vervelende domain registrar

[xtremegamer]

hallo, ik heb onlangs m'n website's domein getransfereert naar networking4all, nu komt er bij het betreden van de website een vervelende alertbox met inscriptie "Let op ! ander domeinnaam."

en na het wegklikken kom je op de webpage maar hangt er een lelijke witte banner aan de bovenkant met dezelfde inscriptie.

Networking4all zegt dat ik een soort van virus op mijn pc heb , of dat deze door mij of m'n hosting in de html zijn bijgevoegd.

1) ik draai kaspersky internet security 2010 up-to-date.

2) hosting bedrijf is engels-talig, bij originele html file vind je niets terug van de gebruikte code als ook opvallend is dat de code van de banner en alertbox VOOR de HTML tags staan.

wat er bij mij op wijst van injectie van weet ik veel welke server , ik weet niet of nameserver's hier toe instaat zijn.

De website http://www.kvlvmerchtem.be

,dank bij voorbaat

Xtremegamer™

 

[TeuGem]

Hoi,

Deze alert staat wel degelijk in je startpagina (.htm)
Je kunt hem dus zondermeer verwijderen.

 

[xtremegamer]

originele html code

jaah deze is geinjecteerd !

hier is de originele webpagina die ook effectief op de host staat

   1.
      <!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Strict//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-strict.dtd">
   2.
      <!--
   3.
      Design by Free CSS Templates
   4.
      http://www.freecsstemplates.org
   5.
      Released for free under a Creative Commons Attribution 2.5 License
   6.
       
   7.
      Name : Meadows
   8.
      Description: A two-column, fixed-width design suitable for small websites and blogs.
   9.
      Version : 1.0
  10.
      Released : 20080105
  11.
       
  12.
      -->
  13.
      <html xmlns="http://www.w3.org/1999/xhtml">
  14.
      <head>
  15.
       
  16.
      <meta http-equiv="content-type" content="{%MetaCharset%}" />
  17.
      <meta name="description" content="{%MetaDescription%}" />
  18.
      <meta name="keywords" content="{%MetaKeywords%}" />
  19.
      <TITLE>{%MetaTitle%}</TITLE>
  20.
       
  21.
      <link href="images/style.css" rel="stylesheet" type="text/css" media="screen" />
  22.
      </head>
  23.
      <body>
  24.
      <script type="text/javascript" SRC="picture-fall.js"></script>
  25.
      <div id="wrapper">
  26.
      <div id="menu">
  27.
      <ul>
  28.
      {%menu_start=1%}<li><a href="{%menu_href%}">{%menu_display%}</a></li>{%menu_end=1%}
  29.
      </ul>
  30.
      </div>
  31.
      <div id="logo">
  32.
      <h1><a href="index.php">{%WebsiteName%}</a></h1>
  33.
      <h2>{%WebsiteSlogan%}</h2>
  34.
      </div>
  35.
      <hr />
  36.
      <div id="page">
  37.
      <div id="content">
  38.
      <div class="post">
  39.
      <h2 class="title">{%name%}</h2>
  40.
      <div class="entry">
  41.
      {%content%}
  42.
      </div>
  43.
      </div>
  44.
       
  45.
      </div>
  46.
      <!-- end #content -->
  47.
      <div id="sidebar">
  48.
      <ul>
  49.
      <li>
  50.
      <h2>Nieuws</h2>
  51.
      <p>{%news%}</p>
  52.
      </li>
  53.
      <li id="zoeken">
  54.
      <h2>zoeken</h2>
  55.
      <form id="searchform" method="get">
  56.
      <div>
  57.
      <input type="text" name="search" id="s" size="15" />
  58.
      <br />
  59.
      <input name="submit" type="submit" value="zoek" />
  60.
      </div>
  61.
      </form>
  62.
      </li>
  63.
       
  64.
      </ul>
  65.
      </div>
  66.
      <!-- end #sidebar -->
  67.
      </div>
  68.
      <!-- end #page -->
  69.
      <div id="footer">gemaakt door rik sergoyne
  70.
      </div>
  71.
      </div>
  72.
      </body>
  73.
      </html>
  74.

 

[TeuGem]

Als ik in Firefox je pagina bekijk middels 'Paginabron' zie ik toch echt dit:

<script language="JavaScript" type="text/JavaScript">
<!--
alert("Let Op! Andere Domeinnaam");
//-->
</script><hr>
<table width="100%" align="center" cellpadding="10" bgcolor="#FFFFFF">
<tr>
<td align="center" bgcolor="#FFFFFF"><font color="#000000"><strong><font size="4" face="Verdana, Arial, Helvetica, sans-serif">Let Op!</font></strong><font face="Verdana, Arial, Helvetica, sans-serif"><br>Andere Domeinnaam!</font></font></td>
</tr></table>

 

[That Guy]

Even om het duidelijk te hebben: in de pagina welke DUS naar elke client gestuurd wordt (dat zijn jij en ik) staat deze code in de html. Dit kan verschillende oorzaken hebben:

1. Server voegt het toe. In dit geval dus het bedrijf waar je het host. Nu, wat ze gewoon doen is voordat ze elke pagina versturen naar de client, troep ervoor zetten. Dit gebreurt best vaak (bij gratis hosts bv.)
2. Je ftp client. Deze voegt de vervelende bovenkant toe
3. Pre-upload: een beesje doet dit.​

Nu lijkt het mij het meest logisch (en: meest voorkomend) dat je host dit toevoegd. Ik zou geen flauw idee hebben waarom dit zo is, of waarom ze het doen, maar het is een mogelijkheid.

Kan je aangeven wie je hoster is?


:thumb:



[edit]Ohja, ik zie dat je een soort script gebruikt voor je webpagina; er staan rare dingen tussen de {%...%}. Wat is dit precies? Iets wat je host aanbied?

 

[xtremegamer]

nogmaals

Nogmaals mijn gratis hosting doet dit niet 200% zeker ik heb meerdere domeinen op deze host en alleen diegene die ik link aan het domein zijn injected met deze rotzooi.

voorbeeld ander domein op dezelfde host http://test-ground.site50.net/(000Webhost.com) , en als deze het zou doen waarom dan in het nederlands aangezien de rest van de hosting geheel engels is.

000webhost.com forum's zeggen zelf ook dat het networking4all is forum post

die Code die ik had gepost komt van m'n template Html de % tags zijn query's voor php , is gemaakt met websitebuilder voor de klant zijn gebruiksvriendelijkheid...

ik heb een exact kopie met dezelfde content etc. die niet ge-linkt is aan het domein en heeft dit niet voor (deze was voorheen wel gelinkt aan het domein) kopie

dus zolang deze niet langs networking4all passeren hebben die geen alertbox/banner ...

daarom vraag ik mij af hoe zij dit kunnen doen ?

en of dit überhaupt wel mag.

,dank bij voorbaat

Xtremegamer™

 

[TeuGem]

snap eerlijk gezegd niet wat je probleem nu is ....
je kan dat stukje code toch gewoon weghalen?
Dan ben je verder van die meuk af ... !!

 

[xtremegamer]

dat is het em net !!!

dat kan ik niet weghalen want het staat er niet !!! enkel en alleen als je door het domein linkt komt dat erop, dus Networking4all gooit die troep erop.

ik ga proberen met onload(); van javascript de alertbox weg te halen en de html van de banner te herschrijven, maar aangezien deze voor de html tags staan het ik er zeer m'n twijfels over dat het zal werken. wat ik misschien kan doen is de php de gehele html laten genereren maar aangezien website builder deze herschrijft is dit ook maar tijdelijk ...

ik wil weten hoe en of dat wel mag !

 

[csshunter]

Daar gaat ie dan ...

Hoi xtremegamer,
Vegras geeft een rijtje van 3 mogelijke oorzaken:
1. Server voegt het toe (...).
2. Je ftp client. Deze voegt de vervelende bovenkant toe.
3. Pre-upload: een beesje doet dit.
Ik doe er nog eentje bij:
4. Je doet het zelf, zonder het te weten. Dat sluit dan aan bij wat Networking4all zegt:

Networking4all zegt dat ik een soort van virus op mijn pc heb , of dat deze door mij of m'n hosting in de html zijn bijgevoegd.

Om het voorlaatste uit te sluiten, ben ik maar eens begonnen bij de broncode zoals ie er voor mij als bezoeker uitrolt.
Mijn analyse gaat als volgt:

1. De alert en de witte kopregel zitten er al in als html: als product dat de server naar mij stuurt. Dus ofwel in de samenstellende php-delen, ofwel er later bovenop geïnjecteerd.
2. In de platte tekst (en gewone html-codes) van de pagina zie ik geen bijzonderheden die narigheid zouden kunnen veroorzaken.
3. Als er iets mis zou zijn met de pagina zelf, zou het in de gebruikte javascripts moeten zitten. Het vergrootglas op de scripts!
4. In de <head> van de pagina zit een link naar één script: dat is het "index.php?supermode=chrome_js&amp;move=LTArMF8tMCswXw==&amp;dc=2" script. Even bekeken: dat is het Drop Down Menu, en kan de toestand niet veroorzaken.
5. Meteen na de <body> zit weer een script: dat is het"picture-fall.js" script. Even bekeken: klopt, dat is het Vallende Lettertjes script, en is het ook niet.
6. In de <div class="entry"> zit na het img van de wereldbol-jumpende jomgedame weer een script.
7. Dat is "web_media/fallt.js". Deze wordt aangeroepen met <script src="web_media/fallt.js"></script>, dus zonder de (verplichte) aanduiding type="text/javacript".
8. Even die fallt.js bekeken, en ... dat is een hele merkwaardige! :shocked:

Kijk maar even mee: www.kvlvmerchtem.be/web_media/fallt.js

Wat is hier nu aan de hand? Dit is geen javascript, maar een html-pagina, die er hier wordt ingestopt! Wat staat er op die pagina => broncode bekijken?

• Dit is een pagina die begint met ... jawel, het alert-script, en de erboven geplakte kopregel!
• Verder lijkt het een soortement van foutmeldingspagina, alleen is hij ongestyled: omdat de verwijzingen naar de stylesheets niet kloppen; die zitten niet onder z'n directory "web_media". - Dat laatste klopt dus.
• Dat het pagina-gedeelte vanaf het nieuwe begin met <DOCTYPE...> t/m </html> door de browser niet getoond wordt, kan ik inkomen. Omdat het type van het "js"-bestand niet is aangegeven, kent de browser de taal niet waarmee deze code geïnterpreteerd moet worden. En ik zou als browser ook niet weten wat ik met een html-pagina binnen een html-pagina moest beginnen.

Maar ... waarom doet de kopie-site op helpmij.comli.com/ dan niet zo raar? - Gaan we daar eens een blik werpen!

• Dus nu daar: wéér de broncode van de pagina in.
• Wat komen we tegen? Wéér diezelfde script-verwijzing <script src="web_media/fallt.js"></script>.
• Dan gaan we dit "script" eens bekijken bij comli.com op de server.
• Zie hier: http://helpmij.comli.com/web_media/fallt.js
• Hé: dit is een andere fallt.js !!! Hierin zit niet het alert, en niet de witte table met de "Let Op! Andere Domeinnaam!" kreet. Wel dus weer een complete html-pagina, die probeert zich onder de schuilnaam ".js" in je code te frommelen (wat weer niet lukt, dus). - Dat zou een aangename verklaring kunnen zijn waarom het hier wel goed gaat!

Het heeft er de schijn van, dat "iemand" eens een foutpagina bedacht heeft, voor geval een bezoeker via een verkeerde domeinnaam of verkeerde pagina-naam zou binnenzeilen....
... en dat die pagina ongewild in je site bij Networking4all is terechtgekomen.

Daarmee wordt de vraag: hoe is die vreemde pagina+script combinatie in je site terechtgekomen?
Omdat je pagina's via php worden samengesteld, kunnen we dat hier van buiten af niet zien.
Maar in de code van je "originele webpagina die ook effectief op de host staat", die je vandaag opgaf, staat:

<div id="page">
<div id="content">
<div class="post">
<h2 class="title">{%name%}</h2>
<div class="entry">
{%content%}
</div>
</div>
</div>
<!-- end #content -->

Ik begin nu toch wel heel erg nieuwsgierig te worden naar wat er in je php-bestand met de {%content%} staat!
Want daar zou op basis van de output-broncode de nattigheid moeten zitten.

En mijn conclusies:

• Voorlopig kan ik niet uitsluiten dat er niets mis is met je eigen code-werkzaamheden, en voordat dat bewezen is, zou ik ook maar niet heel boos de schuld geven aan Networking4all.
• Het klopt dat een aantal "gratis" providers (bv. dot.tk enzo) er eigen koppen boven plakken, al dan niet met reclame (en doorgaans via een frame waarin je site gevangen zit), maar dat lijkt hier niet het geval te zijn. Hier komt het gevaar van binnenuit!
• En het lijkt me eigenlijk heel stug, als Networking4all de moeite zou nemen om er binnen een site een script of pagina uit te pakken waarin ze injecties met (toch wel) onschuldige mededelingen gaan plegen.

Afijn, ik ben benieuwd!
CSS-hunter, een beetje afgedwaald

PS:
Na <h2>Nieuws</h2> staat in de html een heel <style>-blok. Er staat bij dat het automatisch gegenereerd is voor de Nieuws module, maar het hoort niet op die plek. Het beste is er een gewoon css-stylesheet van te maken en dat in de head aan te haken, net als de andere twee stylesheets. Verder zou ik de html-validator er nog eens naar laten kijken, want die vindt (ook zonder het alert en de voorkop) er 16 fouten in.

 

[xtremegamer]

javascriptje

1)die code verborgen als .JS verwonderde mij ook bedankt voor die inzicht , heb ik deze even verwijderd.maar al in het binnen komen van de websitebuilder leek me dat een nee , kreeg al terug foutmelding. kan cache probleem zijn.

2)ook als je naar de betreffende locatie gaat via ftp (zowel online ftp of filezilla) geven aan dat de .js niet bestaat.

wat mij nog meer verwonderd

 

[csshunter]

Er zijn hele grote wonderen op de wereld!

die code verborgen als .JS (...) heb ik deze even verwijderd.

Heb je die alleen lokaal verwijderd of de nieuwe {%content%} ook geupload? - De verwijzing naar dat script zit nog steeds in de pagina, met een door mij goed geleegde cache. Zowel bij de comli.com-versie als bij de kvlvmerchtem.be-versie!

Ook als je naar de betreffende locatie gaat via ftp (zowel online ftp of filezilla) geven aan dat de .js niet bestaat.

Nou, het fallt.js bestaat wel degelijk! Bij comli.com zit ie nog steeds hier: http://helpmij.comli.com/web_media/fallt.js, en bij kvlvmerchtem.be zit ie nog steeds hier: http://www.kvlvmerchtem.be/web_media/fallt.js. Met alle gevolgen van dien! - En dat zou niet alleen ik (met goed geleegde cache) moeten kunnen zien, maar dat zouden ook jij en alle andere bezoekers moeten kunnen bevestigen.

Als Filezilla op dezelfde locaties echt niets ziet staan, zou het een cache-probleem bij de servers van je hosts moeten zijn, maar dan:

• is het merkwaardig dat twee heel verschillende hosts kennelijk alletwee zo'n grote vertraging hebben bij het doorvoeren van wijzigingen op websites (en dat zouden ze dan van zoveel kanten horen, dat ze er tureluurs van zouden worden...).

Kan je misschien van het php-bestand {%content%} een bestand met platte tekst maken (gewoon kopiëren en hernoemen van .php tot .txt), en er hier een linkje naar geven?

Groetjes,
CSShunter

 

[csshunter]

We gaan even een proefje doen: de "piep-test"
Dit werkt als volgt:

• ik heb een plaatsvervangende fallt.js gemaakt,
• die kan je downloaden door hier rechts te klikken, en dan: "Koppeling opslaan als...";
• je gebruikt dezelfde bestandsnaam fallt.js, en plaatst hem even op je bureaublad;
• open Filezilla, log in op waar je bestanden staan bij 000webhost.com;
• zet deze nieuwe fallt.js met Filezilla vanaf je bureaublad in het mapje "web_media";
• en zet Filezilla weer uit.

Zodra je dat gedaan hebt, geef je hier even bericht.
Gaan we kijken wat er gebeurd is!

Met vriendelijke groet,
CSShunter

PS-1:
Is {%content%} trouwens wel een php-bestand? Doet helemaal niet zo php-erig aan, dat werkt dacht ik met <? aan het begin. Is het soms een intern bestand van je Sitebuilder? Hoe dan ook, ik ben benieuwd naar wat er in staat.

PS-2:
Heb je op het forum van 000webhost.com al verteld dat het niet Networking4all of 000webhost.com was die het probleem veroorzaakte, maar een bestand in de site zelf?

 

[xtremegamer]

blanco pagina

aangezien ik het verborgen scriptje nergens vind,besloot ik even een test html pagina te maken zo dat ik zeker weet dat het niet aan de website ligt, en ja hoor html pagina word mooi gegeven zonder pop-up.

nu vraag ik mij af ,waar in godsnaam zit dat script , php is coded met Zend guard heb deze even decrypt maar zag er niets speciaal in.

 

[csshunter]

Kijk, het net begint zich te sluiten!
Heb je mijn scriptje al eens geüpload?
Als dat nl. werkt, kan het voorlopig vervangen worden door een leeg fallt.js bestandje, zodat je in elk geval van de pop-ups af bent (=symptoom-bestrijding). Daarna kan verder gezocht worden naar de oorzaak, maar de bezoekers hebben er dan geen last van.

Met vriendelijke groet,
CSShunter

 

[xtremegamer]

verandering naar CMS

heb genoeg van die website-builder teveel restricties , daarom ga ik nu joomla installeren om een toch iets wat flexibeler platform te hebben.

 

[csshunter]

Nou, dan zijn m'n uurtjes uitzoekwerk + uitwerken tot de rapportages hier een welbestede oefening in diagnose stellen geweest, zullen we maar zeggen.

Maar één ding moet je me echt nog even vertellen, xtremegamer: wie was nou degeen die dat fallt.js ooit eens gemaakt heeft?

• jijzelf als je de enige beheerder van de site was/bent?
• een eerdere bouwer of webmaster van de site?
• of een kwelgeest die bedreven is in het injecteren van js-bestanden als jij slaapt?

Wie van de 3?

Met vriendelijke groet,
CSShunter

PS: Je hebt m'n PS-2 van 27 september 19:55 nog niet uitgevoerd: op dat forum heb je Networking4all beschuldigd; en er waren ook mensen die zich voor je hebben uitgesloofd om een oplossing te vinden; en die mag je toch wel even geruststellen?

 

[xtremegamer]

fallt.js

het script werd door de website builder ingevoerd.

ergens een instelling zodat doorlinken "niet" kan.

,xtremegamer