Dubbningshemsidans forum

Dubbningar => Om Dubbningshemsidan => Ämnet startat av: Henrik skrivet 26 november 2012 kl. 11:35:19

Titel: Virus på Dubbningshemsidan
Skrivet av: Henrik skrivet 26 november 2012 kl. 11:35:19
När jag försökte komma till Dubbningshemsidans förstasida reagerade mitt antivirusprogram på att det verkar finnas nån sorts trojan kopplad till sidan, och vägrar koppla mig vidare (vilket ju är bra om så är fallet). Jag kan komma in på forumet utan bekymmer, men förstasidan kommer jag inte till. Det kommer inte upp nån varning om falska virus, utan mitt antivirusprogram avbryter själv anslutningen. Är det nån mer än jag som har drabbats av det här och vet vad det kan bero på?
Titel: SV: Virus på Dubbningshemsidan
Skrivet av: Daniel Hofverberg skrivet 26 november 2012 kl. 14:03:16
Jag besökte startsidan på jobbet för att bevisa att sidan är ofarlig, men just efter det drabbades faktiskt datorn av en trojansk häst - en väldigt besvärlig historia vid namn System Progressive Protection, som blockerar alla program på hela datorn från att köras. Det kan förstås ha varit en tillfällighet, men i kombination med din rapport blir jag tyvärrmisstänksam över att ditt antivirusprogram har rätt.

Frågan är då vad som orsakar detta? Sajten i sig är garanterat 100% ofarlig, så som jag kan se det finns det bara två alternativ:

Personligen lutar jag åt det förstnämnda alternativet, då jag har svårt att tro att Facebooks egen server skulle innehålla skumraskaffärer.

Min första tanke är att problemet ligger i Googles användning av godkända externa annonsnätverk (som inte går via Googles servrar), och att något av dessa annonsföretag är skumma som installerar virus/trojaner via utnyttjande av säkerhetshål i webbläsare. Därför har jag tills vidare blockerat alla externa annonsnätverk för annonserna på Dubbningshemsidan, så får vi se om det löser problemet.

Jag skulle uppskatta om du försöker att besöka startsidan igen, och se om du fortfarande får samma meddelande. Om du får det vore det uppskattat med mer detaljer om vilket antivirusprogram du har och exakt vilket meddelande du får. Kan du få fram någon form av detaljerad information om var exakt felet ligger eller vilken slags trojan?
Titel: SV: Virus på Dubbningshemsidan
Skrivet av: Henrik skrivet 26 november 2012 kl. 15:05:32
Tack för svaret, Daniel. Nu kom jag fram till förstasidan utan att jag blev stoppad och allt såg normalt ut. När jag tittade igenom loggfilerna över hot som mitt antivirusprogram har upptäckt stod det att hotet var: "JS/Kryptik.ACA Trojan". Det säger kanske dig mer än det gör mig, för jag vet inte hur allvarligt det är, även om alla trojaner ju är allvarliga. Vi får hoppas att det inte händer igen.
Titel: SV: Virus på Dubbningshemsidan
Skrivet av: Daniel Hofverberg skrivet 26 november 2012 kl. 16:20:19
JS/Kryptik.ACA säger tyvärr inte mig så mycket heller, och inte heller hittar jag mycket klokt vid en webbsökning...

Jag hoppas att det fortsätter att fungera, men det är ju inte alls säkert att problemet egentligen är löst - om min teori stämmer att det är någon annons som är skum, så kan det ju innebära att varningen/blockeringen bara uppstår de gånger som just den annonsen väljs att visas (vilket kanske inte är speciellt ofta).

Hursomhelst uppskattar jag besked snabbt om du eller någon annan råkar ut för samma sak igen, för i så fall vet jag att problemet inte låg i annonserna via de externa annonsnätverken (som jag nu alltså blockerat). Tills vidare fortsätter jag att blockera de externa annonsnätverken för Dubbningshemsidans annonser - det försämrar förmodligen sajtens intäkter då det blir färre annonser som visas, men jag inbillar mig att Google bör ha koll på annonserna som går via deras egen server så att de inte släpper igenom riktigt vad som helst.

Jag har skickat feedback om det här till Google också via deras feedbackformulär, men jag vet ärligt talat inte hur mycket de bryr sig om meddelanden av det här slaget. Tyvärr verkar de inte längre ha någon normal e-postadress, så att det inte går att få tag i berörda avdelningar direkt.
Titel: SV: Virus på Dubbningshemsidan
Skrivet av: Elios skrivet 9 december 2012 kl. 02:34:27
Nu sa mitt antivirus program detta när jag skulle gå in på avdelningen ''Dubbningar och Credits:''
Danger: The AVG Security Toolbar has detected active threats on this page and has blocked access for your protection. Learn more.

Return to the previous page and choose another link (recommended).


Titel: SV: Virus på Dubbningshemsidan
Skrivet av: Daniel Hofverberg skrivet 9 december 2012 kl. 02:45:03
Hmm, det var märkligt. Jag trodde att problemet låg i annonser från externa annonsnätverk (som jag stängt av), och jag har själv inte råkat ut för någonting sedan jag stängde av det. Står det någon mer information om vilket slags hot som skulle finnas på den sidan?
Titel: SV: Virus på Dubbningshemsidan
Skrivet av: Elios skrivet 9 december 2012 kl. 03:01:20
Nej den verkar bara säga just det. Den blir även så om man går in på kortfilmsavdelningen.
Titel: SV: Virus på Dubbningshemsidan
Skrivet av: Elios skrivet 9 december 2012 kl. 03:13:55
Nu när jag startat om datorn verkade det funka igen. Men men hoppas bara det inte händer igen.
Titel: SV: Virus på Dubbningshemsidan
Skrivet av: Daniel Hofverberg skrivet 9 december 2012 kl. 03:24:42
Det måste rimligtvis bero på Google-annonserna, då det är det enda på den sidan som jag inte har full koll över och som det kan tänkas vara något skumt med (jag har svårt att tro att något antivirusprogram kan reagera över Facebook-integrering, som är det enda andra externa på den sidan).

Jag har nu provat att återigen ändra inställningarna för Google Adsense till mer restriktiva sådana, så hoppas jag att ingen ska hitta något skumt på de sidorna igen.
Titel: SV: Virus på Dubbningshemsidan
Skrivet av: Henrik skrivet 12 december 2012 kl. 10:10:17
Jag råkade precis ut för virus igen, och precis som för Elios var det på sidan svenska röster och credits. Jag råkade också ut för virus för några dagar sedan när jag skulle gå in på forumet, men jag tänkte att det borde folk lägga märke till rätt snabbt och försöka ordna. Det verkar som om vad det än är för virus så hoppar det mellan olika delar av dubbningshemsidan, vilket ju inte kan vara bra. Den här gången stod det i loggfilerna att det var "JS/Kryptik.ADE Trojan", så jag misstänker att det rör sig om en nyare version än "JS/Kryptik.ACA Trojan".

För övrigt så ligger inte creditlistan över "De fem legenderna" uppe, det var därför jag gick in på Svenska röster och credits.
Titel: SV: Virus på Dubbningshemsidan
Skrivet av: Elios skrivet 12 december 2012 kl. 11:28:50
Jo jag märkte också att De fem legenderna inte heller var uppe.
Titel: SV: Virus på Dubbningshemsidan
Skrivet av: Daniel Hofverberg skrivet 12 december 2012 kl. 13:13:53
Det var inte alls bra. Jag har kontaktat Google i det här ärendet, men tyvärr har de inte behagat sig att svara -  annars tycker man ju att det borde vara i deras intresse att så snabbt som möjligt komma till botten med om annonsörer utnyttjar deras annonsnätverk för att sprida trojaner...

Sajten i sig är garanterat 100% virusfri, så den enda andra förklaringen förutom Google-annonserna är integreringen med Facebook (Gilla-knappar, etc.) - och ärligt talat har jag svårt att tro att Facebooks servrar skulle innehålla trojaner eller liknande.

För att komma lite närmare sanningen får jag nog prova att tillfälligt helt ta bort alla annonser i Svenska röster och credits - om problemet då inte återkommer, så bör vi vara ganska säkra på att det är en eller flera Google-annonser som är boven i dramat.

Om man har Windows 7 bör det för övrigt inte vara någon säkerhetsrisk att använda sajten ändå, för de här trojanerna utnyttjar säkerhetshål i webbläsare för att ladda trojanen, och såvitt jag vet ska alla sådana säkerhetshål vara tilltäppta i Internet Explorer 9.0 (som följer med Windows 7). Kör man däremot fortfarande Windows XP kan det vara på sin plats att vara lite försiktigare.
Titel: SV: Virus på Dubbningshemsidan
Skrivet av: Elios skrivet 24 december 2012 kl. 02:55:30
Nu hände något här på forumet. När jag kommer till en avdelning till exempel Om Dubbningshemsidan och sedan går tillbaks till startsidan så möts jag av denna virusvarning: Danger:

The AVG Security Toolbar has detected active threats on this page and has blocked access for your protection. Learn more.

Return to the previous page and choose another link (recommended).

Tråkigt att sånt ska hända på självaste julafton.  :(

Titel: SV: Virus på Dubbningshemsidan
Skrivet av: Daniel Hofverberg skrivet 25 december 2012 kl. 02:53:33
Stod det någon mer information om vilket slags hot? Annars är det som sagt inte lätt för mig att veta var felet ligger, även fast jag kraftigt misstänker att det rör sig om en eller flera annonser via Googles annonsnätverk.

Jag har i alla fall inte själv lyckats att reproducera det här fenomenet sedan den 26 november.
Titel: SV: Virus på Dubbningshemsidan
Skrivet av: Elios skrivet 25 december 2012 kl. 03:21:51
Det dyker upp ibland här och där.
För den mesta delen så fungerar det men ibland så kommer hoten upp.
Om det händer igen ska jag ta mig en närmare titt på saken.
Titel: SV: Virus på Dubbningshemsidan
Skrivet av: Daniel Hofverberg skrivet 26 december 2012 kl. 02:56:21
Nu har jag precis också drabbats av samma sak, och det märkliga är att det för mig hände här på forumet. Såvitt jag vet finns inga annonser här på forumet, så därför börjar jag undra om jag har tänkt fel och det är någonting annat än Google-annonserna som spökar.

Jag förstår ärligt talat inte vad det kan vara, då den enda externa kopplingen på forumet är "Gilla"-knappar för Facebook - och jag har svårt att tro att de skulle kunna smitta datorer med virus eller trojaner.

Jag ska kontakta mitt webbhotell, och höra om de har någon idé om vad det här kan bero på. Jag skulle också vilja höra från andra om någon av er drabbats av liknande fenomen här på forumet, eller andra sidor som inte har annonser.
Titel: SV: Virus på Dubbningshemsidan
Skrivet av: gorehound skrivet 26 december 2012 kl. 04:53:58
En tråd med någon som har liknande problem med deras SMF: http://www.simplemachines.org/community/index.php?topic=469940.0

Har också märkt att de har släppt 2.0.3 versionen med uppgraderad säkerhet, kanske vore bra att testa uppgradera forumet? :) Hoppas allt detta löser sig.

http://www.simplemachines.org/community/index.php?topic=492786.0
Titel: SV: Virus på Dubbningshemsidan
Skrivet av: Daniel Hofverberg skrivet 26 december 2012 kl. 18:11:35
I det här fallet tror jag knappast att det har med SMF att göra, i och med att det inträffat både på forumet och sajten i övrigt. Men i vilket fall som helst är det ju ingen dum idé att uppgradera SMF till 2.0.3, så det ska jag göra snarast.
Titel: SV: Virus på Dubbningshemsidan
Skrivet av: carlsson skrivet 6 februari 2013 kl. 09:06:16
Jag aktiverade precis mitt konto (Windows XP, webbläsare Firefox 18.0.1), och då spottade AVG 2012 ur sig en varningsruta om Exploit Blackhole Exploit Kit (type 2371). Det är enligt AVG:s sida det mest förekommande just nu. Visserligen har AVG en förmåga att ge falska varningar, men något mysko måste ändå kvarstå. Det kan sägas att jag igår kväll surfade hit från en annan dator som har Ad-Aware installerat, och då fick jag inga varningar alls.

Det verkar bara dyka upp ibland, så jag vet inte hur det ska kunna felsökas.
Titel: SV: Virus på Dubbningshemsidan
Skrivet av: Daniel Hofverberg skrivet 6 februari 2013 kl. 12:27:17
Mycket riktigt är det närmast hopplöst att kunna felsöka något som inte inträffar jämt, då man inte gärna kan veta om det är löst eller inte. Men det är i alla fall ingenting skumt i sajten som sådan och den kod jag har full kontroll över, så i praktiken finns det tre alternativ:

1. Något tekniskt skumt med själva webbhotellet, så att något virus på servern lägger till skum kod till sidorna efter att jag har laddat upp dem.

2. Någon skum annonsör bland Google-annonserna (men i så fall vilken?)

3. Någon skum kod hos Facebook, som orsakar problem vid integration med Facebook (Gilla-knappar, etc).

carlsson: Fick du varningen när du var på själva forumet, alltså vid aktivering av ditt konto på forumet? För på den sidan finns det nämligen såvitt jag vet inga annonser och heller inga Gilla-knappar, så i så fall måste det nästan vara vid punkt 1 som någonting spökar.

I så fall får jag kontakta webbhotellets serveradministratör, och ber att de undersöker saken på deras sida.
Titel: SV: Virus på Dubbningshemsidan
Skrivet av: carlsson skrivet 7 februari 2013 kl. 21:17:06
Ja, jag klistrade in aktiveringslänken och fick varningen om virus på en gång... Jag hade läst den här tråden innan + att jag fått virusvarningar om resten av sajten tidigare så jag var lite förberedd.
Titel: SV: Virus på Dubbningshemsidan
Skrivet av: Daniel Hofverberg skrivet 8 februari 2013 kl. 00:53:22
Då spricker mina tidigare teorier, i och med att det inte finns några annonser på forumet i dagsläget. Då måste det alltså nästan vara något med själva webbhotellet, trots att jag inte för mitt liv förstår hur.

Jag får lov att kontakta webbhotellet, och höra om de har någon teori.
Titel: SV: Virus på Dubbningshemsidan
Skrivet av: carlsson skrivet 8 februari 2013 kl. 11:45:52
Den enda externa script-koden som både forumet och själva Dubbningshemsidan har gemensamt är Facebook-kopplingen. Jag vet inte om det scriptet (connect.facebook.net/sv_SE/all.js) utsätts för hackers/virus och beroende på vilken av Facebooks servrar som för tillfället svarar när webbläsaren försöker hämta det, kan en trojan utlösas. Med tanke på Facebooks storlek och hur många sajter som är kopplade dit med liknande script, känns det tyvärr inte osannolikt att det kan vara boven i dramat. Å andra sidan händer det inte hela tiden, så svårt att plocka bort kopplingen och se om det blir någon skillnad.
Titel: SV: Virus på Dubbningshemsidan
Skrivet av: Daniel Hofverberg skrivet 8 februari 2013 kl. 15:18:13
Det är sant, och visst är det tänkbart att någon av Facebooks servrar drabbats av någon form av trojan. Men såvitt jag vet finns kopplingen till Facebook inte med på just aktiveringssidan när man aktiverar ett konto, utan bara på övriga sidor av forumet (främst själva trådarna/inläggen).

Eller visst kommer man till någon form av bekräftelsesida när man aktiverar, innan man kommer tillbaka till själva forumet? Det var så länge sen jag själv gjorde det...
Titel: SV: Virus på Dubbningshemsidan
Skrivet av: carlsson skrivet 12 februari 2013 kl. 16:37:54
Ja, det är en bekräftelsesida emellan. Jag kan berätta att nu när jag besökte forumets startsida, fick jag återigen samma exploit-varning 2371 från AVG, exakt samma som förra gången. Men det inträffar ju inte hela tiden, och heller inte på några andra webbsidor jag besöker med denna webbläsare.

Nåväl, jag litar på att så länge antivirusprogrammet skriker till, kommer eventuella exploits att stoppas från att köra. Det är förstås ingen bra lösning, men ...
Titel: SV: Virus på Dubbningshemsidan
Skrivet av: Daniel Hofverberg skrivet 12 februari 2013 kl. 19:50:54
På bekräftelsesidan ska det såvitt jag vet inte finnas någon Facebook-koppling, så i så fall återstår alltså bara tekniska orsaker med webbhotellet.

Och på tal om det upptäckte jag precis något mycket underligt - på recensionssidorna var det inlagt någon PHP-kod som jag är 99,9% säker på att jag inte har lagt in. Det verkar röra sig om någon kod som försöker skicka data till sajten www.botsvsbrowsers.com. Nu ser väl den sajten ut att vara förhållandevis oskyldig, och eftersom koden bara verkar ha legat på recensionssidorna och inte på övriga sidor på sajten tror jag inte att det bör ha något med virusvarningarna att göra, men jag skulle ändå verkligen vilja veta hur främmande kod kommit in på skriptsidorna på servern (som bara jag bör ha tillgång till).

Jag vet inte om någon har lyckats hacka sig in på servern eller mitt konto där, och därigenom har lagt till främmande kod på en sida, eller hur det här egentligen har gått till. Det är i alla fall inget gott tecken, i vilket fall som helst...

Jag får lov att vända mig till webbhotellet, och be att de försöker komma till botten med det här.
Titel: SV: Virus på Dubbningshemsidan
Skrivet av: carlsson skrivet 14 februari 2013 kl. 11:53:44
SQL-injektioner eller liknande? Det är inte helt ovanligt, finns t.o.m. verktyg för att testa varje sida med olika slags inparametrar. Om man har tillgång till råa loggar brukar man se om de stuckit iväg i storlek ovanligt mycket, det kan vara ett tecken på att en bot testat sig fram.

(Idag fick jag ingen virusvarning från forumet, så det är verkligen något som kommer och går, eller så är det antivirusprogrammet som inte alltid är på hugget?)
Titel: SV: Virus på Dubbningshemsidan
Skrivet av: Daniel Hofverberg skrivet 19 februari 2013 kl. 16:56:50
Och idag fick jag för första gången virusvarning på forumet från mitt antivirusprogram (Microsoft Security Essentials). På forumet finns ju inga Google-annonser, så man kan i alla fall utesluta det som felkälla. Tyvärr lyckades jag inte hitta åt filen som den klagar på i Temporary Internet Files, då det annars hade varit värdefullt att få se HTML-koden ifråga och se vad exakt som är skumt.

Såvitt jag vet ska det inte vara möjligt med SQL-injektioner här, då vi städar alla indata väldigt noggrant.

Dessutom är det något väldigt skumt som pågår med mitt konto, då jag i natt upptäckte att det tillkommit en skum PHP-fil vid namn counter.php som försöker att skicka data till någon okänd krypterad sida, och att ett antal filer här på sajten uppdaterats utan min vetskap för att anropa denna counter.php. Jag har ingen aning vad som pågår, men det verkar onekligen som att någon har lyckats att hacka sig in på FTP-servern och därmed har kommit åt att ändra i filer. Antingen är något galet med webbhotellet så att någon har lyckats att hacka sig in på servern globalt, eller också har någon listat ut mitt FTP-lösenord och lyckats ansluta till mitt konto. Som försiktighetsåtgärd har jag i alla fall bytt alla mina lösenord, utifall att det är där någon har lyckats att hacka sig in. Jag ska också snarast kontakta webbhotellet, och be de undersöka saken. Och givetvis har jag återställt alla filer till rena versioner, och tagit bort den skumma counter.php.
Titel: SV: Virus på Dubbningshemsidan
Skrivet av: Elios skrivet 6 juli 2023 kl. 07:28:26
Det har inte skett fler virusattacker på Dubbningshemsidan på flera år hoppas jag. 
Var inte de senaste ungefär 2017-2019!?