האתר של דן נפרץ והושתל בו קוד עוין!
מי שנכנס לאתר של דן בשעות האחרונות באמצעות דפדפן שתומך ב-SafeBrowsing בוודאי שם לב להודעה הבאה:
מה גרם לאתר של דן (dan.co.il) להכנס לרשימות השחורות של SafeBrowing? לפי פרטי ההודעה אפשר לראות כי הוא נחשד בכך שבעת הכניסה אליו הוא גורם לדפדפן לטעון רכיבי JS מדומיינים המוכרים כדומיינים "זדוניים".
ובאמת, בעת הכניסה לאתר ניתן לזהות את הטעינה של הקוד מהדומיין הזדוני:
למה לעזאזל שהמערכות של דן יטענו קוד מהדומיין הזה? שאלה יפה! מסקירה מהירה של האתר ניתן לראות כי מידע מסוים (רשימת קווי האוטובוסים לבניית מסלול הנסיעה) הוחלף בקישורים הגורמים לטעינת הקוד, באתר עצמו זה נראה כך:
ובקוד המקור, ניתן לראות:
הקוד הנ"ל, במספר מקרים יגרום לביצוע רענן ומעבר לאתר אחר שיגרום להקפצה של החלון הבא:
החלון עצמו מדמה סריקה של המחשב ואף מזהיר מפני המצאות של וירוסים ותולעים - כל לחיצה על החלון תגרום לכך שהמשתמש יתבקש להוריד תוכנה ולהריץ אותה, התוכנה עצמה אמורה להסיר את הוירוסים שנמצאו, אך כמובן שמדובר בוירוס עצמו... בשום אופן לא להריץ את התוכנה!
דן עודכנו על האירוע, בתקווה שהם יסדרו אותו בהקדם, נכון לעכשיו, מומלץ שלא להכנס לאתר כלל.
בגיליון הקרוב (ככל הנראה), יפורסם דו"ח חקירה מלא של האירוע מקצה לקצה.
תודה רבה לשקד אילן על זיהוי האירוע, דיווחו לדן, דיווחו למערכת הבלוג וההשתתפות בחקירת האירוע!
עדכון (11/10/2012, 20:03):
נכון לעכשיו נראה כי דן הסירו את הקוד המפגע, אולם, לא ידוע האם הם הבינו כיצד הקוד הוכנס לשם מלכתחילה, נכון לכתיבת שורות
אלה נראה כי אין סכנה בכניסה לאתר, אך הייתי ממליץ להמשיך לחשוד באתר למשך הזמן הקרוב.
תגובות על 'האתר של דן נפרץ והושתל בו קוד עוין!':
#1 |
Zed (אורח): איזה תותחים! תודה רבה! 11.10.2012 05:21:44 | |
#2 |
Zed (אורח): זה רק אני או שפרסמתם את הפוסט בשלוש וחצי בלילה?! 11.10.2012 05:23:33 | |
#3 |
בוש (אורח): איזה תותח שקד אילן! הצלת את כל נוסעי דן! 11.10.2012 07:35:17 | |
#4 |
שמיל (אורח): ״בוש״, למה הציניות הזאת? הציניות הישראלית הזאת... בחור מזהה משהו שיכול היה לפגוע במחשב שלך ומדווח על זה, ובמקום להגיד תודה אתה מגיב בציניות הזאת מבלי להבין למה אתה גורם. אני לא משתמש באתר של דן, אבל אני מסוגל לחשוב מבעד למטר רבוע שלי. תגובות כמו שלך גורמות לזה שבפעם הבאה כשהוא או מישהו אחר יראה את הסיכון שיפגע דווקא בך הוא לא ידווח עליו, ולמה? רק בגלל שאתה כזה גבר... 11.10.2012 15:45:42 | |
#5 |
שמיל (אורח): אה, ותודה רבה שקד ו-cP! 11.10.2012 15:46:44 | |
#6 |
cp77fk4r: נכון לעכשיו נראה כי דן הסירו את הקוד המפגע, אולם, לא ידוע האם הם הבינו כיצד הקוד הוכנס לשם מלכתחילה, נכון לכתיבת שורות אלה נראה כי אין סכנה בכניסה לאתר, אך הייתי ממליץ להמשיך לחשוד באתר למשך הזמן הקרוב. 11.10.2012 18:06:28 | |
#7 |
Dw4rf (אורח): תודה רבה! ממש מעניין! אני כבר מחכה למאמר המלא! 11.10.2012 20:56:23 | |
#8 |
דייב (אורח): תודה על השיתוף חברים, זה באמת חשוב! אגב, מישהו יודע, אם דומיין מסוים נכנס לרשימה השחורה של Safe-Browsing, כמה ימים הוא אמור להיות "נקי" על מנת לצאת מאותה רשימה? תודה! 11.10.2012 22:34:41 | |
#9 |
cp77fk4r: למיטב הבנתי אין זמן קבוע, נראה שגוגל משלימים סיבוב ובדיקה של אתר בפרק זמן של 90 ימים. בכל אופן, אם יש לך אתר והוא נכנס לרשימה שחורה כזאת, אתה יכול לנקות את הקוד העוין ולבקש מגוגל שיזמו סריקה באותו הזמן, במידה והסריקה תעבור בהצלחה - האתר שלך יוסר מהרשימה. עוד מידע בנושא, תוכל לקרוא בקישור הבא: https://support.google.com/webmasters/bin/answer.py?hl=iw&answer=163634 12.10.2012 01:02:06 | |
#10 |
Dave (אורח): תודה! האמת היה לי מוזר שכל כל מהר גוגל הספיקו לעדכן את הטבלאות שלהם... 12.10.2012 07:40:54 | |
#11 |
שלום (אורח): האנטי וירוס שלי (NOD32) מנע ממני להיכנס אליהם כבר ב- 6/10 בשעה 20:29. 12.10.2012 10:04:15 | |
#12 |
שלום (אורח): עכשיו אני רואה שרק הדף הראשי נמחק מהרשימות, הדפים הפנימיים (או לפחות חלק מהם) עדיין נחסמים ע"י הדפדפן. אבל כשמתעלמים מהאזהרה של הדפדפן האנטי וירוס מאפשר לגשת, מה שאומר שכנראה הדפים נקיים אבל לא נמחקו מהרשימה. 12.10.2012 10:09:24 | |
#13 |
אני (אורח): מה עושים אם נכנסתי לאתר ועכשיו הוינדוס לא עולה ? יש פיתרון? תודה 15.10.2012 07:48:26 | |
#14 |
cp77fk4r: היי, זה לא נשמע כל כך כמו משהו שקשור להכנסות לאתר, לפי איך שזה נראה, הפיילוד באתר משפיע על הגלישה שלך ופחות על תפקוד מערכת ההפעלה. ובכל זאת - מה בדיוק קורה? אתה מדליק את המחשב ו...? 15.10.2012 15:46:07 | |
#15 |
אני (אורח): זה קרה גם לי וגם לאחותי במחשב הצלחתי לעלות את המחשב שלי אחרי כמה ניסיונות הוא הצליח לעלות סרקתי וירוסים נמצא 1 וכמה אזהרות כרגע זה עובד אבל אני חושבת שזה קרה בגלל האתר כי גם אני וגם אחותי גלשנו שם וזה קרה ממש אחרי :/ תודה בכל מקרה :) 15.10.2012 17:21:17 | |
#16 |
cp77fk4r: אוקיי... כל הכבוד! יש סיכוי לקבל קצת יותר מידע? מידע כמו: איזה אנטי-וירוס יש לך? תחת איזה שם הוא זיהה את הוירוס? מה עשית על מנת לפתור את התקלה כשהצלחת להעלות את המערכת הפעלה? יש סיכוי שתוכלי לשחזר את הבינארי שנמצא, לשמור כ-Zip עם סיסמה ולשלוח אלינו? (מבחינת שחזור הבינארי הסורר, יש לך בדרך כלל יכולת מובנת באנטי וירוס לעשות את זה). זה מאוד יוכל לעזור בהבנת האירוע :) תודה רבה! 15.10.2012 20:44:29 | |
#17 |
intAV (אורח): שקד כל הכבוד! תותח על! בזכותך האינטרנט הוא מקום קצת יותר בטוח. א 15.10.2012 21:57:58 | |
#18 |
Ce@5eR (אורח): יופי של ממצא! לא נכנסתי כי כשאפיק מזהיר אז לא הולכים נגד הזרם. בכל אופן, נשמח לשמוע עוד בקרוב... לא פרטתם איך הוזרקו ה-Options.. S Stored XSS אני מניח... או משהו אחר? 18.10.2012 13:17:31 | |
#19 |
Ce@5eR (אורח): אפיק - "נראה כי דן הסירו את הקוד המפגע, אולם, לא ידוע האם הם הבינו כיצד הקוד הוכנס לשם מלכתחילה, נכון לכתיבת שורות אלה נראה כי אין סכנה בכניסה לאתר" לא מובן.. !? הם לא הזריקו קוד.. זה פניות לאתר חיצוני (צד שלישי).. על zon.meno שקר.. תוכל קצת לפרט יותר על האופציות להזרקה.. תודה מראש, המערכת 18.10.2012 13:20:56 | |
#20 |
cp77fk4r: אני מאמין שיהיה יותר מידע ופרטים בנוגע למתקפה במאמר עצמו. אבל לפי איך שזה נראה, מדבר ב-"Stored XSS Via SQL Injection", לא בדקנו (אני לפחות...) איזה ערך פגיע, ולכן אני גם לא יכול להגיד האם זה תוקן (ואגב, בדרך כלל מספיק במעבר פשוט על קבצי הלוג על מנת להבין את וקטור התקיפה), אבל פשוט נראה שמישהו שינה טבלה שלמה ולכן אני מניח את זה... 18.10.2012 15:31:51 | |
#21 |
Dan (אורח): תודה! מעניין ביותר! 19.10.2012 09:56:48 | |
#22 |
ש (אורח): זה לא פעם ראשונה שGoogle Chrome מזהיר אותי מכניסה לאתר של דן. האם דן הגיבו בעניין? 21.10.2012 16:09:47 | |
#23 |
cp77fk4r: חצי תגובה, וגם היא לא רשמית... 21.10.2012 18:21:28 | |
#24 |
מיכל (אורח): תודה רבה, וואו, עשית כאן עבודה יסודית. אני לא מבינה אבל למה עדיין הבעיה קיימת ואם כן למה לא הורידו את האתר עד שיטופל, או לפחות שיזהירו זה משגע אותי. 04.11.2012 12:29:46 | |
#25 |
שמיל (אורח): מיכל, את באמת צריכה תשובות לשאלות האלה? 04.11.2012 16:17:19 |
הוסף את תגובתך: