Sari la conținut

Postări Recomandate

Postat (editat)

Nume: cashless

Numele celui reclamat?: @Rusu Radu

De ce faci această reclamație?: Baiatu' incarca fisiere pline cu malware pe categoria addons. Desi incerc sa fiu pe cat de calm posibil cu privire la asta, dupa ce am descarcat o arhiva pentru un addon de respawn, am avut surpriza neplacuta de infectie cu Win32/Neshta.Gen atat pe PC-ul meu cat si pe server-ul meu. Intrebarea mea este urmatoarea: Cum iti poti permite ca membru al staffului sa faci un oarecare "posthunt" doar ca sa oferi addons-uri vechi si virusate intentionat pentru distribuire, atat timp cat tu esti satisfacut ca iti indeplinesti numarul de postari din cerinte? :)) Sper sa luati in serios aceasta postare si sa realizati gravitatea situatiei.

Va las mai jos postarea, alaturi de link-ul original de download oferit de acest baiat, in caz ca are acces la post edit.

https://www.dropbox.com/scl/fi/6bs9eey4woaff4vl3iz0y/ADDONS-RESPAWN.rar?rlkey=wtmrsjx8mv7cl7oix49psimzi&st=tdcvi4wv&e=1&dl=0 - doar pentru referinta - nu descarcati nimic

Dovezi: https://www.virustotal.com/gui/file/eefcac497bf9752cf04b3630a45f60103b607d48c4d760101707a36909c17c11?nocache=1WT8tRqA.png

Edit: Am uitat sa mentionez si acest screenshot:
8JM9Agt.png

Editat de cashless
Adaugat screenshot
  • Like 1
Postat

Un link de pe forumul leaguecs de un ai luat te rog frumos sa pui

Postat (editat)

Nu cred ca are sens sa ascundem gunoiul sub preș,comunitatea asta nu a facut lucrurile astea,nici cand a fost ceva cu mult mai grav

 

Asa ca,pot zice ca problema nr 1,e ca plugin urile se pot posta la liber,si nu sunt date spre verificare,la un admin/scripter,si daca se întâmplă ceva,sa fie tras la răspundere cel ce a aprobat plugin-ul sau arhiva dăunătoare

 

Aceasta persoana pe care tu o reportezi,ia plugin uri,sau addons uri de pe net,se dau autor si scripter mai nou

 

Imi cer eu iertare pentru aceasta scăpare,si sper ca ai reușit sa scapi cu bine,după aceasta inconvenientă,un administrator va lua o decizie cat mai curând posibil,dar pot sa zic ca e inadmisibil ceea ce s-a întâmplat

 

UPDATE: Am ascuns plugin-urile ce le-am găsit in secțiunea scripting,postate de acesta,in alte locuri nu am acces,si ar fi ok daca s-ar muta tot ce tine de pluginuri si addonsuri,strict in secțiunea scripting,pentru ca de asta exista

Editat de BandB
  • Like 2
  • UP 1
  • Mersi 2
Postat
SALUT @cashless
Citat

Baiatu' incarca fisiere pline cu malware pe categoria addons. Desi incerc sa fiu pe cat de calm posibil cu privire la asta, dupa ce am descarcat o arhiva pentru un addon de respawn, am avut surpriza neplacuta de infectie cu Win32/Neshta.Gen atat pe PC-ul meu cat si pe server-ul meu.

Resping aceste acuzații deoarece nu am încărcat cu bună știință niciun fișier care să conțină malware. Fișierele publicate de mine au fost testate și utilizate fără să observ probleme de securitate.
Citat

Cum iti poti permite ca membru al staffului sa faci un oarecare "posthunt" doar ca sa oferi addons-uri vechi si virusate intentionat pentru distribuire, atat timp cat tu esti satisfacut ca iti indeplinesti numarul de postari din cerinte?

 Referitor la acuzația de "posthunt"


Afirmația că aș fi făcut „posthunt” este complet nefondată.

Addon-ul la care faci referire a fost postat în luna februarie. Prin urmare, nu avea cum să fie publicat pentru a-mi îndeplini vreun număr de postări sau vreo cerință asociată funcției.

De asemenea, resping acuzația că aș fi distribuit intenționat fișiere infectate. Nu am avut și nu am niciun interes să pun în pericol utilizatorii comunității.

Dacă există o problemă reală cu fișierul respectiv, aceasta poate fi verificată și analizată de către administrație.

 

 MENȚIUNI PROPRII


Addon-ul respectiv, exact în forma în care a fost încărcat pe Dropbox, a fost folosit de către mine pe propriul server în perioada 2019 - 2020.

Arhiva a fost păstrată de-a lungul anilor și ulterior publicată în secțiunea dedicată addon-urilor.

În momentul postării nu aveam cunoștință despre existența vreunui fișier malițios și nu am urmărit sub nicio formă distribuirea de malware.

 

 

Postat (editat)
Acum 24 minute, Rusu Radu a spus:
SALUT @cashless
Resping aceste acuzații deoarece nu am încărcat cu bună știință niciun fișier care să conțină malware. Fișierele publicate de mine au fost testate și utilizate fără să observ probleme de securitate.

 Referitor la acuzația de "posthunt"


Afirmația că aș fi făcut „posthunt” este complet nefondată.

Addon-ul la care faci referire a fost postat în luna februarie. Prin urmare, nu avea cum să fie publicat pentru a-mi îndeplini vreun număr de postări sau vreo cerință asociată funcției.

De asemenea, resping acuzația că aș fi distribuit intenționat fișiere infectate. Nu am avut și nu am niciun interes să pun în pericol utilizatorii comunității.

Dacă există o problemă reală cu fișierul respectiv, aceasta poate fi verificată și analizată de către administrație.

 

 MENȚIUNI PROPRII


Addon-ul respectiv, exact în forma în care a fost încărcat pe Dropbox, a fost folosit de către mine pe propriul server în perioada 2019 - 2020.

Arhiva a fost păstrată de-a lungul anilor și ulterior publicată în secțiunea dedicată addon-urilor.

În momentul postării nu aveam cunoștință despre existența vreunui fișier malițios și nu am urmărit sub nicio formă distribuirea de malware.

 

 

Fișierele malițioase nu apar de la sine; ele existau deja acolo, indiferent dacă le-ai introdus tu intenționat sau nu. Cu toate acestea, în calitate de autor al postării, aveai obligația morală de a verifica totul cu atenție pentru a te asigura că nu există probleme.

De ce trebuie să fii tras la răspundere?

Asumarea calității: În momentul în care postezi ceva pe forum — mai ales când susții că este propria ta creație —, oferi implicit o garanție că acel produs este sigur, bine realizat și gata de a fi recomandat mai departe.

Impactul asupra comunității: Prin publicarea acestui addon care conține probleme extrem de grave (fiind de-a dreptul malițios), ai pătat imaginea întregii comunități.

Consecința directă: Din cauza unor astfel de acțiuni, comunitatea își pierde credibilitatea. Efortul și munca depuse de ceilalți membri sunt umbrite, iar platforma își pierde statutul de spațiu sigur și de încredere pentru utilizatori.

Editat de BandB
  • Like 2
  • UP 1
  • Facepalm 1
Postat

Înțeleg punctul tău de vedere și sunt de acord că orice material publicat pe forum trebuie verificat înainte de a fi pus la dispoziția comunității.

Totuși, consider că afirmațiile făcute depășesc situația reală și atribuie intenții care nu au existat.

Addon-ul respectiv a fost păstrat din perioada în care l-am folosit pe propriul server, în jurul anilor 2019-2020. În tot acel timp nu am întâmpinat probleme care să indice prezența unui fișier malițios și nu am primit sesizări din partea altor utilizatori până la această reclamație.

În ceea ce privește afirmația că aș fi oferit o „garanție” privind siguranța absolută a fișierelor, consider că aceasta este o interpretare exagerată. Publicarea unui material pe forum nu înseamnă că autorul certifică în mod absolut lipsa oricărei probleme, mai ales în cazul unor arhive vechi care au circulat ani de zile și care pot fi afectate ulterior de diverși factori.

Resping categoric orice insinuare că aș fi distribuit intenționat fișiere malițioase sau că aș fi urmărit să afectez utilizatorii ori imaginea comunității. Dacă existența unui fișier infectat se confirmă în urma unei verificări tehnice obiective, vorbim despre o situație neintenționată, nu despre o acțiune făcută cu rea-credință.

Dacă administrația consideră necesar, sunt de acord ca addon-ul să fie retras temporar și analizat în detaliu. Voi respecta orice decizie luată în urma unei verificări obiective.

Totuși, nu pot accepta acuzațiile privind distribuirea intenționată de malware sau afectarea deliberată a comunității.

Postat

Hai sa vedem,luam principalul subiect care este Win32.Neshta,la final imi zici tu cat de grav e

Neshta nu este doar un simplu troian, este un virus de tip „file infector” (infectează fișiere executabile)

Cum acționează: Odată rulat, caută toate fișierele .exe de pe calculatorul victimei și își atașează codul malițios la ele. Când utilizatorul încearcă să deschidă un program legitim (de exemplu, un browser sau un joc), rulează mai întâi virusul, iar apoi programul

 

De ce e grav pentru comunitate: Dacă cineva a descărcat acest addon și l-a rulat, toate programele din calculatorul acelui om au fost infectate. Dacă acel utilizator trimite acum un fișier altcuiva, va propaga virusul mai departe ca o epidemie

 

Si acuma cealaltă detecție grava

Trojan/Win32.IRCBot / Winlock: Sugerează că fișierul poate lăsa o „ușă din spate” (backdoor) deschisă pentru ca atacatorul să preia controlul de la distanță sau să blocheze funcții ale sistemului.

 

Cat de grav crezi ca e?

Daca nu ti ai dat seama extrem de grav

  • Mersi 1
Postat
3 minutes ago, Rusu Radu said:

Înțeleg punctul tău de vedere și sunt de acord că orice material publicat pe forum trebuie verificat înainte de a fi pus la dispoziția comunității.

Totuși, consider că afirmațiile făcute depășesc situația reală și atribuie intenții care nu au existat.

Addon-ul respectiv a fost păstrat din perioada în care l-am folosit pe propriul server, în jurul anilor 2019-2020. În tot acel timp nu am întâmpinat probleme care să indice prezența unui fișier malițios și nu am primit sesizări din partea altor utilizatori până la această reclamație.

În ceea ce privește afirmația că aș fi oferit o „garanție” privind siguranța absolută a fișierelor, consider că aceasta este o interpretare exagerată. Publicarea unui material pe forum nu înseamnă că autorul certifică în mod absolut lipsa oricărei probleme, mai ales în cazul unor arhive vechi care au circulat ani de zile și care pot fi afectate ulterior de diverși factori.

Resping categoric orice insinuare că aș fi distribuit intenționat fișiere malițioase sau că aș fi urmărit să afectez utilizatorii ori imaginea comunității. Dacă existența unui fișier infectat se confirmă în urma unei verificări tehnice obiective, vorbim despre o situație neintenționată, nu despre o acțiune făcută cu rea-credință.

Dacă administrația consideră necesar, sunt de acord ca addon-ul să fie retras temporar și analizat în detaliu. Voi respecta orice decizie luată în urma unei verificări obiective.

Totuși, nu pot accepta acuzațiile privind distribuirea intenționată de malware sau afectarea deliberată a comunității.

Imi cer scuze pentru reply-urile repetate dar trebuie sa mentionez ceva. Nu imi dau seama daca dai raspunsurile astea atat de dezinteresate de subiect cu AI sau ceva de genul asta pentru ca sunt pur si simplu lipsite de sens.

Din momentul in care ti-ai luat angajamentul de moderator al unei comunitati - tu trebuie sa fi primul pas spre bine pe comunitate. Era mult mai usor sa iti asumi ca probabil ai descarcat arhiva de altundeva si ai incarcat-o sau poate ca ai gasit direct link-ul pe vreun alt forum decat sa continui sa respingi acuzatiile.

Nu exista posibilitatea ca cineva sa 'injecteze' arhiva cu continut malitios 'remotely' din moment ce arhiva era pastrata pe serverele DropBox. Citez din reply-ul tau: "Publicarea unui material pe forum nu înseamnă că autorul certifică în mod absolut lipsa oricărei probleme, mai ales în cazul unor arhive vechi care au circulat ani de zile și care pot fi afectate ulterior de diverși factori." - Si totusi afirmi ca arhiva a fost incarcata original de catre tine? Si cum s-a realizat injectia de malware?

Initial ai afirmat ca iti apartine addon-ul apoi incerci sa arunci vina pe faptul ca "fisierul circula"?

  • Like 2
Postat
Acum 4 minute, cashless a spus:

Initial ai afirmat ca iti apartine addon-ul apoi incerci sa arunci vina pe faptul ca "fisierul circula"?

Ca să te clarific cu privire la acest aspect

Am afirmat că addon-ul îmi aparține în sensul că eu am configurat și completat serverul respectiv, adăugând pluginurile, folderele și fișierele necesare funcționării sale.

La momentul respectiv, serverul a fost copiat pe desktop și arhivat într-un fișier .rar, care ulterior a fost păstrat și distribuit în aceeași formă.

Nu am avut niciun moment cunoștință despre existența vreunui malware, virus sau fișier corupt în cadrul arhivei. Dacă a existat o astfel de problemă, aceasta a fost complet necunoscută pentru mine, iar publicarea addon-ului nu a fost făcută cu intenția de a distribui fișiere malițioase.

 

  • Scripters
Postat

Addons-ul postat nu contine niciun tip de malware real, detectiile fiind de tipul fals-pozitiv. 

Fisierele care declanseaza acesta detectie sunt:

  • "addons/amxmodx/data/WinCSX.exe" ( aplicatie cu care poti interactiona cu datele din csstat.dat )
  • "addons/amxmodx/scripting/compile.exe (amxxpc.exe)" (aplicatii care se ocupa cu compilarea pluginurilor).

Fiind versiuni vechi ale acestor aplicatii, imi permit sa spun ca erau folosite functii vulnerabile in scrierea codului sursa, astfel motoarele antivirus detectand aceste semnaturi ale functiilor si returnand faptul ca sunt asemanatoare / identice cu cele ale tipului de malware "Neshta.Gen" (sau alte cauze care pot declansa acest raspuns).

Analiza statica a acestor fisiere:
WinCSX - Virustotal

AmxxPC.exe - Virustotal

Compile.exe - Virustotal


Analiza arhivei dupa ce au fost inlaturate aceste fisiere:
Arhiva addons - Virustotal


Pe scurt, prin simpla verificare a tabului "BEHAVIOR" se poate observa faptul ca filesystem-ul si registrii nu se modifica intr-un mod malitios.

Exemplu fisier WinCSX din actualizari ulterioare ale dezvoltatorilor: Virustotal. Se poate observa ca s-a renuntat la folosirea unor module la runtime, fapt ce probabil a facut detectia arhivei ca fiind daunatoare posibila.

  • Like 2
  • Ador 1
  • Mersi 1
  • Interesant 1
Postat (editat)
18 minutes ago, Shadows Adi said:

Addons-ul postat nu contine niciun tip de malware real, detectiile fiind de tipul fals-pozitiv. 

Salut. Virusul nu este un fals-pozitiv. Codul sursa nu este pur si simplu outdated si asemanator cu Neshta. Arhiva este in mod direct infectata cu Neshta. Arunca un ochi peste link-urile trimise de tine din nou si vei vedea ca defapt chiar modifica registriile intr-un mod malitios - Virusul modifică direct cheia critică de regiștri HKEY_CLASSES_ROOT\exefile\shell\open\command\. Aceasta este o modificare 100% malitioasa. Nu e doar ceva vulnerabil din sursa pentru ca  e outdated. Un WinCSX.exe curat nu are absolut niciun motiv sa raporteze Windows-ului cum sa deschida toate celelalte programe. As vrea si sa iti mentionez faptul ca sandbox-urile de pe VT au semnalat clar MutexPolesskayaGlush - asta este semnatura originala a viruslui Neshta, nu ceva cod vechi confundabil.

Una dintre posibilitati este ca autorul original al arhivei ar fi fost infectat cu Neshta dinainte de arhivarea addons-ului.

Din pacate nu-ti pot structura mai exact toate chestiile ce trebuie verificate acum pentru a confirma ca Neshta este chiar Neshta - pentru ca sunt la servici - dar as putea sa-ti rulez o analiza locala intr-un sandbox cu un AI personal ce iti va arata exact toti pasii prin care ruleaza procesele malitioase prin device.

Editat de cashless
  • Like 2
  • Mersi 1
  • Scripters
Postat
1 hour ago, cashless said:

Salut. Virusul nu este un fals-pozitiv. Codul sursa nu este pur si simplu outdated si asemanator cu Neshta. Arhiva este in mod direct infectata cu Neshta. Arunca un ochi peste link-urile trimise de tine din nou si vei vedea ca defapt chiar modifica registriile intr-un mod malitios - Virusul modifică direct cheia critică de regiștri HKEY_CLASSES_ROOT\exefile\shell\open\command\. Aceasta este o modificare 100% malitioasa. Nu e doar ceva vulnerabil din sursa pentru ca  e outdated. Un WinCSX.exe curat nu are absolut niciun motiv sa raporteze Windows-ului cum sa deschida toate celelalte programe. As vrea si sa iti mentionez faptul ca sandbox-urile de pe VT au semnalat clar MutexPolesskayaGlush - asta este semnatura originala a viruslui Neshta, nu ceva cod vechi confundabil.

Una dintre posibilitati este ca autorul original al arhivei ar fi fost infectat cu Neshta dinainte de arhivarea addons-ului.

Din pacate nu-ti pot structura mai exact toate chestiile ce trebuie verificate acum pentru a confirma ca Neshta este chiar Neshta - pentru ca sunt la servici - dar as putea sa-ti rulez o analiza locala intr-un sandbox cu un AI personal ce iti va arata exact toti pasii prin care ruleaza procesele malitioase prin device.

Dupa o analiza binara statica folosind Ghidra, am ajuns la concluzia ca ai dreptate, aceste fisiere sunt intr-adevar malware. 

https://prnt.sc/qlGjCX0_5Ui0

Totusi, tinand cont ca addons-ul respectiv este pentru serverele dedicate care ruleaza linux, nu cred ca cineva ar fi rulat fisierele astea doar pentru a vedea ce se intampla. Majoritatea oamenilor compileaza sma-urile pe internet sau folosind un compiler local propriu, iar apoi incarca fisierele in server.

Pentru evitarea acestui tip de problema pe viitor, propun ca in regulament / model de postare sa fie introdus si un link obligatoriu care sa contina rezultatul scanarii arhivei sau a fisierelor binare, exceptie facand fisierele de tip text, incluzand hash-ul de tip SHA256 in topic.

  • Like 2
  • Mersi 1
  • Fondator
Postat

Salutare. 

Din punctul meu de vedere, reclamatia este fondata . Nu are rost sa facem prea multe dezbateri. Vom analiza in cadrul Administratiei LeagueCs situatia raportata si vom anunta masurile intr-un topic ulterior . 

Referitor la postarile de la sectiunea Scripting , consider ca este foarte buna ideea ca acolo trebuie sa posteze EXCLUSIV scripterii comunitatii . 

Pana una alta , voi inchide topicul si vom anunta decizia dupa o discutie in cadrul conducerii LeagueCs. 

 

  • UP 1
  • Ador 1
  • Mersi 1
  • Fortzaaaa 1
  • Administrator
Postat

RĂSPUNS FINAL AL ADMINISTRAȚIEI LEAGUECS ROMÂNIA.

În urma analizării reclamației și a verificărilor efectuate de către Administrația LeagueCS România, am constatat faptul că addons-ul reclamat a fost publicat fără ca persoanele responsabile să cunoască existența conținutului dăunător din cadrul acestuia. Din verificările noastre, nu au rezultat indicii care să susțină existența unei intenții de a distribui un fișier care să afecteze utilizatorii.

Cu toate acestea, considerăm că situația de față reprezintă o eroare de verificare și o lipsă de atenție din partea echipei responsabile de categoria respectivă. Chiar dacă fapta nu a fost săvârșită cu rea-credință, responsabilitatea pentru conținutul publicat revine atât moderatorilor secțiunii, cât și coordonatorului acesteia.

De asemenea, dorim să precizăm că ne asumăm această greșeală și la nivel de comunitate. Moderatorii și coordonatorii sunt reprezentanți ai LeagueCS România, iar atunci când aceștia greșesc, considerăm că și administrația are o parte din responsabilitate pentru faptul că nu au existat suficiente filtre și proceduri care să prevină o astfel de situație. Nu încercăm să găsim scuze și nici să mutăm vina exclusiv asupra unor persoane, ci să tratăm problema exact așa cum este: o greșeală care nu ar fi trebuit să se întâmple.

Așa cum v-am obișnuit de-a lungul timpului, în cadrul LeagueCS România nu ținem pe nimeni în brațe, indiferent de funcție, vechime sau grad. Din acest motiv, @Rusu Radu, alături de ceilalți moderatori responsabili de categoria respectivă @ Moderators, precum și @ZENITH, în calitate de coordonator al acestora, vor primi o avertizare verbală  din partea administrației pentru lipsa verificărilor necesare înainte ca respectivul conținut să fie aprobat și menținut în secțiune.

Totodată, pentru siguranța comunității și pentru a preveni apariția unor situații similare pe viitor, am decis implementarea unei noi proceduri în categoria Scripting. Astfel, niciun addons, plugin, script sau alt material similar nu va mai putea fi postat fără avizarea prealabilă a unuia dintre Scripterii acreditați LeagueCS România. Pentru o mai mare siguranță, verificările prealabile de cunoștințe ale echipei de Scripting sunt asigurate de către colegul nostru, @Shadows Adi, o persoană cu vastă experiență similiară celor precizate mai sus.

Considerăm că această măsură este necesară pentru a oferi un nivel suplimentar de siguranță și pentru a reduce cât mai mult posibil riscul publicării unor fișiere care pot afecta utilizatorii.

Având în vedere cele constatate și măsurile dispuse, considerăm reclamația întemeiată și soluționată.

 

Cu stimă,
Administrația LEAGUECS ROMÂNIA

 

  • Like 1
  • Mersi 1
Vizitator
Acest topic este acum închis pentru alte răspunsuri.
  • Navigare recentă   0 membri

    • Nici un utilizator înregistrat nu vede această pagină.
×
×
  • Creează nouă...

Informații Importante

Termeni de Utilizare & Politică Intimitate