Comments 105
Серьёзно… В Oracle переполошились, наверное.
Windows? Иль что-то еще может быть поражено?
Пользователю достаточно посетить mysql.com с уязвимой платформы и он заразится вредоносной программой.
Windows? Иль что-то еще может быть поражено?
Показательно. На фоне выигрыша в суде против корпорации добра… Гугл давно переманивает специалистов по ИБ в свою армию
Сурьёзно заминусовали. И хоть бы написали что…
>Она эксплуатирует браузер, плагины, такие как Adobe Flash, Adobe PDF, Java и т.д.
Она эксплуатирует браузер, плагины, такие как Adobe Flash, Adobe PDF, Java и т.д.), и после успешной эксплуатации устанавливает вредоносную программу на ОС без ведома пользователя.
Я понял, что она использует. То бишь Вы хотите сказать, что все-равно какая ОС? Хорошая такая универсальненькая вредоносная программа, ага.
Я понял, что она использует. То бишь Вы хотите сказать, что все-равно какая ОС? Хорошая такая универсальненькая вредоносная программа, ага.
Кроссплатформенная такая, на java написана:-)
Вот вы сами и ответили :)
Кроссплатформенная-то пусть, но просто не думаю, что она запросто поставится в любую систему.
А вы небось уже забыли как недавно пробегал троянец, который эксплуатируя дырку в Java умудрился установиться и работать даже в Linux? И единственное, что не делало заражение постоянным,— отсутствие кода, который добавлял бы его в автозапуск. Хотя написать такой код ни чего не мешало. Работал этот гад с правами пользователя и мог делать с профилем пользователя всё, что душе угодно. Авторы просто даже и не задумывались о линуксе, как о целевой системе для заражения.
Лично у меня Java-плагин давно отключен от греха подальше и включаю только если иначе никак.
Лично у меня Java-плагин давно отключен от греха подальше и включаю только если иначе никак.
Вчера заходил через Safari на Mac, вроде ничего не случилось, полет нормальный.
Что делать-то в итоге?
> Brian Krebs в своем блоге отметил, что недавно видел как на русском хакерском форуме продавали полный
Собственно ссылка на сам форум: exploit.in/forum/index.php?showtopic=52306
Собственно ссылка на сам форум: exploit.in/forum/index.php?showtopic=52306
А вот дубль: forum.antichat.ru/showthread.php?p=2837158
А вот этот чел купил судя по всему forum.antichat.ru/showthread.php?t=291761
Скрины с PuTTY под виндой. Не труЪ хакер :)
Вот ему русские покоя не дают (=
Опять наши отличились?
Надеюсь, это не происки гугла.
Надеюсь, это не происки гугла.
интересно бы увидеть лица постоянных пользователей сайта при очередном посещении :)
Судя по наличию вредоноса, его таки продали. Неужели такая сделка окупается? Ведь вредонос на сайте провисит максимум несколько часов. Может быть ктонибудь более просвещенный чем я, пояснит как монетизируется подобный рутовый доступ?
Окупается, если все сделать как надо, но в данном случаи кто-то просто выбросил 3000$ просто так, хотя может и сам продавец повесил BlackHole и решил таким образом подзаработать, не продуманный был шаг, да и писать подобные вещи о продаже вовсе не надо было, по крайней мере в паблике.
Я правильно понимаю, что при правильно настроенных NoScript и RequestPolicy надо минимум десять раз щёлкнуть мышкой, чтобы появился сгенерированный iframe, загрузку которого надо будет тоже руками подтвердить?
Тогда моя паранойя спокойна.
Интересно увидеть статистику сколько человек (из посетителей mysql.com) загружает все скрипты в автоматическом режиме и разрешают iframe'ы.
Тогда моя паранойя спокойна.
Интересно увидеть статистику сколько человек (из посетителей mysql.com) загружает все скрипты в автоматическом режиме и разрешают iframe'ы.
Обновите хром)
P.S. да я не могу жить когда обновление загружено и не установлено
P.S. да я не могу жить когда обновление загружено и не установлено
Все хватит так дальше нельзя…
Выключил Flash, PDF, Java плагины
Поставил RequestPolicy и NoScript
Одел каску спрятался в окопу с винтовкой
Выключил Flash, PDF, Java плагины
Поставил RequestPolicy и NoScript
Одел каску спрятался в окопу с винтовкой
Шапочку из фольги поверх каски одеть не забудьте!
А што, сама каска не экранирует? =-О
Уже доказали-же, что шапочка из фольги не помогает: berkeley.intel-research.net/arahimi/helmet/
вам действительно комфортно серфить, когда все работает не так как задумано и каждый раз приходится включать разрешение в noscript?
как по мне достаточно java отключить… а остальное это паранойя
как по мне достаточно java отключить… а остальное это паранойя
И это сказали в топике где подробно рассказывается как зловред проникает через Adobe Flash, Adobe PDF. Да, точно только паранойя.
</sarcasm>
</sarcasm>
just use linux
Я заходил последние дни почти каждый день и ничего не заразился и никаких malware нет, так что без сарказма эта уязвимость именно связана с java. Вы видео то смотрели? windows, java и exe… Так что да для меня это выглядит паранойей
Я заходил последние дни почти каждый день и ничего не заразился и никаких malware нет, так что без сарказма эта уязвимость именно связана с java. Вы видео то смотрели? windows, java и exe… Так что да для меня это выглядит паранойей
Ну во-первых большинство юзает далеко не Linux. И во-вторых именно по этому на Linux'е относительно безопасно, а не потому что он такой замечательный. Просто он пока никому не нужен. Сам я тоже юзаю Linux, и тоже часто пренебрегаю безопасностью, но это не повод призывать к этому других людей и обзывать их параноиками.
Безопасных вещей вообще в мире нет. Но я говорю именно о получении файла с http и запуске приложения без ведома пользователя. А в это linux на порядок лучше windows потому что такие элементарные вещи как права работают с коробки, если вы использовали например arch linux (не коробочные типа ubuntu) то вы должны знать что без выдачи прав пользователю он даже звук не может регулировать. А сидеть под рутом на десктопе никто не будет. Поэтому популярность системы тут не причем, на линуксе большинство сервером мира, вы хотите сказать что это не популярная система или может все таки не в популярности дело?
Вы на 100% уверены, что не заразились?
java ≠ javascript
Однаков witdex предложил отключить именно джаву.
В жаве есть дыры, которые избавляют от подобных сообщений. А права у жавы ого-го! Особенно если она сама себя не контролирует.
Вы это троянам сообщите, которые периодически через жаву прорываются. :)
По поводу дыры, мне Secunia говорит для моей версии вот это. Естественно, можно обновиться, я не спорю, но раз эта версия почему-то у меня стоит, значит что-то не то у меня с обновлялкой Java.
По поводу дыры, мне Secunia говорит для моей версии вот это. Естественно, можно обновиться, я не спорю, но раз эта версия почему-то у меня стоит, значит что-то не то у меня с обновлялкой Java.
Я привёл эту дырку как пример, там на секунии целый список этих дырок, и у меня есть подозрение, что присутствуют и более серьёзные, которые и в браузере работают. Т.к. у многих ещё java 1.5, да и 1.6 имеет кучу версий, вполне может быть и соответствующая дыра.
Вообще, как-то разбирали один дроппер, там в результате поочерёдно проверялись: Java, Flash, PDF и в зависимости от подходящих версий скидывался нужный эксплоит.
Вообще, как-то разбирали один дроппер, там в результате поочерёдно проверялись: Java, Flash, PDF и в зависимости от подходящих версий скидывался нужный эксплоит.
Я за много лет всего пару раз встречал предложение запустить апплет,… java не мейстримная вещь в вебе вообще, так что есть она или нет я это замечал, чтоб не соврать, раз 10 в жизни. И то на сайтах посвященных javafx и т.п.
а в чем проблема сейчас подписать код? сертификаты уходят пачками, это раз
а уязвимости в java сейчас на первом месте, это два
именно поэтому яву и надо отключать
а уязвимости в java сейчас на первом месте, это два
именно поэтому яву и надо отключать
Похоже, что проблему поправили.
В s_code_remote.js уже нет указанных манипуляций.
В s_code_remote.js уже нет указанных манипуляций.
Скорее всего не кламав справился, а от него просто не прятали малвару (проигнорировали детект упаковщика), т.к. на windows платформах он не очень распостранен.
Обычно малвару прячут от наиболее популярных антивирусных продуктов.
Обычно малвару прячут от наиболее популярных антивирусных продуктов.
Я вот тоже пошел смотреть список. Потыкался, но так и не понял как получить такой же список.
Забыл указать ссылку на виртотал.
Русские молодцы!
Угу, гордость прям распирает.
Надо выпить водки!
А разве это плохо, что они нашли уязвимость? Конечно нехорошо то, что доступ к сайту был продан на черном рынке.
Ага, и еще с медведями по улице походить.
И накормить медведя.
И сиграть на балалайке.
— Дорогая, я дома!
— Почему так поздно?
— По дороге медведь ногу вывихнул — пришлось водкой отпаивать.
— Садитесь все! Давайте выпьем водки.
— Мам, я пойду поиграю с медведем?
— Хорошо, только сначала выпей водки.
— А где наш дедушка?
— Он вторую неделю стоит в очереди за талонами на талоны.
— Хорошо, что он перед этим выпил водки.
— И ты без дела не сиди — иди тоже выпей водки.
— Ладно, иди, погуляй, сынок. И не забудь написать вечером отчёт в КГБ! А по пути домой не забудь купить водки — она заканчивается!
— Дорогая, что-то жарко. Выключи, пожалуйста, атомный реактор.
— Сейчас, водку допью и выключу, а ты пока сыграй гимн на балалайке!
©
— Почему так поздно?
— По дороге медведь ногу вывихнул — пришлось водкой отпаивать.
— Садитесь все! Давайте выпьем водки.
— Мам, я пойду поиграю с медведем?
— Хорошо, только сначала выпей водки.
— А где наш дедушка?
— Он вторую неделю стоит в очереди за талонами на талоны.
— Хорошо, что он перед этим выпил водки.
— И ты без дела не сиди — иди тоже выпей водки.
— Ладно, иди, погуляй, сынок. И не забудь написать вечером отчёт в КГБ! А по пути домой не забудь купить водки — она заканчивается!
— Дорогая, что-то жарко. Выключи, пожалуйста, атомный реактор.
— Сейчас, водку допью и выключу, а ты пока сыграй гимн на балалайке!
©
Да уж… Fedora 11 на продакшинах это нечто…
Посещаем сайт mysql.com
Пользователю достаточно посетить mysql.com с уязвимой платформы и он заразится вредоносной программой.
Вот спасибо так спасибо!
Пользователю достаточно посетить mysql.com с уязвимой платформы и он заразится вредоносной программой.
Вот спасибо так спасибо!
кому теперь верить? надо пересаживаться на lynx…
«MySQL.com продан за 3000$» — желтуха.
У меня вчера похожей яваскрипт бякой WordPress заболел.
Насколько я понял, вся уязвимость заключается в кривом скрипте от омнитюры. Другой вопрос, откуда они этот скрипт взяли. Если кто-то ламанул омнитюру — это уже очень интерессно.
Заинтересовал сайт, где было размещено объявление. Я так понимаю там аккаунты раздают только «для своих»?
Толпа хабраюзеров, которые по репорту вирустотала делают вывод какой АВ лучше — суицидируйте, срочно.
Не знаю что и написать вдобавок к своему нику…
Всем виндузятником совет один — не сидите под админом (если ХП), и выключите javascript в Adobe Асrobat.
Тогда количество заражений уменьшится в 10 раз.
Тогда количество заражений уменьшится в 10 раз.
Вместо толстого акробата часто достаточно чего-то более легкого типа FoxitReader. Да и как-то ни разу не встречал JS в PDF, только вот, о нецелевом использовании и слышу ((
не сидите под админом (если ХП), и выключите javascript в Adobe Асrobat
Как будто PDF'ы эксплойтят Adobe Reader сугубо через JavaScript…
В таком случае, для максимальной безопасности, рекомендую инструкции по настройке безопасности Adobe Reader.
Sign up to leave a comment.
MySQL.com взломан и продан за 3000$