Check alle échte Black Friday-deals Ook zo moe van nepaanbiedingen? Wij laten alleen échte deals zien
Toon posts:

Webserver geïnfecteerd met malware?

Pagina: 1
Acties:

maandag 12 oktober 2009 13:34

Acties:
  • Timmeah
  • Registratie: Maart 2004
  • Laatst online: 17-10 18:31

Timmeah

Topicstarter
Ik heb sinds kort dat ik als ik naar mijn websites ga, dat ik doorgestuurd wordt naar malware-achtige ellende.

Dus ik tik mijn URL in, en ik word doorgestuurd naar onderstaande. Ik heb dit op meerdere computers gehad, en heb deze al meerdere keren geschoond. (met o.a. Spybot, Spyware Doctor, Microsoft Security Essentials en antimalwarebytes, bovendien draai ik NOD32)

Ik begin dus nu het gevoel te krijgen dat mijn webserver geinfecteerd is. Ik heb alleen al veel van mijn code nagekeken en ik kan niks vinden.

URL's waar ik naar doorgestuurd zijn bijv. checkvirusnow01.com en yourpc-scanner2.com met een hele rits aan karakters erachter. Komt erop neer dat het allemaal dezelfde IP is 204.12.226.171

Iemand tips of ook ervaring hiermee? En vooral dus hoe het is op te lossen, ik word er een beetje moedeloos van.

Afbeeldingslocatie: http://www.polarict.nl/ellende.jpg

[ Voor 12% gewijzigd door Timmeah op 12-10-2009 13:36 ]

maandag 12 oktober 2009 13:37

Acties:
  • Cidolfas
  • Registratie: September 2007
  • Laatst online: 16:38

Cidolfas

Of je lokale station is geinfecteerd, dat kan je checken met een nslookup naar je website.

Als je niet bij je website uit komt maar ergens anders is het niet je webserver. Als je wel bij je webserver uit komt maar wordt doorgelinked is het je webserver.

i5-10600K | MSI MAG Tomahawk Z490 | Asus DUAL GeForce RTX 3070 OC | Corsair Vengeance 32 GB 3600 Mhz | Noctua NH-D15 Chromax.Black | Corsair RM850x | Fractal Design Meshify S2

maandag 12 oktober 2009 13:39

Acties:
  • EDIT
  • Registratie: Januari 2007
  • Laatst online: 20:25

EDIT

Om welke website gaat dit?

Scan sowieso even je eigen PC met een up-to-date virusscanner (bijvoorbeeld een online scanner van Trend Micro). Dit wordt in veel gevallen veroorzaakt door een virus op je eigen PC, die de FTP logingegevens steelt.

Edit: ah beter lezen. Dit ligt inderdaad aan de hoster. Lees bijv. even deze PDF: http://www.webrail.eu/apache_attack_EN.pdf.

Zoek bijvoorbeeld even op 'beladen.net', krijg je een groot aantal mensen met hetzelfde probleem.

[ Voor 111% gewijzigd door EDIT op 12-10-2009 13:49 ]

maandag 12 oktober 2009 13:39

Acties:
  • mvandervelde
  • Registratie: Juni 2009
  • Laatst online: 17:49

mvandervelde

Dat ligt niet aan je website, dat ligt aan je host.

dit probleem ken ik, enige die t op kan lossen is dus je host.

ofterwijl neem contact op met je host.

maandag 12 oktober 2009 13:40

Acties:
  • Timmeah
  • Registratie: Maart 2004
  • Laatst online: 17-10 18:31

Timmeah

Topicstarter
Cidolfas schreef op maandag 12 oktober 2009 @ 13:37:
Of je lokale station is geinfecteerd, dat kan je checken met een nslookup naar je website.

Als je niet bij je website uit komt maar ergens anders is het niet je webserver. Als je wel bij je webserver uit komt maar wordt doorgelinked is het je webserver.
Ik kom wel bij me webserver uit. Het gebeurd overigens wel 'soms'. De ene keer kom ik wel gewoon bij me website uit, de andere keer niet .

maandag 12 oktober 2009 13:42

Acties:
  • Timmeah
  • Registratie: Maart 2004
  • Laatst online: 17-10 18:31

Timmeah

Topicstarter
mvandervelde schreef op maandag 12 oktober 2009 @ 13:39:
Dat ligt niet aan je website, dat ligt aan je host.

dit probleem ken ik, enige die t op kan lossen is dus je host.

ofterwijl neem contact op met je host.
Wat kan deze er aan doen?

Ik had namelijk al een melding bij hun neergelegd, maar kreeg de volgende reactie terug:

Dit ontstaat meestal door dat de website is besmet met html code welke iets tracht te installeren op de bezoekende pc.
Zeer waarschijnlijk is dus de website gehacked en voorzien van code welke er niet in thuis hoort, bv iframes etc.

U dient uw website code te controleren op correcte code en/of de gehele website te voorzien van een schone versie, tevens dient u de rechten van uw mappen en bestanden te controleren (mappen 755, bestanden 644) om herhaling te voorkomen. Indien u php of perl scripts gebruikt moet u er ook voor zorgen dat de code actueel en veilig is, vaak komen hackers binnen door fouten/bugs in de code.

maandag 12 oktober 2009 13:46

Acties:
  • moozzuzz
  • Registratie: Januari 2005
  • Niet online

moozzuzz

Timmeah schreef op maandag 12 oktober 2009 @ 13:42:
[...]


Wat kan deze er aan doen?
Staat je .htaccess alright?

maandag 12 oktober 2009 13:57

Acties:
  • Timmeah
  • Registratie: Maart 2004
  • Laatst online: 17-10 18:31

Timmeah

Topicstarter
moozzuzz schreef op maandag 12 oktober 2009 @ 13:46:
[...]

Staat je .htaccess alright?
Ja, daar is niks mis mee.

maandag 12 oktober 2009 14:11

Acties:
  • EDIT
  • Registratie: Januari 2007
  • Laatst online: 20:25

EDIT

Timmeah schreef op maandag 12 oktober 2009 @ 13:42:
[...]
Wat kan deze er aan doen?
[..]
De host zal de beveiliging moeten nakijken, scannen op foutieve processen/scripts die draaien die er niet thuis horen. Zie ook mijn eerdere post, staat een PDF'je met wat meer info (tenminste, het komt op mij over als hetzelfde probleem als wat jij hebt).

[ Voor 9% gewijzigd door EDIT op 12-10-2009 14:12 ]

maandag 12 oktober 2009 14:18

Acties:
  • Timmeah
  • Registratie: Maart 2004
  • Laatst online: 17-10 18:31

Timmeah

Topicstarter
EDIT schreef op maandag 12 oktober 2009 @ 14:11:
[...]


De host zal de beveiliging moeten nakijken, scannen op foutieve processen/scripts die draaien die er niet thuis horen. Zie ook mijn eerdere post, staat een PDF'je met wat meer info (tenminste, het komt op mij over als hetzelfde probleem als wat jij hebt).
Hi bedankt voor deze tip. Ik ga er mee naar mijn host. Ik ben benieuwd of het hier aan ligt.

maandag 12 oktober 2009 14:21

Acties:
  • RobIII
  • Registratie: December 2001
  • Niet online

RobIII

Admin Devschuur®

^ Romeinse Ⅲ ja!

(overleden)
En dit staat in WEB omdat :?
Waar hoort mijn topic?

WEB >> BV

There are only two hard problems in distributed systems: 2. Exactly-once delivery 1. Guaranteed order of messages 2. Exactly-once delivery.

Je eigen tweaker.me redirect

Over mij

maandag 12 oktober 2009 14:29

Acties:

Verwijderd

Ik verwacht ook dat je host last heeft van een aantal extra processen. Dit zullen zij moeten fixen, maar daarnaast zul jij ook je FTP wachtwoord e.d. moeten wijzigen zodat ze niet gelijk weer binnen komen en natuurlijk de code van je site goed nalopen op abnormaliteiten. Zoals het artikel van EDIT ook al aangaf: ze zijn erg slim in het ergens verstoppen van code, zodat er er snel overheen leest.

Mochten ze jouw FTP wachtwoord hebben verkregen dmv een virus op jouw PC dan spreekt het voor zich dat je deze ook goed moet scannen (eigenlijk gewoon opnieuw moet installeren). Anders heeft het wijzigen van je wachtwoord weinig zin.

Ik heb precies dat scherm (van die virus scanner) ook al eens gezien bij mij. Gezien ik Linux gebruik lijkt mij het sterk dat mijn C: schijf geïnfecteerd is :)

maandag 12 oktober 2009 14:29

Acties:
  • Snake
  • Registratie: Juli 2005
  • Laatst online: 07-03-2024

Snake

Los Angeles, CA, USA

mvandervelde schreef op maandag 12 oktober 2009 @ 13:39:
Dat ligt niet aan je website, dat ligt aan je host.

dit probleem ken ik, enige die t op kan lossen is dus je host.

ofterwijl neem contact op met je host.
Lol.

Echt, waarom zou dit niet aan TS z'n website zelf KUNNEN liggen?

Going for adventure, lots of sun and a convertible! | GMT-8

maandag 12 oktober 2009 14:32

Acties:
  • leuk_he
  • Registratie: Augustus 2000
  • Laatst online: 28-11 09:35

leuk_he

1. Controleer de kabel!

Het kan zijn dat jouw files besmet zijn, maar het kan ook zijn dat jouw host besmet is.

Je kunt wellicht een trace doen van het webverkeer ( makkelijst met firefox firebug -> net tab, of met een andere plugin zoals tamperdata of liveheaders)

Als je redirects ziet weet je vrij zeker dat het je host is, als je files die geserverd worden niet overheen komen met wat jij erop gezet hebt weet je dat het je host is.

PS, het kan ook je lokale PC zijn he?

Need more data. We want your specs. Ik ben ook maar dom. anders: forum, ff reggen, ff topic maken
En als je een oplossing hebt gevonden laat het ook ujb ff in dit topic horen.

maandag 12 oktober 2009 14:34

Acties:
  • EDIT
  • Registratie: Januari 2007
  • Laatst online: 20:25

EDIT

Snake schreef op maandag 12 oktober 2009 @ 14:29:
[...]

Lol.

Echt, waarom zou dit niet aan TS z'n website zelf KUNNEN liggen?
Zou het constant gebeuren, dan is het inderdaad aannemelijk dat de site gewoon gehackt is of iets dergelijks. Echter gebeurt dit niet constant (in ieder geval, dat geeft TS aan). Hierdoor is het aannemelijker dat de server een aantal malafide apache processen heeft, die de bezoeker doorsturen.

Het kan uiteraard altijd dat de site besmet is, alleen is bovenstaande IMHO aannemelijker.

EDIT: lees ook even deze site: http://blog.unmaskparasit...usive-web-server-exploit/
Wellicht kan TS dan aangeven of dit overeenkomt met zijn bevindingen?

[ Voor 19% gewijzigd door EDIT op 12-10-2009 14:39 ]

maandag 12 oktober 2009 15:23

Acties:
  • mvandervelde
  • Registratie: Juni 2009
  • Laatst online: 17:49

mvandervelde

miss heb je hier ook nog wat aan :

http://www.linuxquestions...ites.-758806/#post3708050
Pagina: 1
Reageer

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq