Toon posts:

script injectie?

Pagina: 1
Acties:

woensdag 21 november 2012 15:15

Acties:
  • 0 Henk 'm!
  • InflatableMouse
  • Registratie: December 2006
  • Laatst online: 23-06 21:11

InflatableMouse

Carina Nebula says hi!

Topicstarter
Heren,

Effe snel, ik ben geen devver en heb er geen verstand van, maar op een server die wij hosten (wij zijn niet verantwoordelijk voor de content) zie ik dit in een html resultaat:

code:
1
2
3
4
5
6
7
8
9
10

<HTML><HEAD></HEAD>
<BODY>ReadResponse() failed: The server did not return a response for this request. </BODY>
<SCRIPT type=text/javascript src="https://hostmyjs.biz/scripts/inl_dmmtch2.min.js" characterSet="utf-8"></SCRIPT>
 
<SCRIPT type=text/javascript src="https://in.admedia.com/?id=ODkoOCI&amp;subid=36" characterSet="utf-8"></SCRIPT>
 
<SCRIPT type=text/javascript src="https://cdncache1-a.akamaihd.net/loaders/1247/l.js?aoi=1311798366&amp;pid=1247&amp;zoneid=52222" characterSet="utf-8"></SCRIPT>
 
<SCRIPT type=text/javascript src="https://hostmyjs.biz/scripts/adbar/adbar.js" characterSet="utf-8"></SCRIPT>
</HTML>


Kan iemand me vertellen of dit schadelijk is? Is dit iets van een java script injectie?

Alvast bedankt!

woensdag 21 november 2012 15:19

Acties:
  • 0 Henk 'm!
  • André
  • Registratie: Maart 2002
  • Laatst online: 16-07 13:05

André

Analytics dude

Het lijkt op een verzameling scripts dat een banner oid op je site plaatst. Als dat voor jou geen bekende scripts zijn zou het inderdaad kunnen dat een kwaadwillende bezoeker onrechtmatig het een en ander aangepast heeft.

woensdag 21 november 2012 15:21

Acties:
  • 0 Henk 'm!
  • TheNephilim
  • Registratie: September 2005
  • Laatst online: 17-07 11:21

TheNephilim

Wtfuzzle

Je hebt kans dat er met de index.php gerommeld is. Waar haal je bovenstaande vandaan? Normaal heb je dan een volledig document waarin onderin enkele links/scripts geinjecteerd zijn doormiddel van een externe include.

Een andere mogelijkheid is inderdaad uitgevoerde javascript die nog meer JS toevoegt aan je script.

woensdag 21 november 2012 15:25

Acties:
  • 0 Henk 'm!
  • Tarilo
  • Registratie: December 2007
  • Laatst online: 15-07 16:23

Tarilo

Eens met hierboven.

Neem gewoon contact op met degene die verantwoordelijk is voor de content op de site. Zeg dat je opgevallen is dat er een aantal JS bestanden ge-include worden waarvan de herkomst onzeker is. Als hij ook niet weet waar ze vandaan komen weet je zeker dat er iets mis is.

woensdag 21 november 2012 15:28

Acties:
  • 0 Henk 'm!
  • InflatableMouse
  • Registratie: December 2006
  • Laatst online: 23-06 21:11

InflatableMouse

Carina Nebula says hi!

Topicstarter
oke, ik had al even gegoogled op die urls ed, maar kom wat vage dingen tegen maar niet direct iets dat mijn alarmpjes gaan rinkelen dat het gehacked is of zo.

Die urljes komen jullie ook niet direct bekend voor dus?

woensdag 21 november 2012 15:35

Acties:
  • 0 Henk 'm!
  • TheNephilim
  • Registratie: September 2005
  • Laatst online: 17-07 11:21

TheNephilim

Wtfuzzle

Nope, je moet zo snel mogelijk uitvinden waar de gegevens vandaan komen. Is het een lek input[type=text] veld, of hebben hackers toegang tot de FTP gekregen en zijn de bronbestanden aangepast.

Moet niet heel moeilijk te zien zijn waar de gegevens geinclude worden toch? Als je bron bekijken doet en ze staan er niet, dan is het met JavaScript. Als ze bij bron bekijken er wel staan, zit het waarschijnlijk in de bronbestanden zelf.

Maar ik weet natuurlijk niet wat voor systeem je hebt, welke Wordpress/custom cms/etc erop staat.

woensdag 21 november 2012 16:09

Acties:
  • 0 Henk 'm!
  • InflatableMouse
  • Registratie: December 2006
  • Laatst online: 23-06 21:11

InflatableMouse

Carina Nebula says hi!

Topicstarter
Het is een custom geschreven website in asp, ik mag helaas niet de site bij naam noemen in verband met klant privacy en gevoeligheid daaromtrend.

Op 1 server heb ik default.aspx bekeken daar staat niets in, ik heb nu niet de tijd om er verder in te duiken omdat ik even weg moet maar ik zal straks/morgen eens verder grasduinen of ik wat kan vinden.

bedankt voor de reacties in ieder geval!

woensdag 21 november 2012 16:18

Acties:
  • 0 Henk 'm!
  • mcDavid
  • Registratie: April 2008
  • Laatst online: 10-07 15:11

mcDavid

het is in ieder geval geen JS injectie, ziet er eerder uit als een klassieke FTP-breach. Kortom virusscanners draaien, wachtwoorden veranderen en alle bestanden die op verdachte tijdstippen veranderd zijn, verwijderen.

woensdag 21 november 2012 16:22

Acties:
  • 0 Henk 'm!
  • Tarilo
  • Registratie: December 2007
  • Laatst online: 15-07 16:23

Tarilo

Rustig aan mensen. Voor zover ik kan lezen is er nog steeds geen contact geweest met degene die verantwoordelijk is voor de content. Vraag daar nu eerst eens aan of die linkjes daar bewust staan.

Er vanuit gaande dat de contentbeheerder inderdaad linkjes kan toevoegen, als hij dit helemaal niet hoort te kunnen is het sowieso foute boel en heb ik niks gezegd. ;)

donderdag 22 november 2012 14:19

Acties:
  • 0 Henk 'm!
  • InflatableMouse
  • Registratie: December 2006
  • Laatst online: 23-06 21:11

InflatableMouse

Carina Nebula says hi!

Topicstarter
Nou het is gemeld bij de contentboer. We hebben niets meer gehoord maar ik zie wel dat er vanochtend een update is geweest op de website.

Jammer dat ze niet willen vertellen wat het is maar gezien de stilte vermoed ik dat het niet veel soeps was.
Pagina: 1
Reageer

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq