Добавлено: 08/09/04 в 15:16

коллеги, кто использует их скрипт http://icoocash.com/js/Get10LastDvdInfo.js - проверьте с пристрастием.
я нашел там ифрейм, из которого грузятся непонятные екзешники вот с этого IP: 195.225.177.14

Последний раз редактировалось: fil (08/09/04 в 23:03), всего редактировалось 1 раз

Добавлено: 08/09/04 в 17:52

пальцем, логи, доказательства

а если серьезно, проверься касперским, какая то фигня видать сидит типа https://www.master-x.com/forum/topics/29294/

Добавлено: 08/09/04 в 18:19

Wad, я бы и сам рад ошибиться. И в первую очередь подумал, что это я какую-то дрянь поймал. А потом проверил через
Trader's Checker
http://www.freeolders.com/checker.php?mode=simple
И вот скрин:
http://www.terra.es/personal6/liveshows/exploitScreen.jpg

Добавлено: 08/09/04 в 18:35

в данный момент в http://icoocash.com/js/Get10LastDvdInfo.js ифрейма нет. У тебя сохранился скрипт, где был ифрейм?
На IP-шнике действительно троян

Добавлено: 08/09/04 в 18:46

Фил, убей меня но я ничего не вижу... проверил на сервере дата создания яваскрипта совпадает с кроном(скрипт у нас раз в сутки генерится автоматом), в логах серверных ничего не нашел подозрительного, смотрю дальше...
Еще есть кто видел/видит эксплойт? Скриншот внушает доверие... и вполне возможно что что-то нечисто, но я пока не вижу. Да и почему в аське не отвечаешь?

Вообще у нас в разработке идея агрессивной рекламы в лоадере, ппс там диалеры и прочее хотим добавить для вебмастеров опционально дабы поднять доход адвертам.. а в идеале платить за даунлоады дополнительно. Но оно еще не готово, и х.з. когда запустим эту штуку.

Добавлено: 08/09/04 в 18:49

Все равно наш лоадер постоянно сомнения вызывает у людей и его трояном называют типа как тут http://www.by-users.co.uk/forums/?board=help&action=display&num=1085918311

хотя на данный момент назвать лоадер трояном имо сложно

Добавлено: 08/09/04 в 18:59

Поиск на boardtrackere о подобной проблеме дал 0 результат.
У нас сейчас порядка 2.5К активных адвертов из которых 80% иностранцы (всегда пожалуйста за полезную инфу )
Думаю что еслиб было что-нить такое, то ты фил был бы не один с подобным заявлением.

Добавлено: 08/09/04 в 23:02

Wad, да я и сам не поверил ни своим глазам, ни даже этому скриншоту, но и через http://web-sniffer.net/ получил тот же результат. И тоже не могу поверить в то, что он показал. Ибо лично с Вами встречался, и просто ЗНАЮ, что вы такого не стали бы делать. Не может кто-то из вашей команды творить что-то такое?
Vad, скрипт, где был ифрейм сохранился. А так же все последующие скрипты, их хедеры, екзешники и все сопутствуещее. Там, кстати, упоминаются master-x.com, crutop.nu и некоторые другие вебмастерские борды. Я не стал пока разбираться, в каком контексте.
Хроника такая:
Зашел я на свой сайт. Каспер сказал, мол, скрипт хуевый хочет отработать. Я ему запретил. посмотрел активные окна, проверил подозрительные скрипты через web-sniffer.net и нижеупомянутый Trader's Checker. Именно http://icoocash.com/js/Get10LastDvdInfo.js дал "положительный" ответ. Я поменял IP. Тут же скачал этот Ява-скрипт FlashGet-ом с icoocash.com. Ифрейм там. Стукнулся к Wad-у - его нет на месте. Стукнулся в аську саппорта. Саппорт, понятное дело, говорит, что все в поряде. Отпостил тут, чтобы народ пробил эту тему. Сейчас в том скрипте ничего лишнего.

PS. Пожалуй, название топика сменю слегка, ибо сам в шоке

Добавлено: 09/09/04 в 12:12

Фил, пришли все что нашел (скрипты хидеры) и пр. в мыло мне плиз, а также точную дату и время, и желательно айпи с которых смотрел, язык браузера, страна и пр. В асе тебя не вижу, потому здесь
wad (сабака) icoosoft.com

Вообще тема интересная, у нас на этот скрипт почти полтора ляма запросов в сутки

Добавлено: 09/09/04 в 15:50

Все отправил.

Wad писал:

Вообще тема интересная, у нас на этот скрипт почти полтора ляма запросов в сутки

Тема не просто интересная. Можно сказать сладкая тема.

Добавлено: 12/09/04 в 21:26

И чем все кончилось? Три дня уже ничего не писали? Ато у меня тоже этот скрипт на некоторых сайтах висит.