website bevat virus?

[djeric]

LET OP LEES DEZE BERICHT EERST VOLLEDIG DOOR ALVORENS JE OP EEN LINK KLIKT!!!!!!

Hallo ik heb een website genoemd: yourdjeric.nl nu krijg ik verhalen te horen dat mijn website een virus heeft, maar zie zelf niks.

in google typte ik in "yourdjeric.nl" en daar stond in kleine letters bij "Deze site kan schade toebrengen aan uw computer."

Dit is niet goed dus, maar hoe komt het????? ik heb alles geupload opnieuw, geen virus op mij pc, of malware of adware.

klik ik toch in google op die link kom ik gauw op deze link uit:

http://www.google.nl/interstitial?url=http://www.yourdjeric.nl/

wat is er aan de hand met mijn website en hoe raak ik er van af?

 

[Martindg]

hallo,

Het is een pishing virus. Mn virusscanner heeft dat geblokkeerd op het moment dat ik de website binnen kwam.
Het is afkomstig van een andere website: http://mexstat380.ru.
Ik zou het zelf niet weten hoe het komt.
Het kan door een advertentie komen die je op je website hebt staan, of toch door een bestand.
Kijk anders bij je hoster even in je mappen of je daar een verdacht bestand ziet staan(die je er zelf niet in hebt gezet).

Mvg,

Martin de Groot

 

[dnties]

[Gedeeltelijk dezelfde info als de voorganger: postings hebben elkaar gekruist:]
Wat er precies aan de hand is kun je via dat Webmasterhulpprogramma's verhaal van Google achterhalen, als je je daar aanmeldt.

Overigens heb ik je site bezocht, en krijg de volgende link naar malware naar mijn hoofd vanuit Avast: http://mexstat380[.]ru/
(de echte link is natuurlijk met een normale '.').
Technische info over die site (ip-adres etc.): hier

Check of je ergens (door-)linkt naar die .ru site. Denk hierbij ook aan reclame-links (mocht je reclame vanuit Google etc. op je site hebben; Ook je hoster kan daarvoor verantwoordelijk zijn).

Overigens: Als ik doorklik dan zie ik dat zo'n beetje je hele hosting besmet is: link
Dus ik zou zeker even contact opnemen met je hosting provider, zodat zij (ook) maatregelen nemen.

Tijs.

 

[bron]

Hoi,
Google geeft aan dat er verdachte scripts worden gebruikt.
Vlak onder < body> staat een groot (vaag) script en onderaan staan ook diverse scripts. Hier moet je het in zoeken.
Als alles is opgelost zal je in Google een recensie verzoek in moeten dienen via Webmaster hulpprogramma's. En daarna weken (misschien maanden?) wachten totdat Google weer goede resultaten geeft. Verder krijg ik op dit moment de melding:
Bekijk bijlage 195583
Russisch?? Heeeeeeel verdacht !!!!

 

[dnties]

Nog een kleine toevoeging: Zie dat Google ook aangeeft dat je site geen malware host, dus moet het in scripts etc. liggen die worden aangeroepen maar extern worden gehost of in redirects etc. die verwijzen naar externe sites waar wél de malware op aanwezig is.
Dus in dit geval die .ru site.

Tijs.

 

[bron]

Voor degene die wat aan beveiliging willen doen.
(alleen als je toegang hebt tot .htaccess op je webserver)
Zet het volgende in .htaccess in de root van je public map.

RewriteEngine On

# avoid publishing directory listings
Options -Indexes

# Deny access to config.php
<Files "config.php">
  order allow,deny
  deny from all
</Files>

# IF the URI contains a "http:"
RewriteCond %{QUERY_STRING} http\: [OR]

# OR if the URI contains a "["
RewriteCond %{QUERY_STRING} \[ [OR]

# OR if the URI contains a "]"
RewriteCond %{QUERY_STRING} \] [OR]

# OR if the URI contains a "<script>"
RewriteCond %{QUERY_STRING} (\<|%3C).*script.*(\>|%3E) [NC,OR]

# OR if the script trying to set a PHP GLOBALS variable via URL
RewriteCond %{QUERY_STRING} GLOBALS(=|\[|\%[0-9A-Z]{0,2}) [OR]

# OR if any script is trying to modify a _REQUEST variable via URL
RewriteCond %{QUERY_STRING} _REQUEST(=|\[|\%[0-9A-Z]{0,2}) [OR]

# OR if the URI contains UNION
RewriteCond %{QUERY_STRING} UNION [OR]

# OR if the URI contains a double slash
RewriteCond %{QUERY_STRING} // [OR]

# OR the request contains /proc/self/environ (LFI hack)
RewriteCond %{QUERY_STRING} proc\/self\/environ [OR]

# OR if the URI contains a *
RewriteCond %{QUERY_STRING} \*

# THEN deny the request (403)
RewriteRule ^.*$ - [F,L]

# No advertising what we are running.
ServerSignature Off

En natuurlijk de permissies:
bestanden 444 of 644
mappen bijvoorbeeld 755

 

[djeric]

hallo,

Het is een pishing virus.
Ik zou het zelf niet weten hoe het komt.
Het kan door een advertentie komen die je op je website hebt staan, of toch door een bestand.
Kijk anders bij je hoster even in je mappen of je daar een verdacht bestand ziet staan(die je er zelf niet in hebt gezet).

Mvg,

Martin de Groot

hallo.

ik snap er niks van. jullie zien het maar ik niet.
mijn pc geeft niks aan, ook geen virus,adware of malware.

In de bestanden van me host mappen vind ik niet raars, laat staan iets Russisch.

het enige wat ik gebruik is mijn "teller" op de hoofdpagina.

en daar valt mij op dat er heel vaak van uit microsoft iemand in de ochtend uren langs komt. die komt niet voor een bezoekje aan mijn website lijkt mij.
meer info weet ik ook niet.

ik ga hem nu me website map op de pc nogmaals nakijken, scannen op virus, adware,malware en daarna alles opnieuw uploaden, terwijl ik me website wat momenteel erop staat er compleet af gooien. daarna valideren en reageer hier wanneer dit alles is gebeurd.

 

[djeric]

Hoi,
Google geeft aan dat er verdachte scripts worden gebruikt.
Vlak onder < body> staat een groot (vaag) script en onderaan staan ook diverse scripts. Hier moet je het in zoeken.
Als alles is opgelost zal je in Google een recensie verzoek in moeten dienen via Webmaster hulpprogramma's. En daarna weken (misschien maanden?) wachten totdat Google weer goede resultaten geeft. Verder krijg ik op dit moment de melding:
Bekijk bijlage 195583
Russisch?? Heeeeeeel verdacht !!!!

alles gecontroleerd niets gevonden. website compleet eraf gehaald en de nieuwe update toegevoegd.
validatie op css en html uitgevoerd. resultaat: 0 fouten.

wat mij opviel toen ik mijn website wilde afhalen, zag ik idd in de index pagina onder de body idd. een raar script staan, wat niet thuis hoorde. heb deze index pagina bestand gescand, maar niets ondekt.

heb me site inmiddels dus weer opnieuw geupload en zie nu geen vreemde scripts meer.

jullie ook? site check

 

[bron]

Scannen heeft hier waarschijnlijk geen nut. Ook "legale" javascript code kan tot op zekere hoogte gebruikt worden om vervelende dingen te doen.
Het lijkt mij het beste dat je voorlopig alle scripts er uit haalt. Dan doe je het recensie verzoek bij Google.

En in plaats van de huidige scripts kun je beter alternatieve javascripts zoeken.
** edit: ik las je laatste regel niet. Die verdachte code is nu inderdaad weg.

** tip: gebruik de (gratis) Google Analytics en Webmaster Tools voor je website in plaats van Stealth Lite. Scheelt wat in vindbaarheid, je hebt alle bezoek informatie, en je krijgt info over wat je kunt verbeteren in je website. De Analytics code komt vlak boven < /head> te staan.
Analytics: https://www.google.com/analytics/
Webmasters: http://www.google.com/webmasters/tools

 

[djeric]

ok bedankt!

mooi dat het weg is.

vreemd dat het er was

 

[dnties]

@djeric: Heb jij niet zelf dat script uit je code weggehaald? Indien niet, dan zal de hosting dat voor je gedaan hebben.

Tijs.

 

[djeric]

@djeric: Heb jij niet zelf dat script uit je code weggehaald? Indien niet, dan zal de hosting dat voor je gedaan hebben.

Tijs.

Google geeft aan dat er verdachte scripts worden gebruikt.
Vlak onder < body> staat een groot (vaag) script en onderaan staan ook diverse scripts. Hier moet je het in zoeken.

wat mij opviel toen ik mijn website wilde afhalen, zag ik idd in de index pagina onder de body idd. een raar script staan, wat niet thuis hoorde.

dus ja heb deze zelf verwijderd

 

[dnties]

Mooi, dat was namelijk niet direct duidelijk uit al je postings...

Tijs.

 

[djeric]

Het lijkt mij het beste dat je voorlopig alle scripts er uit haalt. Dan doe je het recensie verzoek bij Google.

dit al gedaan. wel vooraf dat ik me website opnieuw hebt gelanceerd.

maar merkte nu op bij google dat het (virus) ook weg is.

 

[bron]

Hij staat nu heel netjes in de Google resultaten :thumb:

 

[djeric]

:love: /oftopic