Eforum, ett kapat IDG och stoppet

[Lars2W2]

I mitten av förra veckan så drabbades Eforum av en SQL-injektion som spred en uppgiftsdammsugare till de besökare som inte hade ett uppdaterat virusskydd. Sajten stängdes ett dygn eller så, och allt vi fick var en vit sida.

 

I fredags öppnade Eforum igen, men folk fick fortfarande malwarevarningar på varje sidladdning. En tråd i forumet 'Diskutera Eforum' avhandlade saken med snunsförnuftiga råd från bl.a chefredaktör Robert Brännström på IDG med en uppmaning om att virusscanna systemet. Detta långt inne i en tråd i forumet 'Diskutera Eforum'!

 

Ingen flaggning som alla kunde se förrän bland andra jag påpekade saken. Sen togs flaggan bort och kom upp igen. Interna stridigheter på IDG: Ska vi erkänna att vi inte har varit perfekta eller inte?

 

Striden verkar vara avgjord. Ingen flaggning skedde. Eforum kapades därpå, i lördags morse. Vid ca niotiden loggade jag in och såg en typisk phising där de skulle ha alla möjliga uppgifter om mig om jag skulle kunna skriva inlägg på Eforum.

 

Jäpp. Eforum tog en evig tid att läsa in och det vimlade av underliga internetadresser i underkanten av min läsare under tiden. Jag såg också att någon larmade om att Eforum var kapat och jag skrev själv en bekräftande notis med mina observationer.

 

Sen gick Eforum ner för 'Systemunderhåll' i fyra dagar. IDG.se var tysta och nu är Eforum uppe igen utan annat än ett par regimvänliga inlägg i just en tråd i Diskutera Eforum. Långt nere, faktiskt.

 

Fy i h*lv*te vad jag är besviken på IDG och Eforums sätt att hantera saken. Folk kan ha tagit skada av att ha besökt Eforum de här dagarna, men redaktör Brännström et concorties struntar väl i det.

 

Bara historien tystas ner.

 

[jannejanne]

Hmm. i ärlighetens namn har det faktiskt stått en del om det på idg.

http://www.idg.se/2.1085/1.155230

Såg i vanlig tidning nu under sista dagarna att det skett en förändring i sätten kapa datorer.

Sista tekniken är att infektera siter folk har förtroende för och sedan från dessa siter gå vidare mot de som loggar in.

 

Vilket betyder att den här kapningstekniken kommer vi se mera av.

 

Att man inte skriver något om det på eforum, direkt uppmanar folk att viruskolla sina datorer etc. beror antagligen inte på likgiltighet för de som loggar in

 

utan på att man inte har en aning om vad kaparna använde eforum till (hur angreppet mot inloggade datorer var upplagt och vad angriparna gjorde i dessa)

vilka operativsystem som tekniken via eforum kunde attackera osv.

 

utan enkelt uttryckt virusskannat och rensat eforumsystemet som på vilken dator som helst i forumet "Virus och antivirus"

Vilket jag har förståelse för.

 

[lizardKng]

Sista tekniken är att infektera siter folk har förtroende för och sedan från dessa siter gå vidare mot de som loggar in.

 

Kan du utveckla det lite? Betyder det att t ex NoScript är verkningslöst när man godkänt idg.se?

 

[ldt0]

Kan du utveckla det lite? Betyder det att t ex NoScript är verkningslöst när man godkänt idg.se?

 

Har aldrig använd NoScript, men om det fungerar så att man genom att godkänna idg.se även godkänner samtliga underdomäner så är ju svaret tyvärr ja.

 

[Cecilia]

I den här attacken så hade de fått in kod som försökte köra ett javascript som låg på en server i Kina med ett helt eget domännamn så det skulle krävas ett helt eget godkännande i NoScript för att javascriptet där skulle utföras.

 

[ldt0]

Hmm. i ärlighetens namn har det faktiskt stått en del om det på idg.

http://www.idg.se/2.1085/1.155230

Tycker detta är alldeles för lite, det borde framgå direkt på eforum.idg.se vad som hänt och vilka åtgårder användare bör ta.

 

 

Att man inte skriver något om det på eforum, direkt uppmanar folk att viruskolla sina datorer etc. beror antagligen inte på likgiltighet för de som loggar in

 

utan på att man inte har en aning om vad kaparna använde eforum till (hur angreppet mot inloggade datorer var upplagt och vad angriparna gjorde i dessa)

vilka operativsystem som tekniken via eforum kunde attackera osv.

Nu är jag ingen expert, men nog hoppas jag att IDG har möjlighet att kunna kontrollera vilken typ av attacker och vilka ev. exploits i diverse OS och webbläsare som utnyttjats, detta är ju väldigt viktigt att få fram för att veta vilka som drabbats.

 

utan enkelt uttryckt virusskannat och rensat eforumsystemet som på vilken dator som helst i forumet "Virus och antivirus"

Vilket jag har förståelse för.

Nog hoppas jag att de gjort mer än en virusscanning. Om det t.ex. var en riktad attack så hjälper inget virusprogram.

 

 

Tycker hursomhelst att detta är väldigt dåligt hanterat av IDG, om det inte styrs upp omgående med klar information på eforums förstasida om vad som hänt, och gärna även med så detaljerad information som möjligt om attacken så kommer iaf jag att sluta besöka detta forum. Jag har en känsla av och hoppas på att jag inte är den enda som känner så här.

 

[lizardKng]

ldt0, Cecilia, tack för svaren båda två men det var ju som sjutton att de är helt motsägande...

 

[Cecilia]

Ingen flaggning som alla kunde se förrän bland andra jag påpekade saken. Sen togs flaggan bort och kom upp igen. Interna stridigheter på IDG: Ska vi erkänna att vi inte har varit perfekta eller inte?

Det stämmer inte med verkligheten. JoGi skrev en förklaring i den tråden där frågan var uppe, tyvärr så var det ett av de inlägg som var nödvändiga att ta bort för att vara säker på att man inte hade en infekterad databas. Men jag råkar ha kvar en kopia:

Jag märker att inte jag heller ser den på hemmadatorn.

Och jag ser att orsaken är att en av frontarna inte har uppdaterat korrekt.

Ska be jouren återgärda det.

Skrev JoGi i fredags 17:48.

 

Det här var texten i rutan:

Eforum utsattes tidigare i veckan för en attack. Om du vet med dig att du besökte Eforum mellan 19 och 22 onsdagen den 2/4 uppmanar vi dig att virusskanna ditt system med den senaste virusuppdateringen.

Läs mer här: //eforum.idg.se/viewmsg.asp?EntriesId=1044837#1044894

 

Jag vet att åtminstone Antivir och AVG Classic reagerade på Eforum-sidor med varningar.

 

[ldt0]

Alltså det hela beror ju på från vilken site javascriptet kördes. Cecilia har nog mer detaljer om attacken än jag, och är det som hon säger att själva scriptet låg på någon server i Kina så kan det inte köras om du inte även godkänt den siten/domänen. Låg scriptet på eforum.idg.se så kan det ju dock köras.

 

[Cecilia]

Jag har använt NoScript länge. Skriptet i det här fallet låg inte på en underdomän till idg.se utan på nmidahena.com så det blev inte godkänt bara för att man hade godkänt idg.se.

 

Däremot så kan man kanske tänka sig andra intrång där man lyckas få in hela skriptet på den aktuella webbplatsen så att det inte blir någon skillnad mot all annan kod på webbplatsen.

 

[Cecilia]

Utifrån det som andra har skrivit så drar jag den slutsatsen att det är datorer där Internet Explorer har använts som kan ha blivit drabbade utifall att deras antivirusprogram och liknande inte har reagerat på det som hände.

 

Folk som har blivit drabbade (i ett fall för att man inte brydde sig om varningen från antivirusprogrammet) har beskrivit det som att en väldig massa aktivitet på hårddisken och en CPU-användning som gått i taket, så man bör ha märkt det.

 

Jag vet att jag i ett inlägg i en tråd om attackerna skrev att folk som hade märkt något skulle skriva ett inlägg i Eforums virusforum för att få datorn kontrollerad.

 

[ldt0]

Frågan är ju om det var fler attacker än scriptet från den kinesiska siten? En sökning på domännamnet på google visar ju att det finns mängder med svenska och andra siter som är infekterade och pekar på samma javascript, så det är en välkänd attack och då räcker det rimligen med att fullt patchat os och webläsare för att skydda sig. Jag är mer orolig för om det även skett andra typer av attacker.

 

[Cecilia]

då räcker det rimligen med att fullt patchat os och webläsare för att skydda sig.

Nej.

 

[ldt0]

Jag finner det ganska otroligt att de skulle sitta på något okänt och hittils opatchat 0-day exploit. Särskilt som virusprogrammen känner till det, då borde ev. hål i webbläsaren rimligen blivit patchade. Kollar man på t.ex. Secunia så finns det heller inget hål som är opatchat.

 

[inlägget ändrat 2008-04-10 09:47:34 av ldt0]

[Cecilia]

Behövs det verkligen någon säkerhetshål för att få Internet Explorer att utföra ett javascript som laddar ner en fil?

 

Jag ska fråga den som jag vet fick ner filer i datorn om han/hon är villig att skriva lite om vad som hände.

 

[inlägget ändrat 2008-04-10 09:57:53 av Cecilia]

[ldt0]

Behövs det verkligen någon säkerhetshål för att få Internet Explorer att utföra ett javascript som laddar ner en fil?

Självklart behövs det ett säkerhetshål för att utföra det. Min gissning är ju att de som blivit infekterade sitter på opatchade burkar alternativt klickat ok/ja när den bett om att få ladda ner / köra något program från en länk.

 

Sedan finns ju givetvis möjligheten att de utnyttjat något säkerhetshål som är okänt och opatchat, men det är väl högst otroligt.

 

[lizardKng]

OK, tack

 

[Cecilia]

alternativt klickat ok/ja när den bett om att få ladda ner / köra något program från en länk.

Det skulle jag tro mer på i de fall jag har hört om. Eller om det räcker att säkerheten i Internet Explorer är för lågt satt.

 

[Johan.L]

Jag vet att åtminstone Antivir och AVG Classic reagerade på Eforum-sidor med varningar.

NOD32 2.7 reagerade direkt på min dator när jag besökte eforum, så de som använder det och inte fått några varningar kan ju känna sig säkra.

 

[lizardKng]

Intressant, kör du IE eller FF?

 

Jag kör FF och Nod32 och fick aldrig några varningar.

 

[Cecilia]

Nu har det kommit upp en ny ruta på första-sidan med lydelsen:

 

Eforum utsattes under förra veckan för attacker. Om du vet med dig att du besökte Eforum mellan 19 och 23 onsdagen den 2/4, fredagen den 4/4 mellan 17.45 och 18.15 eller på morgonen lördagen den 5/4 samt i samband med det märkte något ovanligt uppmanar vi dig att virusskanna ditt system med den senaste virusuppdateringen och därefter skriva ett inlägg i vårt antivirusforum //eforum.idg.se/threads.asp?forumId=175 för kontroll.

 

Läs mer här: //eforum.idg.se/viewmsg.asp?EntriesId=1044837

 

[Zipp.]

 

Jag fick 5-6 varningar av Antivir men tänkte att det måste vara fel flagg och valde ignorera på alla.

Fick in en elaking = C:\WINDOWS\MicroSoft.pif

 

[Cecilia]

Tror du att du har något säkerhetshål i datorn som ldt0 anser krävs?

 

[Cluster]

Det skript som faktiskt lades in på eforum anropade ett annat skript (på den kinesiska domän som Cecilia angett ovan). Detta skript laddade i sin tur in en iframe i eforum som i sin tur laddade ett flertal sidor med angrepp mot kända säkerhetsluckor i realplayer, flash, java och internet explorer.

 

När jag besökte eforum med patchat system (Vista) och FF (adblock men ej noscript) så kördes inget av dessa. När jag med samma system använde IE för att besöka eforum så varnade Avast! för malware.

Efter detta har kört igenom datorn med allehande onlinescanners, anti-malware/spyware program och inte lyckats hitta minsta spår av några otrevligheter.

 

/Cluster

------------------------------------------------------------

Ditt vetande är värdelöst om inte andra vet att du vet

-----------> http://eforum.kicks-ass.net <------------

 

[Zipp.]

 

Inte vad jag vet