Malware op mijn website?

Vraag je broncode van de homepage op, en kijk naar de teringzooi helemaal onderaan de HTML.
Kortom, terecht geblokkeerd, ruim je website op, en ga dan pas aangeven dat je website opnieuw moet worden gecontroleerd.

Mijn anti virus begint toch te flippen:
JS:Illredir-AU [Trj]

Malicious software includes 2 scripting exploit(s).

Malicious software is hosted on 1 domain(s), including yahoo-statistic.com/.

1 domain(s) appear to be functioning as intermediaries for distributing malware to visitors of this site, including studio-hoogeveen.nl/.

This site was hosted on 1 network(s) including AS39556 (EASYHOSTING).

Bizar, maar als je via de link http://www.studio-hoogeveen.nl/russchen-online/ gaat is er geen warning.

rusman schreef op woensdag 02 juni 2010 @ 22:52:

Je bedoelt de javascript onderaan de pagina? Ik zal er eens naar kijken. Geen idee hoe zoiets erin komt.

Meest voorkomende oorzaken:
- Lekke website, bijvoorbeeld ongepatchte Joomla of WordPress installatie
- Gestolen FTP wachtwoord

Dat laatste wordt dan weer gedaan door malware op een computer vanwaar de website werd geüpload of bijgehouden. Dus scan meteen alle systemen vanwaar de website ooit is bijgehouden of waarin de inloggegevens op welke manier dan ook zijn opgeslagen.

Je hebt wel degelijk een virus, kijk onderaan je broncode. Waarschijnlijk is je pc besmet met een keylogger o.i.d. die automatisch je ftp afspeurt en de bestanden aanpast. Zie ook dit topic:

Vage javascript toegevoegd aan mijn site

(sneller reageren zie ik nu )

[ Voor 6% gewijzigd door Ram0n op 02-06-2010 22:57 ]

Ik heb de link weggehaald. Als je weet dat er malware op je site zit, gelieve de link niet hier te posten.

rusman schreef op woensdag 02 juni 2010 @ 23:03:
Fijn. De malware is voor zover ik weet nu van de site af. Dus hij is weer veilig. Enige wat ik weet is dat ik afgelopen maand via een onbeveiligd netwerk in Zwitserland wat op de site heb gezet (blogpost). Dit was op Wordpress 2.9.1. Deze heb ik ook meteen ge-update naar 2.9.2 dus hij zou voorzien moeten zijn van de nieuwste en veiligste wordpress installatie.

Probleem blijft wel dat Google niet weet dat mijn website weer veilig is en ik dit ook op geen enkele manier kan duidelijk maken.

via google webmaster tools kan je dit denk ik wel aan google duidelijk maken, maar dan nog kan het dagen duren vooral google je weer als "schoon" herkent

rusman schreef op woensdag 02 juni 2010 @ 22:55:
Bizar hoe zoiets er toch in kan komen...

Vermoedelijk is je PC besmet met het Gumblar virus. Dat steelt de onthouden FTP logingegevens uit je FTP programma/webeditor/... en stuurt deze door naar de maker van het virus. Deze voegt dan via FTP deze javascript code aan je index bestanden toe. Die javascript code probeert bezoekers van je website met hetzelfde virus te besmetten door misbruik te maken van lekken in oude versies van Adobe Reader en Flash Player.
'Gumblar is gevaarlijker dan Conficker'
Het verwijderen van de javascript code is niet voldoende. Omdat ze je FTP gegevens hebben, wordt die code binnen een paar dagen gewoon weer opnieuw toegevoegd. Verander dus al je FTP wachtwoorden, vanaf een PC waarvan je 100% zeker bent dat die virusvrij is. Ook van sites die (nog) niet besmet zijn.
Controleer tenslotte je eigen PC heel goed op virussen, liefst met meerdere virusscanners.

rusman schreef op woensdag 02 juni 2010 @ 23:03:

Probleem blijft wel dat Google niet weet dat mijn website weer veilig is en ik dit ook op geen enkele manier kan duidelijk maken.

Dat is geen probleem. Je kunt via de webmaster tools aangeven dat de site weer "veilig" is, en dan is het wachten.

Het probleem is dat er überhaupt rommel op de site stond, dus Google verleent een dienst aan de rest van de wereld. Better safe than sorry in dit geval.

Google is inderdaad erg hard daar in. Malware constatering is op de blacklist voor een paar dagen/weken.

Arjen Tempel schreef op woensdag 02 juni 2010 @ 23:06:
[...]
Vermoedelijk is je PC besmet met het Gumblar virus. Dat steelt de onthouden FTP logingegevens uit je FTP programma/webeditor/... en stuurt deze door naar de maker van het virus. Deze voegt dan via FTP deze javascript code aan je index bestanden toe.

Over het algemeen doen die virussen juist ook het aanpassen van je bestanden helemaal zelf. Vrijwel alle varianten van dit virus (dat de laatste weken héél actief is) passen automatisch alle bestanden aan met de extensies .htm, .html en .tpl waarvan de naam begint met "index", en alle .js bestanden ongeacht de naam. Het scant recursief alle directory's om deze te vinden.

Uit ervaring weet ik dat Malwarebytes Anti-Malware de variant die nu zo erg de ronde doet het kan verwijderen van je pc.

Zou voor alle zekerheid ook eens alle subfolders van de wordpress install nazien... In veel gevallen verspreiden ze nog "extra" one-file PHP shell, die ze dan kunnen benaderen in geval van "lek-dichting"...
In veel gevallen is dit een image.php, of login.php, of één of andere standaard benaming... doch makkelijk op te sporen... check de datums van upload met je ftp browsers en ga zo op zoek naar anomaliteiten...
(bv folder heeft 30 bestanden met datum 10/10/2009 en 1 bestand met 14/05/2010... bingo)

idd Criminelen en richten veel schade aan, maar geniale coders !!!

---snapshot---
print "Will bruteforce the md5
<form action=\"".$me."?p=md5\" method=POST>
<b>md5 to crack:<br></b><input type=text name=md5 value=\"\" size=40><br>
<b>Characters:</b><br><select name=\"chars\">
<option value=\"az\">a - zzzzz</option>
<option value=\"9999\">1 - 9999999</option>
</select>
<b>Max. cracking time*:<br></b><input type=text name=timelimit value=\"30\" size=2><br>
<input type=submit value=\"Bruteforce md5\">
---snapshot---

Je kunt de Simple Server Malware Scanner over je webserver heen gooien om te dubbel checken of bepaalde websites geïnfecteerd zijn

Te vinden op https://sourceforge.net/projects/smscanner/

Ik denk dat TS er na een jaartje of 2 wel uit is

Overigens is 't niet de bedoeling hier je eigen product(en) te spammen

[ Voor 64% gewijzigd door RobIII op 09-10-2012 16:32 ]