Про идиотов из СУПа
Jan. 15th, 2012 11:59 am![[personal profile]](https://www.dreamwidth.org/img/silk/identity/user.png){kind=small}
vit_rUPD: Дыру в ЖЖ уже залатали, так что эта запись не актуальна. Кто подарил пароль хакерам, не забудьте поменять.
UPD 2: Так как сюда до сих пор продолжают заходить люди, а тут информация для минимально знающих CSS, добавлю следующее:
Речь об окне, похожем на окно логина ЖЖ, которое вылезало при заражении одного из пользователей в ленте.
Те, кто вводил логин и пароль (или вверху, или в форме внизу), отсылали данные на сайт хакеров. Которые сразу ставили пост с кодом для атаки (окно логина, вылезавшее поверх всех других окон). Скорость заражения была очень высокая, а СУП ловил ворон. Большинство смогли вовремя понять и сменить пароль. Кое-кто не успел.
В принципе, атака была плохо подготовлена и выполнена по-дилетантски. В частности, хакеры не меняли пароли пользователей сразу, не возвращали пользователей в ЖЖ, а выводили на левый сайт, и совершили кучу других недоработок. Только благодаря низкому качеству атаки её быстро локализовали сами же пользователи. Про реакцию СУПу можно прочитать в следующем посте.
Стоящий внизу код - быстрое решение, чтоб перекрыть окно хакеров и предупредить пользователей до того момента, пока СУП вымучает заплатку.
Дальше идёт оригинальный текст поста.
Это просто анекдот. При вводе CSS эти друзья не отделяют добра от зла.
Вот она расплата за порнографический дизайн ленты комментариев.
Содержание предыдущего теста:
Как видим, гениальные программисты предоставили все возможности для атаки. Взломщики работают с z-index: 99999;
Хорошо, что он сверху не ограничен и можно взять число побольше, чтоб влезть поверх их окна.
Чтоб убрать вылезающее поверх ленты окно, надо у себя в журнале сделать следующее
Ещё способ
Для пользователей Chrome+AdBlock Plus определить фильтр livejournal.com##DIV#b-fader
Для пользователей Firefox+AdBlock Plus определить фильтр livejournal.com#DIV(class=b-fader) (указал![[livejournal.com profile]](https://www.dreamwidth.org/img/external/lj-userinfo.gif)
dimrub)
Если атака продолжается и вы хотите защитить дузей, скопируйте следующую строку в последний пост. (Copy-Paste как HTML)
Проклятия идиотом из СУПа можете добавить по вкусу
TEST START
UPD: Если эта запись не вылезает поверх всех окон, значит СУП уже вырезает class="b-fader" из постов.
TEST END
UPD 2: Так как сюда до сих пор продолжают заходить люди, а тут информация для минимально знающих CSS, добавлю следующее:
Речь об окне, похожем на окно логина ЖЖ, которое вылезало при заражении одного из пользователей в ленте.
Те, кто вводил логин и пароль (или вверху, или в форме внизу), отсылали данные на сайт хакеров. Которые сразу ставили пост с кодом для атаки (окно логина, вылезавшее поверх всех других окон). Скорость заражения была очень высокая, а СУП ловил ворон. Большинство смогли вовремя понять и сменить пароль. Кое-кто не успел.
В принципе, атака была плохо подготовлена и выполнена по-дилетантски. В частности, хакеры не меняли пароли пользователей сразу, не возвращали пользователей в ЖЖ, а выводили на левый сайт, и совершили кучу других недоработок. Только благодаря низкому качеству атаки её быстро локализовали сами же пользователи. Про реакцию СУПу можно прочитать в следующем посте.
Стоящий внизу код - быстрое решение, чтоб перекрыть окно хакеров и предупредить пользователей до того момента, пока СУП вымучает заплатку.
Дальше идёт оригинальный текст поста.
Это просто анекдот. При вводе CSS эти друзья не отделяют добра от зла.
Вот она расплата за порнографический дизайн ленты комментариев.
Содержание предыдущего теста:
<div style="top: 0px; left: 0px; width: 80%; height: 10%; background-color: rgb(255, 255, 255); text-align: center; z-index: 999999; opacity: 1; font-size:300%; color:red" class="b-fader">
ЖЖ Взломан! Не вводите пароль!
...
Как видим, гениальные программисты предоставили все возможности для атаки. Взломщики работают с z-index: 99999;
Хорошо, что он сверху не ограничен и можно взять число побольше, чтоб влезть поверх их окна.
Чтоб убрать вылезающее поверх ленты окно, надо у себя в журнале сделать следующее
отсюда
http://www.livejournal.com/customize/options.bml?group=customcss
и прописать стиль:
.b-fader { display: none;}
Ещё способ
Для пользователей Chrome+AdBlock Plus определить фильтр livejournal.com##DIV#b-fader
Для пользователей Firefox+AdBlock Plus определить фильтр livejournal.com#DIV(class=b-fader) (указал
dimrub)Если атака продолжается и вы хотите защитить дузей, скопируйте следующую строку в последний пост. (Copy-Paste как HTML)
<div style="top: 0px; left: 10%; width: 100%; height: 10%; background-color: rgb(255, 255, 255); text-align: center; z-index: 9999999; opacity: 90%; font-size:300%; color:red" class="b-fader" >ЖЖ взломан! Не вводи пароль!<br />Подробности: http://vit-r.livejournal.com/509249.html</div>
Проклятия идиотом из СУПа можете добавить по вкусу
TEST START
ЖЖ взломан! Не вводи пароль!
Подробности: http://vit-r.livejournal.com/509249.html
Подробности: http://vit-r.livejournal.com/509249.html
UPD: Если эта запись не вылезает поверх всех окон, значит СУП уже вырезает class="b-fader" из постов.
TEST END
