Pokernet hacked? KLIK IKKE PÅ LINKS

Der er i hvert fald noget helt galt... Forsiden virker ikke, og link til et mystisk script på en udenlandsk server er indsat i samtlige posts...

Blomme

EDIT: Topic

Ja. Klik ikke på links!

min AVG har også opdaget den - PAS PÅ DERUDE

VIRUS!!! PN hacked.. Min AVG finder virusser hele tiden!

Tak for det drenge, nu kan jeg gå til ro, velvidende at det ikke var min computer der var begyndt at fucke helt op!

Vil det sige vil skal skifte passwords?

ahhhhh kan så bedre fostå der hele tiden poppede virus alert op, nå men så virke ens firewall/virus prg. da :)

Det er et rimelig standard angreb vi har været ude for, hvor nogle har placeret noget ekstra kode på siden, der smider links ind i indlæg. Vores webmaster er ved at fjerne dette igen og så vil jeg snakke med ham om, hvad man kan/bør foretage sig og hvad risikoen har været.

Rigtig mange .asp sites (som PokerNet) har været angrebet på denne måde og det er desværre noget, som er umuligt at sikre sig helt imod.

/Mikael

Jeg vidste EP skulle have betalt ham fra Canada....

De der fucking hackere skulle have hugget arme og ben af.
Og i øvrigt alt andet de kan betjene en computer med:
Næse, tunge, ører, patvorter og dilleren.
Har jeg glemt noget?

Og så skulle de selvfølgelig tortureres bagefter!!!

Ja clrawe, deres stemmebånd ;)

Eller også kunne i tage og købe Jer en Mac - nu snart med Pokertracker 3! :)

Jeg kunne forestille mig at det ville være en guldgrube at hacke pokerforums..

Brugerne herinde er forhåbentlig kloge nok til ikke at have samme password her, som på pokersites!

Er der en der kan forklare mig pointen med sådan et angreb? virker som
cyber-hærværk for mig. kan de rent faktisk få noget ud af det?

fuck af....vil det så sige jeg har en virus nu








?

De har ikke fået adgang til jeres database e.l.? Vi har ingen grund til at ændrer vores koder?

Angrebet laves af et botnet (Dvs. et stort antal allerede inficerede maskiner der udfører de opgaver de bliver sat til.), med det formål at inficere flere maskiner og gøre netværket større. Botnettet fungerer samtidig som host for flere af de sider hvor "virussen" downloades fra.

Hvis i har klikket på linket og ikke har nogen form for antivirus så er der en god chance for at i har downloadet og aktiveret noget gris.

Og så et mellemsurt opstød.
DTM siger at en stor antal sider er inficeret oh det er nærmest umuligt at beskytte sig helt imod. Det er værd at bemærke at det alene skyldes at der er alt for mange hobbyprogrammører der ikke kan finde ud af at tage de simpleste af forholdsregler. (= sætte sig ind i, og følge, best practise for webudvikling.) Et forum som dette bør være sikret mod SQL-injections fra dag et, men det har åbentbart ikke været noget folkene bag har gidet bruge tid på.

Jeg har Norton 360 og den finder ingenting - på trods af at det er 100% opdateret. Kom folk ind på en hjemmeside da de trykkede eller fik de bare en fejl ? Dette bekymrer mig dog lidt da jeg ved en fejl fik trykket på 1 af de links.

same som baczek...

I teorien kunne de godt have fået jeres koder, det er dog usandsynligt da angrebene er automatiserede og ikke sigter mod at stjæle passwords men nærmere at udvide netværket af inficerede maskiner.
Men det kode der gjorde muligt at tilføje links til alle indlæg, kunne også have været kode der snuppede passwords.

(Iøvrigt ganske brugbart set i lyset af de mange handhistories med brugernavn og site, samt folks tilbøjelighed til at bruge samme password overalt.)

FØJ FOR HELVEDE!!

Det script ligger nu også ik gamle tråde og ikke kun de sidste nye der er blevet oprettet så jeg lige :/

Håber fandme det er forholdsvis nemt at fjerne igen

Baczek, du fik formentlig en fejl fordi siden de henviste til var blevet "opdaget af nogen" og lukket ned, eller maskinen den lå på blev slukket eller renset for skidt. Linket peger på en inficeret maskine, når den er lukket ned skiftes IP-adressen til siden til en anden inficeret maskine som så for lov til at lege webserver til den bliver opdaget eller slukket, osv. osv.

Du har med andre ord med 99% sikkerhed ikke downloadet noget crap, især når din norton ikke reagerer på det.

så må vi jo se om PN rent faktisk HAR en webmaster eller der bliver vist air op ...

@Lundkvist

Du lyder som en rimeligt kompetent IT mand. Har du en ide om Norton 360 tager sig af disse ting selvom den intet har fundet ?

@Lundkvist

Glem spørgsmålet ovenover og mange tak for hjælpen :)

Hvordan tjekker jeg min maskine om jeg har fået noget crap ind? Har formateret lortet for omkring en uge siden... Gider fandme ikke igen,

hvilke links er det lige der er inficeret?

Links til aktive tråde?
Links til gamle tråde?
Links til eksempelvis ekstra bladet eller 2+2?
Links i banner reklamer?

Baczek, disse angreb, med samme malware/virus i linksne, har været kendt i i hvert fald en måned, så jeg kan ikke forestille mig at nogen respektable antivirusprogrammer på nuværende tidspunkt ikke skulle kende dem.

Jeg ville ikke være synderligt bekymret. Men hvis du kan, så undersøg om din maskine stadig laver trafik selvom du ikke bruger nettet. (Altså med messenger, torrent-klient og alt andet slukket)

Jeg tror jeg ved en fejl trykkede på linket , jeg har kun avg free eddition . er ved at køre en scanning, men er der andet jeg kan gøre ?

@ih8twos

Eftersom jeg ved absolut intet om programmering, så er en webmaster ret nødvendig. Han er dog ikke the cream på sikkerhed og derfor fik vi for et godt stykke tid siden en ekspert til at løbe bagenden igennem.

Det er dog et stykke tid siden, og vi vil med garanti bestille endnu en overhaling af sitet for at lukke evt. nye huller, som udnyttes af hackere som dem der har ramt os her.

De links der blev skabt var ikke "trick links" af nogen art. Altså ikke links til EB og andet.

Årsagen til at mange der er kommet til at klikke har fået fejl kan også meget nemt være, at linket har blandet sig med noget tekst på siden, der dermed gør det ugyldigt. Dette var faktisk tilfældet med de fleste af dem.

/Mikael

@Lundkvist

Tak endnu en gang. Hvordan tjekker jeg om der er traffik hvis jeg lukker alting ? Skal jeg bruge et specielt program til det?

Hvad med Orca, er han stadig en del af PN-teamet?

Han plejer og være rimelig skarp på IT..

@

Orca hjælper lidt til engang imellem, men han er ikke så stor en del af driften som tidligere. Vi har dog både udvikler og server ansvarlig, som begge er relativt IT savvy. Ingen af dem kan dog karakteriseres som værende eksperter på sikkerhed, hvorfor vi efter denne episode endnu engang vil lade eksterne konsulenter løbe hele sikkerhedssituationen igennem.

/Mikael

Sick hvis i skal bruge 20k eller mere på en konsulent for at få rettet det... Brug 500kr på en bog istedet og tving dem til at læse og forstå den. Det er ikke vildt avanceret at beskytte sig mod det her.


Baczek... Du kan som regel se det i et kommandoprompt vindue, men hvis ikke du forstår hvad du ser bliver du måske mere opskræmt end nødvendigt.

hvis du klikker start og vælger kør, så skal du skrive cmd og klikke på ok.
I det sorte vindue skriver du netstat og trykker enter.
Vinduet vil så vise hvad du har forbindelse til, eller lige har haft forbindelse til.

Hvis du har sørget for at lukke ALT der bruger din internet forbindelse burde der egentlig ikke stå noget, andet end måske en masse localhost ting, men vær sikker på du har lukket ALT, inkl. pokerclienter, torrentstuff, messengerprogrammer osv. osv.

@Lundkvist

Takker endnu engang meget for din hjælp. Det ser ud til jeg intet havde på min computer så det var dejligt.

Dem der har fået en meddelse fra deres virusprogrammer, fik I også en fejlside, da i trykkede, eller kom i ind på en "rigtig" side?

er jeg den eneste som har fået , JS / downloader agent lort på min computer efter det her angreb!!!!! og jeg kan ikke fjrene lortet !!!!!

Lundkvist:

Lavede lige en netstat som du siger. Får noget frem med min local host (tcp mitnavn:port)

Derefter (foreign address:) nf-in-f104.googlehttp close_wait (state)

Er dette ikke meget normalt?

sry men hvilke links er det helt præcist man ikk emå klikke på ?

Tror de er væk nu... Linksene stod inde i mellem indlægene

argh!! PIS! Jeg klikkede selvfølgelig på samtlige links! DOH!!!
Min computer opførte sig også VILDT underligt, så jeg genstartede den!

Alle ikoner på mit skrive bord forsvandt så der kun stod navne og den blev generelt underlig. Efter jeg har genstartet den, har jeg ikke lagt mærke til noget usædvanligt...

Indtil videe har jeg slettet 2 trojanske heste.. OMG!
Når min virusscan er færdig og den har slettet nogle filer - Kan jeg så være sikker på at min computer er clean?!?!

Mit program hedder VirusScan (Ikonet er et skjold med et stort V)

Jeg er lige ankommet.. AVG gav en warning: enellerandenplacering/JSagent downloader ser suspicious ud. Vil du Heal eller smide den i kachotten?

.. og dybt nede i en Vault skulle den så ligge nu.

AVG = free... vi ses Norton!

3 trojan´er slettet so far... jesus f****** christ!

Har også fået denne meddelelse fra AVG .

Threat name : virus found JS/Downloader.Agent
Detected on open

Ved ikke om AVG har fjernet den, men kan ikke finde *noget* med det navn, når jeg søger på *alle mapper og filer*

Hva' gør en klog mand :-), der bare IKKE er en PC nørd ?

Tænker mest på det med at logge på pokersites....skal man holde sig helt fra det, og vente til en PC-nørd kommer hjem, og får kigget PC'en igennem ?

/Hawkeye

@dtm

I behøver ikke smide en minder formue efter en der kan kalde sig sikkerhedsekspert.

Ummidelbart burde det ikke tage specielt lang tid at finde ud af hvilke af pokernets sider der kunne være blevet udnyttet til dette angreb - i hvert fald ikke for folk med kendskab til programmering.

@alle

De links der kom ind i forummet er fjernet fra PokerNet igen. Det skete ca. 2 timer efter vi opdagede, at de var kommet på. Husk igen, at alle links ikke var skjulte på nogen måde. De kom i bunden af hvert indlæg og hed noget i retning af "www.web45.com/js.xxxxx" etc..

Det er altså ikke almindelige links på PokerNet, som bliver udnyttet og det er derfor fuldstændig sikkert i relation til denne trussel stadig at klikke på links, som brugere putter i deres posts til youtube, EB, BT etc..

@thomasn

Vores webmaster fandt og lukkede også hullet ret hurtigt. Men det skal ikke være nogen hemmelighed, at online sikkerhed er et ret stort issue for mig personligt, da jeg ikke selv er den store nørd. Derfor vil jeg gerne have, at en ekspert løber hele vores system igennem for at sikre, at vi er så godt dækket ind som man kan forvente imod trusler der kan ramme vores brugere i stedet for, at vores webmaster bare lukker dette ene hul.

Vi gjorde dette for et godt stykke tid siden, men herefter er der nok dukket et par nye metoder op, som vi ikke har været beskyttet godt nok overfor. Og jeg har bestemt ikke noget imod, at stikke 20K ud for en sikkerhedsekspert, hvis dette medfører, at såvel jeg som brugerne kan sove roligt og vide, at der skal absolut top hacker arbejde til, at komme ind på PokerNet.

/Mikael

dtm, tror nu der findes programmer der kan søge jeres side igennem for huller.

@Zeus84

Den type programmer kan ikke bruges af den defensive, da de ikke kan garantere at de finder alle huller.

@DanTheMan

I har ikke fået ryddet ordenligt op, hvis man kigger i kildekoden vil man se at der stadig er script henvisninger i forbindelse med bannerteksten om månedens sponsor.

Må sku nok sige jeg er overrasket over hvor mange mennesker der har trykket på de links :) Jeg har en god regl med jeg aldrig trykket på et link jeg ikke kender uden at spørge hvad det er først .. Måske skulle flere prøve den politik :)

Jeg trykkede nu heller ikke på et af de åbenlyse virus-links i forummet, men kom til at klikke på et banner-reklame og blev så viderestillet til adw95.com som man nok bør holde sig fra.

En Full System scan med Norton OG AVG Free viser ikke umiddelbart noget. Kan jeg tage det for gode varer? Eller kan jeg regne med jeg har fået en eller flere trojanske ind ligesom flere andre skriver i denne tråd?

@Eeben

Det er desværre sådan at det ikke engang er nødvendigt at trykke på noget link for at man kan komme i problemmer. Der er benyttet en injection af et script der loader en iframe hvor man får hentet den skadelige kode.

Det er "heldigvis" sådan at de har fået lagt deres script på så mange hjemmesider at deres server er overbelastet og man i de fleste tilfælde ikke når at få hentet deres skadelige script, men der skal desværre ikke mere end 1 gang til før det går galt...

Et godt råd er at deaktivere javascript indtil Pokernet har fået helt styr på problemmet (har de ikke endu), da man derved ikke er i fare, men det fjerner desværre også lidt at funktionaliteten på dette site..

AVG Free only includes the Safe Search protection which provides you with advice on search results. It does not protect against infected pages. Only AVG paid versions contain the Safe Surf technology.

@DTM
Som tidligere nævnt er i ret åbne for SQL injections.

Som man (forholdsvis) ofte kan se når i har fejl eller er overbelastede, så returnerer i "SQL" fejl m.m. til brugeren.

Disse fejl kan udnyttes til at foretage SQL injections ind i jeres database.

Den dårlige nyhed er at, der sikkert skal kodes en del om i jeres applikation for at sikre jer (brug af stored proc's etc...).

Vi er meget glade for den feedback vi får i denne tråd fra brugere, der har god erfaring indenfor IT sikkerhed. Sikkerhed er noget der skal være i orden og vi er villige til at gå langt for at sikre, at vi kan lukke evt. huller, så brugerne i fremtiden ikke har nogle som helst problemer af denne art.

/Mikael

Men er der helt ryddet op eller hvordan?
Ville finde nogle billeder til dual-screen og fandt en gammel tråd i akivet men der ligner linkene dem som i beskriver i denne her tråd.

@DTM

Min første post i denne tråd skulle ses, dels som bekymring da jeg benytter PN i mange timer hver dag.

Dernæst, og måske endnu vigtigere som en provokation der måske kunne få jer op af stolene.


Nu er det hackerangreb det drejer sig om denne gang, men mange brugere herinde venter stadig på nyheder om "eliteforummet", og jeg selv i højere grad venter på et svar vedrørende hårdere moderering (tråden "Trollenet" har ligget derude i en uge uden svar)

det virker på mig som om i slæber benene lidt med disse sager, og min bekymring bliver bestemt ikke mindre, når min egen pc er i fare

Er PN politikken "så længe der bare er brugere går det nok"?

Er det bare mig der er paranoid men når jeg loader en anden post end denne her f.eks. tager det meget lang tid og der står i bunden af browseren:

"Venter på svar fra www.adw95.com"... <--- hvad fanden er det?

Hvis man bare undlader at trykke på links, så får man da ingenting..

Man skal bare bruge hovedet:)

@rippon

Vi har fået fjernet langt det meste, men der kan stadig være nogle et par steder, så vær påpasselig. Almindelige links er dog OK.

@Ih8twos

Jeg ved ikke hvor du har fået den ide, at vores support foregår i forummet. Bevares, vi svarer da hvis vi ser spørgsmål i forummet, men vvis du vil være sikker på at få svar fra os, så send os en mail. Vi kan ikke være over forummet 24/7 og grundet konference har jeg slet ikke set den tråd du omtaler.

Mht. modereringen, så er det ekstremt svært. Der skal være en balance, men det er altså bedst, hvis brugerne i stor stil griber lidt i egen barm og har lidt selvkritik. F.eks. forstår jeg ikke, at du kan klage over modereringen, da en hårdere linie ville medføre, at halvdelen af de tråde du selv har startet igennem de sidste 3 måneder, ville blive slettet. Nærmere betegnet:

www.pokernet.dk/forum/show.asp?tid=158164
www.pokernet.dk/forum/show.asp?tid=157584
www.pokernet.dk/forum/show.asp?tid=154785

Mht. eliteforummet, så kan jeg godt forstå, hvis folk ikke mener, at denne sag er blevet løst hurtigt nok. Vi har arbejdet på et stort projekt i et godt stykke tid nu (som vi regner med at launche i næste uge) og derefter står færdiggørelsen af VIP og EKSPERT forums øvrest på webmasters to-do list.

Vores politik er bestemt ikke som du antyder. I så fald ville vi aldrig nogensinde have lavet så mange projekter, som vi har gjort igennem tiderne. Et magasin med underskud, non profit WSOP Camps, PokerNet Kontoret (igen et økonomisk "udfordret projekt") etc..

Dette skal ikke læses som at vi ikke kan gøre det bedre, for det kan vi bestemt og hele web situationen vil være meget højt på dagsordnen ved næste bestyrelsesmøde. For det kan og skal gøres bedre.

Men at skyde os i skoene, at vi intet gør og bare lader "stå til" fordi vi har mange brugere, er efter min egen mening at presse den en smule.

/Mikael

@johnson

Jeg håber du får svar, for jeg har samme problem her...

@johnson et al.
adw95.com er det link der automatisk forsøges hentet når man besøger pokernet p.t.

Hvis du henter Firefox ( www.mozilla-europe.org/da/products/firefox/ ) samt noscript ( noscript.net/ ) vil angrebet ikke lykkedes, da scriptet på adw95.com så ikke afvikles på din pc

Jeg bruger Firefox :) Er det derfor min anti-virus ikke opfangede noget? Jeg har altså ikke fået noget skidt ind?

glem det..meningsløs post

@Gaza

Nej, firefox alene er desværre ikke en 100% garanti.

p.t. kan jeg ikke få lov til at hente den side som scriptet forsøger at loade. (Serverne giver en 500 Internal Error). Derfor kan din browser sikkert heller ikke hente siden... Men alle pn's brugere er derfor p.t. reelt udsatte hver gang de loader pokernet.

Får hele tiden besked om en ny version af AVG, men den ser ud til at koste penge.. Nogle der ved besked?