ПРОБЛЕМИ СВЪРЗАНИ С ФОРУМА

**panoneca** · 24.11.2016, 09:03

И при мен също, на мобилен телефон. Долу-горе също три дни

**Mateev** · 24.11.2016, 09:12

На коя от страниците на форума излиза това съобщение?

Питам, защото проблема може да не е в сървъра на форума, а в някой от линковете, който някой от вас е пуснал на някоя страница. Може да е в някой от файловете, които някой от вас е качил.

При всички случаи моята антивирусна програма нищо не хваща. А говорим за професионалната версия на Microsoft System Center Endpoint Protection. Това е професионалния продукт, който го ползват всички бизнес-фирми по целия свят. Не говорим просто за антивирусна защита, а за ГЛОБАЛНА ЗАЩИТА на фирмената мрежа по всички входни точки за достъп - мейли, TCP портове, файлове, дискове, WEB сайтове и всичко, което можете да си го помислите.

В момента за всеки случай правя FULL SCAN, но той ще отнеме часове наред, защото файловете на сървъра са милиони.

**tsc1** · 24.11.2016, 09:42

Това не е вирус. Моите антивирусни също си мълчат. Предположението ми е, че най-вероятно нещо се е омазало в софтуера на форума. Май плаче за преинсталиране.

**Mateev** · 24.11.2016, 10:05

Спокойно - открихме го. До 1 час ще го оправим.

Не е вирус, а CROSS SITE REDIRECT, и не се намира във файловете, а в базата с данни. Затова антивирусната ни програма не го е хванала.

Накратко - това представлява един хиперлинк, който се опитва да пренасочи вашите браузъри към други WEB сайтове - например с порно съдържание. Повечето браузъри автоматично блокират този cross-site redirect, и затова никой нищо не е разбрал до момента. Google Crome също го блокира, но иска да се похвали, че го е направил това.

Затова и само някои хора от форума виждат предупреждението.

Пробива на секюритито на форума е станало посредством някакъв Exploit (бъг), който съществува в нашата версия на форума, и който е бил използван от някой хакер, за да получи достъп до базата данни и да вкара в нея линкове към външни сайтове. Това е.

В момента ИТ отдела се занимава с разследване дали нещо друго не е променено, после ще има почистване, и след това ще поправим секюритито, свързано с този Exploit. Това е всичко. Можете да продължите спокойно да работите с форума, като в най-лошия случай може да видите някоя гола мацка как позволява да и завират разни неща във всички възможни дупки.

**tsc1** · 24.11.2016, 14:00

Искам да използвам случая и да обърна внимание на следното:
Освен вирусите, съществуват и други видове зловреден софтуер. Това най-често са шпионски програми и такива, които да ви прехвърлят към други сайтове, да ви изкачат разни прозорци с рекламно съдържание и други подобни. Някои от тях се ловят от антивирусния софтуер, други - не. За тях има специален софтуер за откриване, унищожаване и за имунизиране на вашата система срещу ново инсталиране. Една такава програма, която ползвам и е безплатна е Spybot-Search&Destroy. Горещо препоръчвам всеки да си я изтегли, инсталира и периодично да я пуска. По повод този случай я пуснах и независимо от двете антивирусни, които ползвам излови и почисти 3 троянеца и доста друг по-дребен боклук.
Може да се изтегли от тук: http://www.itninews.com/news.php?readmore=2458

**Mateev** · 24.11.2016, 15:24

А пък аз искам да предупредя всички собственици на форуми, които използват софтуера на vBulletin. Историята е следната. В част от версиите на софтуера, сред която е и нашата версия, има някакъв Exploit, от които са се възползвали някакви хакери. Това се е случило още през 2013-та година. Хакерите са написали робот, който е пресканирал интернет и е заразил милиони сървъри по света, включая и сървъра на самите разработчици на vBulletin. След това са го оставили този техен софтуер неактивен години наред, което е и причината нито една антивирусна програма по света да не научи за него.

На практика в десетки милиони сървъри по света има оставена отворена задна вратичка, която тези хакери могат да я използват за собствени нужди когато си поискат. В нашия сървър такава вратичка е имало още от 2013 г., но чак преди 3 дена хакерите са решили да я използват, слагайки в базата с данни хиперлинкове към разни външни сайтове с цел печалба. Например към порно сайтове, с които те са сключили договор да им доставят клиенти, или към сайтове, които плащат на някого да им направи трафик към тях.

Тази история е описана в Интернет на сайта на vBulletin, и ако вашия форум е със същия софтиер, значи и вие сте заразени, и е въпрос на време хакерите да се сетят за вас, да влязат в сървъра ви, и да направят всичко, което им е кеф. Антивирусните не ловят техния софтиер, защото той всъщност не е вирус и не прави никакви промени в пасивен режим. Просто си стои като отворена врата за този, който знае как да я използва, и докато не я затворите и заключите, ще продължавате да сте под угроза.

**Mateev** · 24.11.2016, 15:32

Ние защитихме нашия сървър, като затворихме точно тази вратичка......

Освен това направихме и защита по IP адреси, като в административната част на всеки един сайт сложихме и рестрикции по IP адрес. На практика за да се зарази в бъдеще наш сървър трябва хакера физически да дойде и да влезе в сървърното помещение. Това с IP адресите го имаме отдавна. но пробива в нашия сървър е бил направен още през 2013-та година, и хакерите досега са държали софтиера в неактивен режим. Преди 3 дена са се сетили, и ако бяха поискали, можеха да нанесат много повече щети от линковете с невинни порно сайтове.