Forum Wyprzedź Mnie!

Witam. Gdy wchodzę na portal, to program antywirusowy informuje mnie o próbie ataku mojego komputera. Dzieje się to za każdym razem gdy włączę stronę. Czy możecie coś z tym zrobić?

U mnie nic takiego nie występuje. Jakiego masz antywirusa?

Pewnie noda...

No to u mnie NOD 32 z bazą 4019 nie wykrywa nic

No a mi co jakiś czas tak

Podajcie może jakieś szczegóły, co Wam wypisuje antywirus i w jakim pliku znajduje niby tego konia - może dam radę jakoś przebudować używane przez serwis skrypty javy, bo pewnie w którymś z nich to wykrywa. Ja mam w domu dwa kompy z różnymi antywirusami (avast i avguard) i żaden nic nie wykrywa.

Mi się nie zawsze wyświetla, tylko czasami, jak tylko pojawi się ponownie to zrobię screen'a

smylas napisał(a):tylko czasami

W takim razie z dużym prawdopodobieństwem chodzi o którąś z reklam, a w takim przypadku nie ma mowy o błędzie ze strony f1wm...

misiakow napisał(a):No to u mnie NOD 32 z bazą 4019 nie wykrywa nic

A u mnie ten sam wykrył

Jak się przyda to ja mam takie coś:

Kod: Zaznacz cały

koń trojański
Data: 2009-04-19 06:45:37   
Skaner: Ochrona protokołu HTTP   
Obiekt: plik   
Nazwa: http://xaa.pl/suspended.page/   
Zagrożenie: HTML/Iframe.gen

Hmmm, avast też się rzuca na tą stronę. Coś jest z nią nie tak na pewno, ale od Marka to nie zależy.

Krzyhoo napisał(a):A u mnie ten sam wykrył

Jak się przyda to ja mam takie coś:

Kod: Zaznacz cały

koń trojański
Data: 2009-04-19 06:45:37   
Skaner: Ochrona protokołu HTTP   
Obiekt: plik   
Nazwa: http://xaa.pl/suspended.page/   
Zagrożenie: HTML/Iframe.gen

Dokładnie to samo jest u mnie.

ze strony wrcrally.xaa.pl jest przekierowanie najpierw (ukryty iframe) na jeden chiński serwer (.cn) a on poprzez nagłówki HTTP na kolejny (też .cn). Ustawiane są jeszcze ciasteczka. Najprawdopodobniej ten ostatni zaraża, albo następują jeszcze kolejne przekierowania. Ja dalej nie doszegłem - najprawdopodobniej rozpoznano, że nie używał Internet Explorera, ani nawet Windowsa. Jak drugi raz próbowałem pobrać stronę, to jej zawartość miała rozmiar 0kB - najprawdopodobniej zapamiętują adres IP i drugi raz tego samego kompa nie atakują. Zapewne po godzinie blokada powinna zostać zniesiona - tak zazwyczaj się dzieje, nie pamietają IP "na zawsze".

Antywisrus oczywiście nie rozpoznaje tej ostatniej strony, tylko którą z pośrednich, która do serwowania kolejnego iframe'u używa "zaobfuskowanego" javascriptu - to własnie ten javascript jest rozpoznawany przez AV za zagrożenie.

Proszę zachować ostrożność, jeżeli używacie Windowsów (nie mam pewności, czy ostateczny exploit atakuje IE czy Firefoxa). Użytkownikom FF polecam NoScript .

PS: Oczywiście to nie jest wina F1WM, tylko reklam lub innych tego typu linków (wymiana bannerów). Problemem jest podlinkowany u nas wrcrally.xaa.pl, a nie f1wm.pl.

WRCRally.pl zmieniło ostatnio serwer na nowy, a te przekierowania wprowadził dostawca byłego serwera firma proserwer.pl. Wchodząc przez adres http://www.wrcrally.pl wszystko jest okey. Tylko nie wiem skąd wy macie w bannerku adres z końcówką xaa.pl, jak od początku używaliśmy wrcrally.pl.

No więc nie wiem w czym rzecz, bo u nas nigdzie nie ma podanego linku do wrcrally z końcówką xaa.pl. Jest tylko www.wrcrally.pl i button też jest podlinkowany z domeny www.wrcrally.pl. No chyba że to pojawia się w boksach reklamowych google (jeśli macie teraz kampanię w google adwords i podaliście adres z .xaa.pl).

Serwis WRCRally.pl, którego button znajduje się na F1WM!, zmienił serwer, z czym wiąże się zmiana serwerów nazw dns dla domeny. U niektórych użytkowników z jakiś przyczyn domena dalej działa pod starymi dns, przez co wyskakują alerty antyvirów ze strony xaa.pl, starego hostingu serwisu wrcrally.pl. Napiszę w tej sprawie do dostawców domeny, czemu niektórzy mają dalej stare dns-y domeny. Na razie aktywowałem stary serwer, żeby nie było alertów.

Wina nie stoi absolutnie po stronie F1WM! Również sam serwis WRCRally.pl nie działał celowo w sprawie tych wirusów. To jest jakiś problem techniczny między niektórymi dostawcami internetu i obsługą domeny wrcrally.pl.

Oczywiście jako administrator WRCRally.pl za wszelkie problemy przepraszam.