virus (trojan) op webserver van hosting domein - Internet en hosting

dinsdag 5 augustus 2008 20:54

Acties:

Topicstarter

Aangezien de search niet echt antwoord gaf bij deze:

ik beheer nu sinds een jaar ongeveer een simpele website...dit heb ik gedaan met xoops, achteraf een niet zo'n beste keuze wegens de security issues bekend met dit CMS systeem, maar dat is een ander verhaal...Het betreft een community site voor BMXers onder de naam dutchflatland.com

nu krijg ik sinds kort berichten van gebruikers dat er een virus (trojan) verspreidt wordt via mijn site...er schijnt dus iets op de server te staan dat deze aanbied bij het openen van de pagina. Nu moet ik zeggen dat ik er onder vista geen last van heb, maar dat xp gebruikers er meer problemen mee hebben.

Wat zijn de beste stappen hiertegen? wellicht dat er andere tweakers zijn die hier ervaring mee hebben? zijn er virusscanners die bepaalde domeinen kunnen scannen? google gaf niet echt een antwoord (behalve de gebruikelijke virusscanners als norton, AVG etc.) en ik wil dit natuurlijk graag verhelpen

dinsdag 5 augustus 2008 22:58

Acties:

DJSmiley

0uTsIdEr84 schreef op dinsdag 05 augustus 2008 @ 20:54:
Aangezien de search niet echt antwoord gaf bij deze:

ik beheer nu sinds een jaar ongeveer een simpele website...dit heb ik gedaan met xoops, achteraf een niet zo'n beste keuze wegens de security issues bekend met dit CMS systeem, maar dat is een ander verhaal......
Wat zijn de beste stappen hiertegen? wellicht dat er andere tweakers zijn die hier ervaring mee hebben? zijn er virusscanners die bepaalde domeinen kunnen scannen? google gaf niet echt een antwoord (behalve de gebruikelijke virusscanners als norton, AVG etc.) en ik wil dit natuurlijk graag verhelpen

De stappen die je moet ondernemen: Je site offline gooien, virus verwijderen van je website, site terugplaatsen vanuit backup, en upgraden naar laatste versie van je CMS + addons of overstappen naar ander CMS (en dan ook up-to-date houden)

Jouw virusscannertje helpt niets tegen je website, als daar een exploit in de html/php files staat blijft die er echt wel tot jij actie onderneemt (of je hoster je site eraf m*kt/afsluit ivm abuse)

woensdag 6 augustus 2008 13:04

Acties:

sPENKMAN

Check je index.php / index.htm(l) bestanden eens en kijk eens naar de laatste paar regels van deze bestanden. Dikke kans dat je hier een encoded string ziet staan wat een webadres is waar de daadwerkelijke trojan staat.

De kans is in ieder geval vrij groot dat de trojan niet fysiek op jouw account staat maar wel wordt geinclude. Het account afsluiten is uiteraard de eerste stap die je neemt.

Eve char: Warock <TEST>

woensdag 6 augustus 2008 13:27

Acties:

Dutch2007

wat je natuurlijk ook kan doen, is ervoor zorgen dat je alleen

code:

1	include "page.php"

en geen

code:

1	include "http://somerarewebsite.com"

zaterdag 9 augustus 2008 18:59

Acties:

j0rDy

Topicstarter

k heb wat documenten waarvan ik verwacht dat er bovenstaande code in zou kunnen staan gechecked maar niets gevonden...ik ben bang dat er dus niets anders op zit dan een backup terugplaatsen in de hoop dat het weg is...

wegens wat tijdgebrek zal ik dit ergens volgende week proberen, de resultaten zal ik hier even posten...

zaterdag 9 augustus 2008 19:11

Acties:

SinergyX

____(>^^(>0o)>____

tijdgebrek is natuurlijk nooit goed als er echt een virus op je site zou staan (met alle gevolgen van dien).

Zou iig je gebruikers wat meer info vragen, welke pagina, welk virus etc.

^{Nog 1 keertje.. het is SinergyX, niet SynergyX}
_{Im as excited to be here as a 42 gnome warlock who rolled on a green pair of cloth boots but was given a epic staff of uber awsome noob pwning by accident.}

zaterdag 9 augustus 2008 23:28

Acties:

Foamy

Fulltime prutser

0uTsIdEr84 schreef op zaterdag 09 augustus 2008 @ 18:59:
k heb wat documenten waarvan ik verwacht dat er bovenstaande code in zou kunnen staan gechecked maar niets gevonden...ik ben bang dat er dus niets anders op zit dan een backup terugplaatsen in de hoop dat het weg is...

wegens wat tijdgebrek zal ik dit ergens volgende week proberen, de resultaten zal ik hier even posten...

Hou er wel rekening mee dat dit 0,0 effect gaat hebben... Blijkbaar heeft er iemand toegang tot je site (gehackt CMS, gehackte FTP account, whatever..) en dat zal deze persoon ook na het terugplaatsen van een backup blijven houden.. Zodra deze doorheeft dat je een (schone) backup terug hebt geplaatst zet hij/zij zonder pardon weer de foute bestanden terug

Mijn tips:

Verander *alle* wachtwoorden (FTP, MySQL, beheerdersaccounts, etc.)
Vraag bij je hostingspartij de FTP logs van op in de hoop dat daar nog iets nuttigs uit te vissen is
Plaats een schone kopie terug van je site / Gebruik een systeem waar geen of minder lekken inzitten.

edit:

@SynergyX: ik ken de site van TS niet, maar wat ik zelf de laatste tijd steeds vaker tegenkom bij sites met problemen zijn vaak een paar simpele includes aan het einde van een aantal random php gegenereerde pagina's met daarin een javascript op een externe server.

[ Voor 31% gewijzigd door Foamy op 09-08-2008 23:31 ]

blub

zondag 10 augustus 2008 11:46

Acties:

soulrider

bij bezoek van je site, krijg ook ik een doorverwezing naar een andere site voor de kiezen.

ip-adres dat niet aan je site verbonden is en de gekende exploits probeert van activex enzo.

deze doorverwijzing gebeurde wel slechts 1x nadien niet meer gezien.
(je gaat wel enkele keren een vreemde browser en OS vinden in traffic-logs - ben even komen kijken met een eigen proxy-script dat browser en OS cloaking toepast om targetted exploiting te voorkomen)

spijtig genoeg heb ik het ip-adres niet gelogd, noch gemerkt van waar die doorverwezing plots komt.
(en nadien niet meer) ik vermoed ergens je eerste doorverwijs-pagina, die @random een doorverwijzing doet naar een exploit-pagina, of je krijgt af en toe op je 2de pagina een doorverwijzing in de html-code mbv meta-refresh, of mbv header-inject door php-hack

google geeft je ook al genoeg tips hoe het kan gebeuren:
http://www.google.be/sear...=nl&q=exploit+xoops&meta=

nog enkel tips (niet probleem gerelateerd):

gebruik inplaats van je meta-refresh een .htaccess voor doorverwijzing, of laat php een mooie header terugsturen van 'moved naar...' - code 302 dacht ik ontgaat me even (of maak minstens je doorverwijs pagina even een volwaardige html-pagina, ipv enkel

code:

1
2
3

<head>
<meta HTTP-EQUIV="REFRESH" content="0; url=http://www.dutchflatland.com/dfl/index.php">
</head>

html-tags missen, en eventueel body met wat basic tekst voor mensen die zulke refresh niet toestaan in hun browser)

en maak je contact gegevens even onleesbaar voor spam-spiders ipv vlot leesbare en klikbare mail-adressen.

edit: en ondertss doet ie wederom zulke doorverwijzing (blijkbaar doet ie het maar 1x per uniek ip-adres) - wat info:
er wordt verbinding gemaakt naar http://58. 65. 234. 163/t/m1004z556178.html
een ip-adres dat in china gehost wordt met onbekende registar.

waarschijnlijk is dit de boosdoener die in jouw naam een virus verspreid mbv exploits

doorzoek al je site-bestanden naar die link (of een deel ervan)

indien niet vindbaar kan het zijn dat je (of eerder je bezoekers) last hebben van die dns-exploit die recent openbaar en "in 't wild" is.

vraag dat laatste ook zeker na bij je hostingsbedrijf of zij al actie hebben ondernomen om hun dns-servers te patchen tegen die exploit.

ik ga ondertussen mijn systemen en netwerk even doorzoeken, want telkens als die doorverwijzing er doorkwam ging mijn adsl-modem lastig doen achteraf.
(bij wat extra tijd doorzoek ik ook die site)

[ Voor 41% gewijzigd door soulrider op 11-08-2008 00:21 ]