Atak

[Roman.P]

Mój program antywirusowy NORTON sygnalizuje próbę ataku ze strony nano reef

O co tu chodzi?

Kategoria: Zapobieganie włamaniom

Data i godzina,Zagrożenie,Operacje,Stan,Zalecane działanie,Nazwa alertu systemu zapobiegania włamaniom,Działanie domyślne,Podjęte działanie,Atakujący komputer,Adresowi URL atakującego,Adres docelowy,Adres źródłowy,Opis ruchu sieciowego

2013-07-26 21:03:26,Wysoki,Zablokowano próbę włamania podjętą przez www.reefshop.pl.,Zablokowano,Nie jest wymagane żadne działanie,Web Attack : Malvertisement Website Redirect,Nie jest wymagane żadne działanie,Nie jest wymagane żadne działanie,"www.reefshop.pl (91.200.187.250, 80)","www.reefshop.pl/reklama/www/delivery/ajs.php?zoneid=8&cb=90477478698&charset=ISO-8859-2&loc=http://nano-reef.pl/plug.php?e=account","ROMAN-KOMPUTER (10.0.0.67, 50912)",91.200.187.250 (91.200.187.250),"TCP, www-http"

Komunikację sieciową z <b>www.reefshop.pl/reklama/www/delivery/ajs.php?zoneid=8&cb=90477478698&charset=ISO-8859-2&loc=http://nano-reef.pl/plug.php?e=account</b> dopasowano do sygnatury znanego ataku. Atak wynikał z \DEVICE\HARDDISKVOLUME1\PROGRAM FILES\MOZILLA FIREFOX\FIREFOX.EXE. Aby przestać otrzymywać powiadomienia o tym typie ruchu, w okienku <b>Działania</b> kliknij pozycję <b>Przestań powiadamiać</b>.

[sepher]

Strona jest czysta:

https://www.virustotal.com/pl/url/7f9b4b22d78e37b79bc3bf6a343a36fa78073bea63444da8ffe4f587c52641f9/analysis/1374866204/

[Walker]

Eh ten Norton

Takie coś może?

Chyba Symantec nie lubi morszczaków na całym świecie

[Roman.P]

Jakoś kupuję Nortona od paru lat.

Mm do niego jakieś zaufanie.

Więc komunikat o ataku ze strony reef shopu mocno mnie intyrygują.

O co biega?

[adam_s]

Też miałem podobny komunikat w NOD32 :-)

[Włodzimierz]

Mam tak samo.

[Walker]

Jakoś kupuję Nortona od paru lat.

Mm do niego jakieś zaufanie.

Więc komunikat o ataku ze strony reef shopu mocno mnie intyrygują.

O co biega?

Najprawdopodobniej któraś z reklam na Reefshopie używa przekierowań które Twój program antywirusowy uznał za niedozwolone i potraktował jako zagrożenie. Stąd komunikat że nie musisz nic robić bo czynność została zablokowana.

[Roman.P]

Najprawdopodobniej któraś z reklam na Reefshopie używa przekierowań które Twój program antywirusowy uznał za niedozwolone i potraktował jako zagrożenie. Stąd komunikat że nie musisz nic robić bo czynność została zablokowana.

No to niech reefshop zabezpieczy system tak aby nie było zagrożeń ani takich komunikatów.

Nie mam zamiaru walczyć z zagrożeniami i systemem.

Jest tyle zagrożeń w internecie że strach się bać. A jeszcze do tego komunikat o zagrożeniu ze strony właściciela forum to

[robi]

Powiem tak , jeśli nie "łazisz" po "dziwnych" stronach to antywirus jest zbędny, zapora - defender wystarczy dla użytkowników "okienka" ,ale jak ktoś lubi wydawać kasę ...

[sepher]

Powiem tak , jeśli nie "łazisz" po "dziwnych" stronach

http://www.conowego.pl/aktualnosci/latwiej-o-wirusa-na-zwyklej-stronie-niz-na-stronie-porno-8873/

[robi]

CISCO ??? opłacane przez producentów antywirusów...

[helmofon]

Microsoft Internet Security and Acceleration Server (ISA Server) także blokuje dostęp do strony.

Edytowane 6 Września 2013 przez helmofon (wyświetl historię edycji)

[inmar]

Ja tam używam darmowego Avasta chyba od zawsze i nigdy nie miałem problemu a kompa używają my i dzieciaki łażąc gdzie się tylko da.

[petrus1]

Comodo internet security też bezproblemowo, free, trzeba tylko wiedzieć że większość antywirusów darmowych szpieguje, tak jak strony, np. msn. Jak uruchomię PeerBlock to wiele stron jest blokowanych, msn także.

[Diabelss]

Czy jest zagrożenie czy nie program antywirusowy musi się odzywać abyśmy się lepiej poczuli że nie wydaliśmy monety na darmo.

[adam_s]

CISCO ??? opłacane przez producentów antywirusów...

Raczej nie, za poważna firma i robi naprawdę dobry sprzęt w pełni programowalny. Dlatego taki raport uważam za jak najbardziej realny. Przeciętny Kowalski Cisco sobie nie kupuje :-)

[helmofon]

Wy wszyscy o maluśkich (antywirusy itp), parę postów wyżej napisałem że ISA także blokuje stronę, a raczej jej elementy.

A może jest odwrotnie tym co nie blokuje mają za słabe zabezpieczenia ????

Myślę że problem jest dość poważny i należało by się tym zająć: przeanalizować kod itd a nie pisać o tym jak to działa oprogramowanie na stacjach klienckich.

Jeżeli właściciele serwisu potrzebują pomocy proszę o PW postaram się podesłać dokładniejsze logi co i jak.

Ale dopiero w poniedziałek.

Edytowane 6 Września 2013 przez helmofon (wyświetl historię edycji)

[Diabeł prawdziwy]

McAffe security Scan Plus mi też pokazuje!

Szkodliwe witryny.

Ale ignoruję to.

[ssj44]

Mi avast nie blokuje

[zachu]

U mnie ostatnio avast krzyknął i zablokował baner reef shopu. A tak to Luzik .

[AdamB]

U mnie to samo

Moze nie jest to niebezpieczne a le na maxa wq......ce . A pokazuje sie od niedawna. Wczesniej nic takiego sie nie dzialo

Moze jednak ktos sie temu przyjzy ?

"Kategoria: Zapobieganie włamaniom

Data i godzina,Zagrożenie,Operacje,Stan,Zalecane działanie,Nazwa alertu systemu zapobiegania włamaniom,Działanie domyślne,Podjęte działanie,Atakujący komputer,Adresowi URL atakującego,Adres docelowy,Adres źródłowy,Opis ruchu sieciowego

2013-09-09 12:22:58,Wysoki,Zablokowano próbę włamania podjętą przez www.reefshop.pl.,Zablokowano,Nie jest wymagane żadne działanie,Web Attack : Malvertisement Website Redirect,Nie jest wymagane żadne działanie,Nie jest wymagane żadne działanie,"www.reefshop.pl (91.200.187.250, 80)","www.reefshop.pl/reklama/www/delivery/ajs.php?zoneid=8&cb=80539743382&charset=iso-8859-2&loc=http://nano-reef.pl/forum/83-sprawy-forum/&referer=http://nano-reef.pl/topic/58283-atak/","ADAM-PC (192.168.1.13, 58949)",91.200.187.250 (91.200.187.250),"TCP, www-http"

Komunikację sieciową z <b>www.reefshop.pl/reklama/www/delivery/ajs.php?zoneid=8&cb=80539743382&charset=iso-8859-2&loc=http://nano-reef.pl/forum/83-sprawy-forum/&referer=http://nano-reef.pl/topic/58283-atak/</b> dopasowano do sygnatury znanego ataku. Atak wynikał z \DEVICE\HARDDISKVOLUME2\PROGRAM FILES\INTERNET EXPLORER\IEXPLORE.EXE. Aby przestać otrzymywać powiadomienia o tym typie ruchu, w okienku <b>Działania</b> kliknij pozycję <b>Przestań powiadamiać</b>. "

[Przemek]

To jest reakcja na reklamę banerową - skrypty przekierowujące wywołania i zliczające je w bazie danych(wraz z szczegółowymi statystykami.

To nie jest tak że coś się zmieniło na stronie RS - po prostu dokonał się "updejt" Waszych baz danych w programach i stąd programy krzyczą.

[helmofon]

Powiem szczerze, że pierwszy raz się z czymś takim spotykam.

A upierdliwość problemu jest maga irytująca.

Ja nie dość że mam komunikat z antywirusa to drugi jest z serwera proxy i klikaj panie po 20 razy

Wy padało by jednak popracować nad rozwiązaniem które stosujecie, bo jest hmmm nieeleganckie.

[Przemek]

Rozumiem, choć jak wspomniałem - nic nie zmienialiśmy w systemie zarządzania reklamami od 1.5 roku.

Trudno jest mi powiedzieć dlaczego teraz niektóre programy antywirusowe odbierają to jak malvertisment - od strony kodu serwera nie było nic zmienione.

Sprawa będzie sprawdzana przez administratora - będziemy szukali najlepszego możliwego rozwiązania problemu z tymi komunikatami.

[helmofon]

Jeżeli to coś pomoże to problem występuje od około miesiąca. Tak mi się wydaje. Natomiast upierdliwość wzrosła w ostatnich paru dniach.

Początkowo był to jeden komunikat teraz jest masa.

Najpierw był to norton, teraz dołączyła się ISA, czego wcześniej nie zaobserwowałem.