Spam script op website opent alleen in IE

Je kunt server-side de useragent opvragen en conditioneel daarop bepaalde output sturen. Dus heel gek is het niet.

Waarschijnlijk wordt het door een Javascript geinjecteerd?

ocwil schreef op maandag 01 augustus 2016 @ 11:14:
Waarschijnlijk wordt het door een Javascript geinjecteerd?

Ook dat is een mogelijkheid ja (evt afhankelijk van de UA)

YoshiBignose schreef op maandag 01 augustus 2016 @ 11:17:
Waar kan ik beginnen met zoeken?

Begin met een backup maken van de huidige live website.
Wis nu de live website.
Upload nu de originele bestanden van je PC/Backup.

Check of het probleem er nog steeds is.

YoshiBignose schreef op maandag 01 augustus 2016 @ 11:17:
Ja die javascript injecties heb ik weleens meegemaakt, maar eigenlijk nooit dat het bij de ene browser wel werkt en de ander niet.

Dit is niet meer dan een educated guess, maar Chrome en Fx gaan meteen loeien als er zo'n 'fishy domein' ergens in de pagina voorkomt waar IE dat (presumably, lang geleden dat ik 't echt heb gebruikt) wat minder snel doet. Dus om 'onder de radar' te blijven vermoed ik dat 't daarom gedaan wordt.

YoshiBignose schreef op maandag 01 augustus 2016 @ 11:17:
Wat is nu wijsheid? Waar kan ik beginnen met zoeken?

Je kunt gewoon in files zoeken met wat grep magic enzo*, maar tbh zou ik die site niet meer vertrouwen (als compromised beschouwen) en 'm opnieuw opzetten en een backup terugzetten waarvan je 100% weet dat 'ie goed is.

* De kans dat je die exacte strings (zoals het domein in kwestie bijv.) gaat vinden is echter klein; vaak zijn dergelijke 'malicious' scripts in een of andere vorm 'verhaspeld'. Je zou wel de bestanden kunnen diffen met je ontwikkelomgeving / backup om zo de gewijzigde bestanden er snel(ler) uit te plukken.

[ Voor 15% gewijzigd door RobIII op 01-08-2016 11:29 ]

Een bestand diffen is de verschillen tussen de bestanden duidelijk maken (difference).

Kan je bijvoorbeeld online hier doen: https://www.diffchecker.com

of met een programma zoals WinMerge

Werkt het op een andere pc in IE wel?

Heb je niet lokaal op je PC een virus / adware te pakken die dit doet ?
Of is het alleen bij je eigen site ?

Probeer ook eens andere computers met IE..

YoshiBignose schreef op maandag 01 augustus 2016 @ 11:29:
True, maar zit ook echt NOOIT meer op IE dus misschien zit dit er al jaren... Ik ga wel even in m'n backups kijken. Maar vind het ook altijd wel leuk om iets te leren Probeer ook wel even zo'n zoek actie in al m'n files ja.

Wat is bestanden diffen?

Wat voor website is het? (Wordpress?)

Als je in Chrome en FF een Addblocker hebt, dan wordt dat geblokkeerd en op IE niet. Had laatst een Wordpress website gezien waar ik dit zelf niet tegenkwam (Chrome met Addblock), maar de klant wel in IE (zonder Addblock).

Was uiteindelijk een stukje script <script></script> wat gewoon in de editor was geplakt en die zorgde ervoor dat een popup opende.

Zijn er daadwerkelijk bestanden aangepast of zie je dat niet op de server? Want met <!-- condition comments --> voor specifieke IE versie's kan het ook gedaan zijn.