркадичь... Только что был в ящике и все проверил. Все - работает (у меня). Люди пишут мне, а я им, выходит и у других тоже. В логах ошибок - этих проблем нету, соответствено скрипт ящика работает исправно. Поподробнее можно узнать что да как? Выпадает дефолтная страница ошибки эксплорера чтоли? [!] Тут вот еще чего может быть. Я узрел на сервере, что размер твоего файла в ящике перевалил за 60 кб. Возможно и в этом может крыться причина. Также пошел изучать и твой вопрос... |
|
|
john morgan |
13/08.2003 - 15:32
|
Дюранист Группа: VIP Сообщений: 2 036 Регистрация: 08/04.2003 Из: Владивосток Пользователь №: 17 |
Ну блин! 4 часа копал ХРху, вычистил этого червя отовсюду, а комп перегружается. Щас поставил заплатку на винду и вроде тихо. Нортон этого червя не убивает!!! Юзайте Касперского. А пришел червь с этого сайта- сужу по времени создания файла msblast.exe.
Если ж никто кроме меня червя не словил, тогда оччень странно: в 11:30 я был именно в форуме и нигде более. |
|
|
DDfans |
14/08.2003 - 00:28
|
||
Хранитель портала Группа: Hi-Tech Сообщений: 4 109 Регистрация: 27/11.2002 Из: Москва, Кунцево Пользователь №: 1 |
john morgan
Странные же вы всетаки люди, однако - (тут скрыто нехорошее слово)! Вот так вот погибают лучшие авторитеты... :( Старые песни О главном... 'Мне мама в детстве выколола глазки, чтоб я в шкафу варенье не нашОл...' [hr] Новые вирусы!... 12.08.2003 1,8 секунды, которые спасли интернет 'Лаборатория Касперского' сообщает о начале крупномасштабной эпидемии нового сетевого червя Lovesan. За несколько часов он сумел достичь вершины списка самых опасных вредоносных программ и вызвать многочисленные заражения компьютеров. Lovesan проникает на компьютеры через недавно обнаруженную брешь в сервисе DCOM RPC операционной системы Microsoft Windows и потенциально способен производить на подконтрольном компьютере любые манипуляции. Ошибке, которая была обнаружена лишь недавно, подвержены все серверные версии Windows NT, начиная с 4.0 и заканчивая Server 2003, что и обусловило взрывной характер эпидемии. Lovesan - не первая вредоносная программа, атакующая компьютеры через эту брешь: лишь неделю назад в интернете был обнаружен червь Autorooter не имевший, в отличие от своего последователя, полнофункциональной системы автоматического распространения. 'Лаборатория Касперского' прогнозировала подобное развитие событий и рекомендовала пользователям принять необходимые меры предосторожности. 'Слабость вирусописателей к уязвимости в DCOM RPC объясняется большой информационной шумихой, поднятой вокруг нее две недели назад, и наличием готовых примеров проведения атаки, которые доступны на многих маргинальных web-сайтах', - комментирует Евгений Касперский, руководитель антивирусных исследований 'Лаборатории Касперского'. В процессе распространения Lovesan сканирует порт 135 TCP/IP в поисках уязвимых компьютеров и проверяет возможность проведения атаки. Если соответствующее обновление Windows не установлено, червь осуществляет закачку на компьютер своего файла-носителя MSBLAST.EXE. Этот файл затем регистрируется в секции автозагрузки системного реестра Windows и запускается. Опасность червя заключается даже не столько в несанкционированном проникновении на компьютеры пользователей, сколько в генерации огромного объема 'мусорного' трафика, переполняющего каналы передачи данных интернета. 'На этот раз интернет спасла запрограммированная в Lovesan 1,8-секундная задержка между попытками заражения других компьютеров. В черве Slammer, вызвавшем в январе этого года десегментацию и замедление сети, такой задержки не было', - продолжает Евгений Касперский. Основной вредоносной функцией Lovesan является активизирующийся 16 августа механизм DDoS-атаки на сайт windowsupdate.com, на котором находятся те самые обновления для операционных систем семейства Windows. В этот день веб-сайт подвергнется массированной бомбардировке пакетами данных с зараженных компьютеров, в результате чего может стать недоступным. В целях противодействия угрозе необходимо немедленно установить обновление для Windows, закрывающее брешь, и по возможности заблокировать с помощью межсетевого экрана TCP/IP-порты 135, 69 и 4444, если они не используются другими приложениями. Данил Гридасов, Ресурс: Вирусы, антивирусы, события, факты и комментарии [hr] Worm.Win32.Lovesan Вирус-червь. Распространяется по глобальным сетям, используя для своего размножения уязвимость в службе DCOM RPC Microsoft Windows. Ее описание приведено в Microsoft Security Bulletin MS03-026. Червь написан на языке C, с использованием компилятора LCC. Имеет размер 6КB, упакован UPX. Размножается в виде файла с именем 'mblast.exe'. Содержит текстовые строки: I just want to say LOVE YOU SAN!! billy gates why do you make this possible ? Stop making money and fix your software!! Признаками заражения компьютера являются: Наличие файла 'msblast.exe' в системном (system32) каталоге Windows. Сообщение об ошибке (RPC service failing) приводящее к перезагрузке системы. Размножение При запуске червь регистрирует себя в ключе автозапуска: HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun windows auto update='msblast.exe' Червь сканирует IP-адреса, начинающиеся с 'base address' и пытается соединиться с 20 IP-адресами для инфицирования уязвимых компьютеров. После этого червь 'спит' в течение 1,8 секунды, а затем снова сканирует 20 IP-адресов и повторяет этот процесс в бесконечном цикле. Например, если 'base address' является 20.40.50.0, червь будет сканировать следующие адреса: 20.40.50.0 20.40.50.1 20.40.50.2 ... 20.40.50.19 ----------- пауза 1.8 секунды 20.40.50.20 ... 20.40.50.39 ----------- пауза 1.8 секунды ... ... 20.40.51.0 20.40.51.1 ... 20.41.0.0 20.41.0.1 и так далее. Червь выбирает один из двух методов сканирования IP-адресов: В 3 случаях из 5 червь выбирает случайный 'base address' (A.B.C.D), где D равен 0, а A, B, C случайно выбраны из диапазона 1-255. Таким образом 'base address' находится в диапазоне [1-255].[1-255].[1-255].0. В 2 случаях из 5 червь сканирует подсеть. Он определяет адрес локального компьютера (A.B.C.D), устанавливает D в ноль и выбирает значение C. Если C - больше чем 20, то червь выбирает случайное число от 1 до 20. Если C меньше или равно 20, червь не изменяет его. Например, если инфицированная машина имеет IP-адрес '207.46.134.191', то червь будет сканировать адреса с 207.46.[115-134].0. Если IP-адрес - '207.46.14.1', то червь будет сканировать адреса, начиная с 207.46.14.0. Используя уязвимость в Microsoft Windows 2000/XP, отправляет на 135 порт выбранного IP-адреса команды эксплойта DCOM RPC и запускает на удаленной машине командную оболочку 'cmd.exe' на TCP порту 4444. После этого червь, при помощи команды tftp get, через 69 порт загружает себя на удаленную машину в системный каталог Windows и запускает на исполнение. Прочее После заражения инфицированная машина выводит сообщение об ошибке RPC service failing, после чего может попытаться перезагрузиться. C 16 августа 2003 года червь запускает процедуры DDoS атаки на сервер windowsupdate.com, пытаясь таким образом затруднить или прервать его работу. Ресурс: Вирусная энциклопедия [hr] Смалл-Выводы: ...Если соответствующее обновление Windows не установлено, червь осуществляет закачку на компьютер своего файла-носителя MSBLAST.EXE. Этот файл затем регистрируется в секции автозагрузки системного реестра Windows и запускается... ...сколько в генерации огромного объема 'мусорного' трафика, переполняющего каналы передачи данных интернета... ...Размножается в виде файла с именем 'mblast.exe'... ...Наличие файла 'msblast.exe' в системном (system32) каталоге Windows... ...Сообщение об ошибке (RPC service failing) приводящее к перезагрузке системы... ...Используя уязвимость в Microsoft Windows 2000/XP, отправляет на 135 порт выбранного IP-адреса команды эксплойта DCOM RPC и запускает на удаленной машине командную оболочку 'cmd.exe'... ...при помощи команды tftp get, через 69 порт загружает себя на удаленную машину в системный каталог Windows и запускает на исполнение... Из данной информации, даже дураку понятно - к моему сайту/форуму это никоем образом не относится. Это относится только к интернету! А точнее к TCP/IP портам... И причем тут мой сайт? Не надо меня держать 'за дурака'. Я многое чего ломал... многое чего знаю : И еще раз кратко от себя: 1. Все получилось из за дырки в XP. 2. Ты запускаешь инет. 3. Червь (уже в памяти компа) начинает сканить трафик для выбора следующей жертвы (а если его нет в каталоге - создает свою копию для выполнения этой 'лумумбы без вазелина') 4. Сканируя трафик, находит 'соседний' уязвимый IP, шлет туда команду запуска на удаленке через эксплойт DCOM RPC файла cmd.exe. 5. Файл cmd.exe запускается, открывает для закачки порт, грузит с нета трояна и его запускает на исполнение. 6. Ты(он/она/они) заражены! Следовательно изначально, либо [А] тебя кто-то заведомо хакнул напрямую выследив твой IP, либо [Бэ] твой комп в момент присутствия в сети оказался с уязимой дырой этого самого XP, и чужой уже зараженный комп 'соседнего' IP (не зная об этом также), просканив тебя на наличие данной дыры запустил у тебя ... ну читай ранее, а то опять повторяюсь, блин! Думаю что случился план Бэ. МИНИ-ЦИТАТА Касперским вчера пролечил, ночью было все нормально. А сегодня захожу на форум, а Нортон начинает сообщать, что отловил вирус W32.msblaster.worm и успешно удалил его (ТРИЖДЫ!!!). МИНИ-ЦИТАТА И после лечения я не лазил вообще нигде, а как зашел сразу посыпались VIRUS ALERT МИНИ-ЦИТАТА Но после лечения я не лазил НИГДЕ!!! Значит и не вылечил! Биос вирусалерт выдает? Если 'да' - однозначно сноси/переставляй ось :( Троян сел в ядре операционки. Пришли мне файл (экзешник тот) по мылу... МИНИ-ЦИТАТА Что бы это значило? Это значит, что ты где-то (скачаная с нета прога, софт на дискете/cd, е-майл, хакерская атака + дыра в осе) хапанул этого троянца-червя, а обвиняешь в этом меня, т.к. обвинить больше некого! МИНИ-ЦИТАТА 4 часа копал ХРху, вычистил этого червя отовсюду, а комп перегружается. Я не виноват в том, что сейчас пошла мода на самую дырявейшую и всех семейств виндов - Вин ИксПи! Упрашивать ставить Вин 2000 я никого не собираюсь, но уверяю, что это самая наилучшая операционная система на сей момент. Хотя что я тут буду распинаться и говорить, если я не могу убедить человека в своей невиновности прямыми фактами и док-вами! МИНИ-ЦИТАТА Щас поставил заплатку на винду и вроде тихо. Дырки есть везде. Мой сайт и тем более форум не виноваты в огромной дырявости любимых вами програм. МИНИ-ЦИТАТА Нортон этого червя не убивает!!! Юзайте Касперского. w32.blaster.worm Касперскому не известен! И Нортон Антивирус, и Панда, и АВП (AVP) - гамно! Юзайте - Паутиныча (Dr.Web) и все бедет в порядке. Даже неполноценная демо-версия защищает комп намного рулезнее, чем остальное фуфло. Нужно (желательно) лишь раз в неделю апдейт антивирусных баз делать... МИНИ-ЦИТАТА Причем время создания этого файла на винте ВСЕГДА во время открытия страниц форума. МИНИ-ЦИТАТА А пришел червь с этого сайта- сужу по времени создания файла msblast.exe. КЛЕВЕТА! Извольте с... На сайте червя небыло, нет и не будет! Побойся... провокацией заниматься! Экзешник не может быть привязан к perl скрипту, HTML или JavaScript... хотя Ява-скрипты могут спровоцировать автозагрузку файла на хард без ведома пользователя 'откудато'. ЭТО ВАШИ ДЫРЫ! А вот скрипты такие я не вшивал в код борды! МИНИ-ЦИТАТА Если ж никто кроме меня червя не словил, тогда оччень странно: в 11:30 я был именно в форуме и нигде более. В том то и дело, что - 'никто кроме тебя'. Зато ты был в инете!!! На данный момент (я вижу у нас ничего не получается) только одно решение: Давай я сотру форум и сайт и живи себе спокойно! ...только вот будет уже поздно, тогда, когда ты обнаружишь, что этот червь 'привязался к другому сайту'! Гм...тем более что я собрался вскоре уходить. К сожалению, наверное, как это ни странно, ты ускоряешь мое решение! Клин вышибают клином... [1] Если до 20 августа проблема не решится - я буду вынужден закрыть форум на передел и перезалив нового скрипта борды. [2] Если до 31 августа проблема не решится снова - конференция уйдет в архив моего компа, а из сети будет вытерта 1 сентября.
2All: Публично приношу свои извинения, за то, что я такой подлец и гад, панить, под прикрытием форума, зас**л вам ваши любимые компьютеры! Ах, да... и за то, что я чмо такое три часа тут пытался доказать свою невиновность, теряя время запланированное для других целей. (получается что так) |
||
|
|||
john morgan |
14/08.2003 - 05:21
|
Дюранист Группа: VIP Сообщений: 2 036 Регистрация: 08/04.2003 Из: Владивосток Пользователь №: 17 |
DDfans
Я никого не обвиняю, и не пытаюсь дискредитировать. Я сообщаю об объективных симптомах. Если этот файл ВСЕГДА появлялся во время посещения форума, то я так и написал, чего ж выдумывать. Хотя как я понимаю дело не в наличии вируса на сайте, а в процессе авторизации, во время которого активизируется вирус. Сейчас, после установки заплатки (1,5 мб) все прошло само собой. Дыра захлопнулась. Рекомендую всем пользователям ХР скачать ее. Правда с вирусом на винте это превращается в боевик: нужно успеть ее скачать пока комп не перегрузился. А к 98 и МЕ винде возвращаться не вижу смысла. С мая юзаю ХР и нашел много преимуществ. ОФТОПИК: Не надо технические вопросы принимать так близко к сердцу, хоть это и является для тебя Главным Делом. Не все ж такие продвинутые програмёры как ты. Поменьше экспрессии. '... и пусть теперь я не читаю сказки, ЗАТО И НЮХАЮ, И СЛЫШУ ХОРОШО.' |
|
|
DDfans |
14/08.2003 - 12:50
|
Хранитель портала Группа: Hi-Tech Сообщений: 4 109 Регистрация: 27/11.2002 Из: Москва, Кунцево Пользователь №: 1 |
ELPRESIDENTE
МИНИ-ЦИТАТА стерлись все хранившиеся в нем сообщения Так я думал, что это ты его сам почистил :) МИНИ-ЦИТАТА пишет 'ошибка на странице Так яж тебя спрашиваю, кто пишет, что пишет... ПОДРОБНЕЕ!!! Недавно я малость переделал дизайн ящика. На его функциональность это 100%-но не влияет. Странно...почему глюк имел место быть. Возможно это 60кб размер файла месседжей и гейм овер... Пойду разбираться, т.к. вчера я не успел и вхолостую провозился с проблемой Моргана. Посмотри, у тебя такой же размер файла в исходящих. Они то открываются? blackriver МИНИ-ЦИТАТА мне как раз седня чел про это вирус-червь сказал Смотря чего сказал. У него есть другие варианты развития событий при заражении компов, в отличии от моих? Приведи его сюда... можбыть чего новое скажет? МИНИ-ЦИТАТА с тех пор сижу через 98ые Я тоже пользую 98, т.к. на 2000 не тянет комп. Была бы возможность апгрейднуться - был бы на 2000-ом. МИНИ-ЦИТАТА да ,появляется при входе на форум Мог и хостер словить вирусняк, но я за него не в ответе. Скрипт конфы - чистый! МИНИ-ЦИТАТА да и ваще если я форматну диск вирус пропадет или нет? Пока ты будешь диск форматить, я конфу прикрою :lol: Ты единственный по ходу дела, кто может пролить свет на все...этими действиями. |
|
|
john morgan |
14/08.2003 - 13:07
|
Дюранист Группа: VIP Сообщений: 2 036 Регистрация: 08/04.2003 Из: Владивосток Пользователь №: 17 |
blackriver
http://www.microsoft.com/technet/treeview/...in/MS03-026.asp Заходишь сюда, выбираешь свою систему из раздела Patch availability Download locations for this patch Дальше сам разберешься. |
|
|
Текстовая версия | Сейчас: 26/04.2024 - 06:25 |
© (1999)2002-2006 Duran Duran Russian Portal 1024x768 / True Color (32 бита) / IE5+ |
Любое использование материалов взятых с нашего ресурса возможно только при наличии активной ссылки на портал www.duranduran.ru! |
Русская версия Invision Power Board
v2.1.7 © 2024 IPS, Inc.
Лицензия зарегистрирована на: DDfans и К° |