Coders' city

[monikax]

Hej ch?opaki! (Zak?adam, ?e 99% z Was to panowie)
Pisz?, bo kompletnie nie mam do kogo zwróci? si? o pomoc, a sama na programowaniu nie znam si? w ogóle. Prowadz? stron? internetow? na blogspocie i od ok. 2 tygodni po 10 sec wy?wietla si? okienko wymuszaj?ce przekierowanie na fake'ow? stron? javy. My?l?, ?e to jaki? trojan. Próbowa?am grzeba? w kodzie swojego blogspotu, ale nie jestem na tyle obeznana albo problem le?y g??biej. Czy kto? chcia?by mi pomóc?

Oczywi?cie podaj? adres strony: xrayofbooks.pl

Pozdrawiam
Monika

[samolot]

Wszed?em na te stron? i po chwili dostaje komunikat us?ugi SmartScreen z mojego Windowsa, ?e

[monikax]

Czy aby na pewno jedynym rozwi?zaniem pozbycia si? wirusa ze strony by?o zaprzestanie jej u?ytkowania? Nie chodzi mi o najprostsz? metod?, bo zale?y mi, ?eby po latach bytno?ci w?a?nie tam równie? tam pozosta?.

[samolot]

Zwykle metody najprostsze sa najbrdzij skuteczne. Czy s?dzisz, ?e w?asciciel portalu z USA dla ciebie akurat usunie jakie? swoje skrypty czy wirusy? Przeciez zawpewne on specjalnie je tam umiesci?, albo linki do nich.
Ale zawsze mozesz napis? do niego, ?e jeste? zniesmaczona jego dzia?aniem. Watpi? w skuteczno??.

Ale teraz, gdy wszed?em na te stron?, to ?adnych przekierowa? nie mam, mo?e to zas?uga mojego Nortona?

[Garf]

Ja jednak obstawiam problem le??cy zupe?nie gdzie indziej.

A mianowicie, w reklamach do??czanych do strony. Podobnie jak samolotowi przesta? mi si? pojawia? komunikat, po restarcie przegl?darki. Jednak lista zewn?trznych stron, z których do??czany by? kod JS nie zawiera?a ju? domeny softwarejourvey. I z pewno?ci? nie jest to zas?uga antywirusa.

Niestety, zbyt wiele w tym temacie nie da si? zrobi? - przynajmniej ze strony OP. Reklamy s? do??czane automatycznie przez us?ugodawc?, jedyna nadzieja ?e szkodliwa reklama zostanie wyci?ta. Mo?na to ew. us?ugodawcy zg?osi?, ale obecnie brak szczegó?ów które mog?yby pomóc w szybkim ustaleniu "winowajcy".

Postaram si? namierzy? jeszcze dok?adnie miejsce wstrzykiwania kodu odpowiedzialnego za to przekierowanie. Wtedy b?d? móg? powiedzie? co? wi?cej.

[marcin_an]

monikax:
Mnie si? nic nie wy?wietla i nie mam odwo?a? do podanej przez Samolota witryny, wi?c trudno mi nawet analizowa?. Jednak na witrynie uruchamiane s? bez ?adnej kontroli kody pochodz?ce od a? 9 dostawców:

• Google
• amung.us
• Feedjit
• LinkWithin
• Clicksor
• Akamai
• Facebook
• 33Across (Tynt)
• A4B

Przemilczaj?c kwestie ideologiczne: Google, Facebook i Akamai mo?na jeszcze zaufa? (r?cz? za to grubymi pieni?dzmi). Ale reszcie!? P?acisz im czym? wi?cej ni? danymi swoich u?ytkowników i ewentualnie przestrzeni? reklamow?? Je?eli nie, to tam szuka?bym ?ród?a problemów. W szczególno?ci Clicksor mi ?mierdzi (w sensie: ich nazwa przewija?a si? w negatywnym znaczeniu w jaki? wcze?niejszych atakach).

Garf:
Dlaczego OP nie mo?e nic zrobi?? Mo?e po prostu nie dawa? dost?pu przypadkowym osobom do komputerów swoich u?ytkowników. To bardzo du?o.

Tak w ramach wskazówki przy próbach zlokalizowania ?ród?a ataku: skoro mnie nie przekierowuj?, to zapewne sprawdzaj? UAS lub w inny sposób identyfikuj? system ofiary. Powinno wystarczy? do namierzenia atakuj?cego przez porównanie skryptów wysy?anych na ró?ne systemy lub, ewentualnie, porównanie kodu wykonywanego na ró?nych platformach.