Total Security

[risto]

Ongelman jäljittäminen käynnissä parhaillaan..

Pitäisin nyt todennäköisempänä että kavereilla on virus kuin että tuo käyttäytyminen olisi johtunut tästä saitista.

Ei kyllä ole, palomuuri kunnossa ja virustorjunta aina aktiivinen. Lisäksi tuo Kaifunin kanssa samaan aikaan tapahtunut ilmiö olisi epätodennäköinen ja muista topikin alkuperäinen viesti.

[Juho]

Sivuston phpinfo ja foorumin koodi on nyt tsekattu, enkä nyt ainakaan tällä hetkellä huomannut mitään poikkeuksia. Jos huomaatte epämääräisiä liitteitä tai selaimenne antaa varoituksen asennettavasta lisäosasta tjsp., pyytäisin teitä laittamaan viestiä tähän ketjuun.

Voisitteko te, joille kyseinen varoitus on tullut, kertoa virus-/palomuuriohjelmanne ja selaimenne tiedot? Lisäksi samaan aikaan avoinna olleet sivut voisivat auttaa ongelman jäljittämisessä.

[klezberg]

Ei kyllä ole, palomuuri kunnossa ja virustorjunta aina aktiivinen. Lisäksi tuo Kaifunin kanssa samaan aikaan tapahtunut ilmiö olisi epätodennäköinen ja muista topikin alkuperäinen viesti.

Siitä huolimatta. Palomuurilla ei ole juurikaan vaikutusta tähän. Se estää ulkopuolisten pääsyn koneelle oma-aloitteisesti ja asetuksista riippuen saattaa estää jo asentuneiden haittaohjelmien oma-aloitteiset yhteydenotot koneelta ulospäin.

Virustorjuntakaan ei ole sataprosenttisen varma, ikävä kyllä. Minulla löysi yhdeltä koneelta siellä vuosikausia majailleen saastuneen ohjelman.

Alkuperäisessä viestissä en näe muuta kuin että virus on ilmoitellut itsestään kun käyttäjällä on ollut tämä sivu auki.

[klezberg]

Tämä ketju siirrettiin siis Sohvalta tänne avoimesti näkyvälle alueelle. Voi kysyä onko sellainen ihan asiallista.

[risto]

- IE8 ver. 8.0.6001.18702
- Palomuuri MS ja Automatic updates, eli hakee itse päivitykset säännöllisesti.
- Elisa Tietoturvapalvelu (F-secure) 8.01 build 129

F-Secure Anti-Virus 8.10 build 14490
F-Secure Automatic Update Agent 8.23 build 2876
F-Secure User Interface 7.26 build 1300
F-Secure ISP News 1.00 build 127
F-Secure Management Agent 7.80 build 12726
F-Secure Internet Shield 6.20 build 146
F-Secure Email Scanner 6.00 build 397

[Viljo]

Tämä ketju siirrettiin siis Sohvalta tänne avoimesti näkyvälle alueelle. Voi kysyä onko sellainen ihan asiallista.

- Ketju ei sisällä henkilökohtaisuuksia
- Ketjun sisältö käsittelee foorumilla ilmennyttä ongelmaa
- Postilaatikko-alue käsittelee ketjussa mainittuja ongelmia

En näe mitään syytä, miksi topici olisi ollut väärässä paikassa tämän pidempää.

[klezberg]

Tämä ketju siirrettiin siis Sohvalta tänne avoimesti näkyvälle alueelle. Voi kysyä onko sellainen ihan asiallista.

- Ketju ei sisällä henkilökohtaisuuksia
- Ketjun sisältö käsittelee foorumilla ilmennyttä ongelmaa
- Postilaatikko-alue käsittelee ketjussa mainittuja ongelmia

En näe mitään syytä, miksi topici olisi ollut väärässä paikassa tämän pidempää.

Keskustelu koskee sekä tämän foorumin että sen käyttäjien henkilökohtaista tietoturvaa. Minulla on kenties tiukempi seula noiden asioiden osalta. Kirjoittaessani ketjuun panin merkille että oltiin Sohvan alla, ja kirjoitin sen mukaan.

Edit: Mutta eipä tässä mitään. Tehän tätä foorumia ylläpidätte. Pitää nyt vain jatkossa suhtautua Sohvaan kuin mihin tahansa alueeseen.

[risto]

Taas sama juttu, täältä se tulee. Nyt kone skannauksessa. Tässä näkymiä:

[risto]

Tässä toinen kuva

[risto]

Huomatkaa mitä message box ikkunan vasemmassa yläkulmassa lukee kuvat 2 ja 4: Message from webpage. Kuvassa 3 näkyy minkälaiseksi mössöksi tämä sivusto muuttuu, tai ainakin taustaväristys häipynyt.

EDIT: sitä sun tätä

[klezberg]

Kummasti kuitenkin vaikuttaa tältä:
http://www.pctrojan.com/content/255-total-security-and-pavexe

[risto]

Kummasti kuitenkin vaikuttaa tältä:
http://www.pctrojan.com/content/255-total-security-and-pavexe

Kohtahan se nähdään, kun skannaus lopettaa, tosin ttavaraa on aika paljon joten aikaa menee. Pelkkä tiedostohaku ei löytänyt mainittua exe:ä.

Osaavalle ei varmaan ole ongelma pyöräyttää nettisivulta käyntiin scripti joka näyttää nuo messaget ja saa erehtyväisen klikkaamaan väärää nappia ja lataamaan oikean exe:n jolloin sitten alkavat todelliset ongelmat.

[klezberg]

Kohtahan se nähdään, kun skannaus lopettaa, tosin ttavaraa on aika paljon joten aikaa menee. Pelkkä tiedostohaku ei löytänyt mainittua exe:ä.

Ota huomioon sekin vaihtoehto että skannerisi ei tunnista tuota. Tiedot netissä viittaisivat siihen että tuon poistaminen on vähän mutkikkaampi homma.

Osaavalle ei varmaan ole ongelma pyöräyttää nettisivulta käyntiin scripti joka näyttää nuo messaget ja saa erehtyväisen klikkaamaan väärää nappia ja lataamaan oikean exe:n jolloin sitten alkavat todelliset ongelmat.

Jos nuo tulisivat nettisivuilta, ne näkyisivät muillakin, ja niistä näkyisi jälkiä kun katsoo mitä webbisaitti selaimella on lähettänyt.

Virukselle ei ole myöskään mikään ongelma avata popup jossa lukee "message from webpage" ja sotkea vähän auki olevan webbisivun css-määrittelyjä.

[risto]

Kohtahan se nähdään, kun skannaus lopettaa, tosin ttavaraa on aika paljon joten aikaa menee. Pelkkä tiedostohaku ei löytänyt mainittua exe:ä.

Ota huomioon sekin vaihtoehto että skannerisi ei tunnista tuota. Tiedot netissä viittaisivat siihen että tuon poistaminen on vähän mutkikkaampi homma.

Toki. F-Securelta ei ole tullut tiedoitetta asiasta ja viimeisin viruspäivitys tapahtui lauantaina. Tämähän on jo vanha topikki, eli asia on ollut tiedossa. Mikään ei tietenkään ole 100%.

Osaavalle ei varmaan ole ongelma pyöräyttää nettisivulta käyntiin scripti joka näyttää nuo messaget ja saa erehtyväisen klikkaamaan väärää nappia ja lataamaan oikean exe:n jolloin sitten alkavat todelliset ongelmat.

Jos nuo tulisivat nettisivuilta, ne näkyisivät muillakin, ...

Nehän näkyvätkin. EDIT: ainakin joillakin. Ota huomioon, että jos se tulee täältä tekijä on voinut laittaa hyökkäykset sattumanvaraisiksi tai perustumaan johonkin muuhun tietoon niin, että tilanne ei tule heti julki (mikä tapahtuisi heti jos se tulisi kaikille).

Millään muulla saitilla ei tule näitä ainakaan minulle, vaikka käyn säännöllisesti kolmella muullakin SMF sitellä.

[olli]

Näyttääpi menevän "ammattilaisten" tietokonekeskusteluksi.  En kaikkea terminologiaa ymmärrä.  No avastin Riston kuvia ja viimeisellä kone rupesi tekemään omiaan.  Saatoin painaa väärää nappulaakin.

[risto]

Älkää nyt hyvät ihmiset ryhtykö vainoharhaisiksi . Pidän koneeni puhtaana kuin vauvan pylly minulta ei tule mitään viruskia jos kotimaiseen F-Secureen voi luottaa.

Vaihdoin vielä IP osoitteen, jos hyökkäysten kohteen valinta vaikka perustuisi siihen...

Ja skannaus ei löytänyt mitään...

[klezberg]

Nehän näkyvätkin. EDIT: ainakin joillakin. Ota huomioon, että jos se tulee täältä tekijä on voinut laittaa hyökkäykset sattumanvaraisiksi tai perustumaan johonkin muuhun tietoon niin, että tilanne ei tule heti julki (mikä tapahtuisi heti jos se tulisi kaikille).

Onhan tuo teknisesti mahdollista, mutta edellyttää että joku on päässyt sorkkimaan itse palvelun koodia, ei vain sisältöä (muuten tuo selektiivisyyden toteuttava koodi näkyisi täältäkin kun katsoo mitä selain serveriltä saa). Ja tekijän olisi tosiaan pitänyt ohjelmoida siihen tuommoista selektiivisyyttä.

Sekin mahdollisuus tässä on, että oli haittaohjelma toteutettu miten tahansa ja ujutettu minne tahansa, se jotenkin perustuu nimenomaan IE:hen.

Muuten, ip:n vaihtamisen lisäksi nollaapa cookiet, siis evästeet. Sehän on tavallisin tapa tunnistaa käyttäjän pysyminen samana.  

Millään muulla saitilla ei tule näitä ainakaan minulle, vaikka käyn säännöllisesti kolmella muullakin SMF sitellä.

Tuossa on tietysti pointtia.  

Edit: Semmoinenkin vaihtoehto tuli mieleen, että joku onnistuisi pääsemään selaimen ja webbisaitin väliin, siis käytännössä reitittämään paketit oman proxyn kautta ja lisäämään sinne roskaa. Tuo tarkoittaisi että dns saataisiin osoittamaan väärään serveriin joka sitten välittäisi pyynnöt oikealle serverille. Oikealla serverillä kaikki näyttäisi ehjältä. Tuo pitäisi näkyä http-headereissä ja myös vertaamalla käyttäjille näkyvää palvelun ip-osoitetta todelliseen.

Edit2: Piti nyt tätäkin katsoa. Täältä katsottuna traceroute vapaalehdykka.net (jonka pitäisi esim. paljastaa jos paketit reitittyvät ihan väärään maahan) antaa:

traceroute to vapaalehdykka.net (77.240.25.10), 64 hops max, 40 byte packets
1  gw.htoyryla.dyndns.org (192.168.1.1)  20.061 ms  0.554 ms  0.454 ms
2  heltli1.fi.elisa.net (88.112.0.1)  8.272 ms  6.504 ms  6.282 ms
3  xe3-1-0.heltli-p2.fi.elisa.net (139.97.6.221)  39.177 ms  5.039 ms  5.398 ms
4  * * *
5  * * *
6  * * *
7  * * *
... eli jostain syystä reittiä ei näytetä. Tuo panisi epäilemään, mutta...

Tuo osoite 77.240.25.10 kuitenkin kuuluu suomalaiselle Smilehouse Oy Datamappi Webhotel. Joten dns-kaappauksesta ei taida olla kysymys. Muitakin keinoja päästä väliin toki on.

Edit3: Http-headereissa ei myöskään näy mitään merkkejä kierrätyksestä. Voisit Risto ehkä katsoa mitä tuo traceroute sinulle antaa, muistaakseni windowsissa komentoriville 'tracert www.vapaalehdykka.net', nähdään tuleeko sama ip ja millaisen reitin näyttää.

Edit4: Nebulalta päin katsottuna (edellinen oli kolumbuksesta päin) traceroute näyttää vähän pitemmälle, ip on kyllä sama.

[Viljo]

Tuo osoite 77.240.25.10 kuitenkin kuuluu suomalaiselle Smilehouse Oy Datamappi Webhotel. Joten dns-kaappauksesta ei taida olla kysymys. Muitakin keinoja päästä väliin toki on.

Datamappi on Vapaalehdykän webbihotelli. Osa Louhi.net -yritystä.

[risto]

Voisit Risto ehkä katsoa mitä tuo traceroute sinulle antaa, muistaakseni windowsissa komentoriville 'tracert www.vapaalehdykka.net', nähdään tuleeko sama ip ja millaisen reitin näyttää.

Tota, mä oikestaan kumarran ja kieltäydyn, kun en yksinkertaisesti jaksa. Pitäisi päästä lähettämään lasku kaikille niille, jotka töikseen kiusaava meitä näillä älyttömillä jutuilla.

[klezberg]

Tuo osoite 77.240.25.10 kuitenkin kuuluu suomalaiselle Smilehouse Oy Datamappi Webhotel. Joten dns-kaappauksesta ei taida olla kysymys. Muitakin keinoja päästä väliin toki on.

Datamappi on Vapaalehdykän webbihotelli. Osa Louhi.net -yritystä.

Jep, oli kyllä ilmeistä että tuo lienee oikea paikka. Kunhan rupesin selvittelemään, kun Risto käsittääkseni pitää serveriä ongelman lähteenä, ja tuommoinen kolmannen osapuolen mahdollisuus on olemassa.

Silti kiinnostaisi tietää mitä tuo tracert Ristolle antaa, koska dns-systeemi on hajautettu ja ainakin tilapäisesti eri käyttäjät voivat saada eri osoitteita.