Как стать автором
Обновить

Комментарии 105

Серьёзно… В Oracle переполошились, наверное.

Пользователю достаточно посетить mysql.com с уязвимой платформы и он заразится вредоносной программой.


Windows? Иль что-то еще может быть поражено?
Показательно. На фоне выигрыша в суде против корпорации добра… Гугл давно переманивает специалистов по ИБ в свою армию
Сурьёзно заминусовали. И хоть бы написали что…
>Она эксплуатирует браузер, плагины, такие как Adobe Flash, Adobe PDF, Java и т.д.
Она эксплуатирует браузер, плагины, такие как Adobe Flash, Adobe PDF, Java и т.д.), и после успешной эксплуатации устанавливает вредоносную программу на ОС без ведома пользователя.

Я понял, что она использует. То бишь Вы хотите сказать, что все-равно какая ОС? Хорошая такая универсальненькая вредоносная программа, ага.
Кроссплатформенная такая, на java написана:-)
Вот вы сами и ответили :)
Кроссплатформенная-то пусть, но просто не думаю, что она запросто поставится в любую систему.
НЛО прилетело и опубликовало эту надпись здесь
А вы небось уже забыли как недавно пробегал троянец, который эксплуатируя дырку в Java умудрился установиться и работать даже в Linux? И единственное, что не делало заражение постоянным,— отсутствие кода, который добавлял бы его в автозапуск. Хотя написать такой код ни чего не мешало. Работал этот гад с правами пользователя и мог делать с профилем пользователя всё, что душе угодно. Авторы просто даже и не задумывались о линуксе, как о целевой системе для заражения.

Лично у меня Java-плагин давно отключен от греха подальше и включаю только если иначе никак.
Вчера заходил через Safari на Mac, вроде ничего не случилось, полет нормальный.
Что делать-то в итоге?
паниковать
А какие варианты?
А какие есть?
1. Делать.
2. Не делать.
да
ok
нет.
'1064 — You have an error in your SQL syntax'
тогда уж ORA 600 :)
> Brian Krebs в своем блоге отметил, что недавно видел как на русском хакерском форуме продавали полный

Собственно ссылка на сам форум: exploit.in/forum/index.php?showtopic=52306
Скрины с PuTTY под виндой. Не труЪ хакер :)
Расскажи в чём разница для хакера, виндов или линукс?
Т.е. хеккеры с виндой, это школьники.
А хеккеры под иксами, это тру?
Интересны Ваши аргументы :)
Вот ему русские покоя не дают (=
Опять наши отличились?
Надеюсь, это не происки гугла.
Гугл слишком добр для таких шагов.
Ждем когда подтянутся anonymous'ы и запасаемся попкорном :)
интересно бы увидеть лица постоянных пользователей сайта при очередном посещении :)
НЛО прилетело и опубликовало эту надпись здесь
Он пакер распознал.
НЛО прилетело и опубликовало эту надпись здесь
Судя по наличию вредоноса, его таки продали. Неужели такая сделка окупается? Ведь вредонос на сайте провисит максимум несколько часов. Может быть ктонибудь более просвещенный чем я, пояснит как монетизируется подобный рутовый доступ?
НЛО прилетело и опубликовало эту надпись здесь
389818 юзеров в день на скриншоте с продажей указано.
Это 16 тысяч юзеров в час. И заходят туда не порнуху покачать, а серьезные дядьки, порой с рабочих ПК, порой с мощных ПК, с жирным интернетом…
С доступом со своего компа к своим проектам, исходникам, новым разработкам и т.п…
Ну если так, то только успевай харды подставлять для слива инфы.
Окупается, если все сделать как надо, но в данном случаи кто-то просто выбросил 3000$ просто так, хотя может и сам продавец повесил BlackHole и решил таким образом подзаработать, не продуманный был шаг, да и писать подобные вещи о продаже вовсе не надо было, по крайней мере в паблике.
Я правильно понимаю, что при правильно настроенных NoScript и RequestPolicy надо минимум десять раз щёлкнуть мышкой, чтобы появился сгенерированный iframe, загрузку которого надо будет тоже руками подтвердить?
Тогда моя паранойя спокойна.
Интересно увидеть статистику сколько человек (из посетителей mysql.com) загружает все скрипты в автоматическом режиме и разрешают iframe'ы.
Обновите хром)
P.S. да я не могу жить когда обновление загружено и не установлено
Великая сила автоапдейтера хрома.
Все хватит так дальше нельзя…
Выключил Flash, PDF, Java плагины
Поставил RequestPolicy и NoScript
Одел каску спрятался в окопу с винтовкой
Шапочку из фольги поверх каски одеть не забудьте!
А што, сама каска не экранирует? =-О
потому что надо заземлять :)
вам действительно комфортно серфить, когда все работает не так как задумано и каждый раз приходится включать разрешение в noscript?
как по мне достаточно java отключить… а остальное это паранойя
И это сказали в топике где подробно рассказывается как зловред проникает через Adobe Flash, Adobe PDF. Да, точно только паранойя.
</sarcasm>
just use linux
Я заходил последние дни почти каждый день и ничего не заразился и никаких malware нет, так что без сарказма эта уязвимость именно связана с java. Вы видео то смотрели? windows, java и exe… Так что да для меня это выглядит паранойей
Ну во-первых большинство юзает далеко не Linux. И во-вторых именно по этому на Linux'е относительно безопасно, а не потому что он такой замечательный. Просто он пока никому не нужен. Сам я тоже юзаю Linux, и тоже часто пренебрегаю безопасностью, но это не повод призывать к этому других людей и обзывать их параноиками.
Безопасных вещей вообще в мире нет. Но я говорю именно о получении файла с http и запуске приложения без ведома пользователя. А в это linux на порядок лучше windows потому что такие элементарные вещи как права работают с коробки, если вы использовали например arch linux (не коробочные типа ubuntu) то вы должны знать что без выдачи прав пользователю он даже звук не может регулировать. А сидеть под рутом на десктопе никто не будет. Поэтому популярность системы тут не причем, на линуксе большинство сервером мира, вы хотите сказать что это не популярная система или может все таки не в популярности дело?
Для того чтобы получить доступ к пользовательским данным рута не нужно. Нужно как раз того самого пользователя. Соглашусь что в Linux в отличии от Win есть все средства чтобы этот доступ ограничить (SELinux и иже), но много кто тратит на их настройку время?
Вы на 100% уверены, что не заразились?
Слежу за процессами почти каждый день, знаю что за что отвечает. Так что да на 99,9.
НЛО прилетело и опубликовало эту надпись здесь
java ≠ javascript
Однаков witdex предложил отключить именно джаву.
В жаве есть дыры, которые избавляют от подобных сообщений. А права у жавы ого-го! Особенно если она сама себя не контролирует.
НЛО прилетело и опубликовало эту надпись здесь
Вы это троянам сообщите, которые периодически через жаву прорываются. :)
По поводу дыры, мне Secunia говорит для моей версии вот это. Естественно, можно обновиться, я не спорю, но раз эта версия почему-то у меня стоит, значит что-то не то у меня с обновлялкой Java.
НЛО прилетело и опубликовало эту надпись здесь
Я привёл эту дырку как пример, там на секунии целый список этих дырок, и у меня есть подозрение, что присутствуют и более серьёзные, которые и в браузере работают. Т.к. у многих ещё java 1.5, да и 1.6 имеет кучу версий, вполне может быть и соответствующая дыра.
Вообще, как-то разбирали один дроппер, там в результате поочерёдно проверялись: Java, Flash, PDF и в зависимости от подходящих версий скидывался нужный эксплоит.
Я за много лет всего пару раз встречал предложение запустить апплет,… java не мейстримная вещь в вебе вообще, так что есть она или нет я это замечал, чтоб не соврать, раз 10 в жизни. И то на сайтах посвященных javafx и т.п.
а в чем проблема сейчас подписать код? сертификаты уходят пачками, это раз

а уязвимости в java сейчас на первом месте, это два

именно поэтому яву и надо отключать
Похоже, что проблему поправили.
В s_code_remote.js уже нет указанных манипуляций.
НЛО прилетело и опубликовало эту надпись здесь
Скорее всего не кламав справился, а от него просто не прятали малвару (проигнорировали детект упаковщика), т.к. на windows платформах он не очень распостранен.
Обычно малвару прячут от наиболее популярных антивирусных продуктов.
Я вот тоже пошел смотреть список. Потыкался, но так и не понял как получить такой же список.
Забыл указать ссылку на виртотал.
Ого, TrendMicro. Он у меня с Асусом шел на мелком ноуте и был выпилен сразу же. Оказывается зря. С другой стороны, поймал неизвестную зверушку, а известную может и съесть. Ни один антивирь не дает надежной защиты. Тока не надо холиворов :) За ссылку спасибо.
Русские молодцы!
Угу, гордость прям распирает.
Надо выпить водки!
А разве это плохо, что они нашли уязвимость? Конечно нехорошо то, что доступ к сайту был продан на черном рынке.
Капитан, Вы ли?
Ага, и еще с медведями по улице походить.
И накормить медведя.
И сиграть на балалайке.
— Дорогая, я дома!
— Почему так поздно?
— По дороге медведь ногу вывихнул — пришлось водкой отпаивать.
— Садитесь все! Давайте выпьем водки.
— Мам, я пойду поиграю с медведем?
— Хорошо, только сначала выпей водки.
— А где наш дедушка?
— Он вторую неделю стоит в очереди за талонами на талоны.
— Хорошо, что он перед этим выпил водки.
— И ты без дела не сиди — иди тоже выпей водки.
— Ладно, иди, погуляй, сынок. И не забудь написать вечером отчёт в КГБ! А по пути домой не забудь купить водки — она заканчивается!
— Дорогая, что-то жарко. Выключи, пожалуйста, атомный реактор.
— Сейчас, водку допью и выключу, а ты пока сыграй гимн на балалайке!
©
Да уж… Fedora 11 на продакшинах это нечто…
НЛО прилетело и опубликовало эту надпись здесь
Посещаем сайт mysql.com

Пользователю достаточно посетить mysql.com с уязвимой платформы и он заразится вредоносной программой.

Вот спасибо так спасибо!
кому теперь верить? надо пересаживаться на lynx…
на IE 1.0
wget и текстовый редактор
ворлд вайд веб по-столлмановски ;)
Telnet. Я же не браузер смотрю, а интернет!
Зачем редактор, wget | less
я когда пугаюсь но хочется глянуть так и делаю…
«MySQL.com продан за 3000$» — желтуха.
У меня вчера похожей яваскрипт бякой WordPress заболел.
Насколько я понял, вся уязвимость заключается в кривом скрипте от омнитюры. Другой вопрос, откуда они этот скрипт взяли. Если кто-то ламанул омнитюру — это уже очень интерессно.
Заинтересовал сайт, где было размещено объявление. Я так понимаю там аккаунты раздают только «для своих»?
Толпа хабраюзеров, которые по репорту вирустотала делают вывод какой АВ лучше — суицидируйте, срочно.
Не знаю что и написать вдобавок к своему нику…
pwned
Всем виндузятником совет один — не сидите под админом (если ХП), и выключите javascript в Adobe Асrobat.
Тогда количество заражений уменьшится в 10 раз.
Вместо толстого акробата часто достаточно чего-то более легкого типа FoxitReader. Да и как-то ни разу не встречал JS в PDF, только вот, о нецелевом использовании и слышу ((
Foxit Reader, полагаю, дырявее Adobe Reader'а на несколько порядков, учитывая что писали его самые типичные китайцы (хорошо если несколько). Просто пока он мало кому интересен, ввиду существенно меньшей распространённости.
не сидите под админом (если ХП), и выключите javascript в Adobe Асrobat

Как будто PDF'ы эксплойтят Adobe Reader сугубо через JavaScript…
А где вы прочитали про то, что PDF'ы эксплойтят Adobe Reader сугубо через JavaScript?
Зарегистрируйтесь на Хабре , чтобы оставить комментарий

Публикации

Истории