Toon posts:

drupal website linkt door naar malwaresite

Pagina: 1
Acties:

Vraag

zondag 21 oktober 2018 16:43

Acties:
  • 0Henk 'm!
  • ITS PLUS
  • Registratie: Januari 2012
  • Laatst online: 13-12-2022

ITS PLUS

Topicstarter
Heb een drupal website. Nu krijg ik van sommige gebruikers het bericht dat ze automatisch geforward worden naar een andere site, waar opkomt dat ze een prijs gewonnen hebben etc.

Heb online scans gedaan van de website op malware, niets gevonden.
Heb de drupal verwijdert en opnieuw geïnstalleerd, probleem blijft bestaan.

Zou dat probleem kunnen zijn dat bij de hosting ligt?
Of waar zou dit toch nog in kunnen verscholen zitten?

dit is de melding die er gegeven wordt.

Als ik er zelf naar surf of vanaf andere locatie krijg ik die fout niet te zien.


https://imageshack.com/a/img923/1359/moH9wm.jpg

Alle reacties

zondag 21 oktober 2018 16:48

Acties:
  • 0Henk 'm!
  • johnkeates
  • Registratie: Februari 2008
  • Laatst online: 29-01 21:13

johnkeates

Heb je al een diff gedaan van je upload en je source?

zondag 21 oktober 2018 16:50

Acties:
  • +1Henk 'm!
  • eric.1
  • Registratie: Juli 2014
  • Laatst online: 20:02

eric.1

Als je het niet kan reproduceren blijft he gissen waar het zit...en zou het net zo goed aan die gebruikers kunnen liggen.

Iets in de logs te zien (ongeoorloofde toegang of redirects oid)?
Heb de Drupal verwijdert en opnieuw geïnstalleerd, probleem blijft bestaan.
Hoe heb je dat gedaan?

zondag 21 oktober 2018 20:43

Acties:
  • 0Henk 'm!
  • ITS PLUS
  • Registratie: Januari 2012
  • Laatst online: 13-12-2022

ITS PLUS

Topicstarter
@Johnkeates: heb alle offline files uit een een backup van tijdje terug laten overschrijven, zelfde resultaat
@eric.1 : het ligt zeker aan de site, het zijn 3 onafhankelijke surfers die het probleem doorgegeven hebben. In logs niets terug te vinden.
De drupal heb ik alles gewist via de ftp (behalve de sites-folder) en een nieuwe installatie opgezet. Zelfde resultaat.

Of het zou al in de "sites" folder moeten zitten, maar deze is al overschreven door de backup die beschikbaar was van enkele maanden geleden.

Met verschillende sites online al laten checken op malware (sitecheck.sucuri, virustotal, app.webinspector, norton, scanner.pcrisk, quttera, ... Geen enkele site heeft iets van opmerkingen.

Het ding is wel dat wanneer je de site 1x bezocht hebt de reclame blijkbaar weg is, want als ze dan op terug en opnieuw op de site klikken is het probleem niet meer voorhanden.

zondag 21 oktober 2018 20:45

Acties:
  • 0Henk 'm!
  • bonzz.netninja
  • Registratie: Oktober 2001
  • Laatst online: 01-02 21:35

bonzz.netninja

Niente baffi

Misschien zit het probleem niet in je applicatie, maar in je hosting. De webserver komt niet bij de applicatie maar stuurt je direct al door. Ik zou in je hosting panel (de meeste hosting partijen hebben zoiets) gaan kijken of er niet stiekem redirects staan oid.

vuistdiep in het post-pc tijdperk van Steve  | Lees mijn maandelijke nieuwsbrief! | https://www.dedigitaletuin.nl

zondag 21 oktober 2018 20:51

Acties:
  • 0Henk 'm!
  • Xaverius
  • Registratie: Juni 2001
  • Laatst online: 14:11

Xaverius

Ultraloper - korte dan... 😎

Ik heb hier ook wel eens vragen over gekregen en na controle bleek het dat het daar lag aan een browser plugin.

https://smashrun.com/hans.vandermeer/invite
Stop de verwelking!
COVID19 resultaat: 30% meer hardgelopen dan ooit, langste afstand van 52 -> 69km gebracht

maandag 22 oktober 2018 09:47

Acties:
  • +1Henk 'm!
  • AW_Bos
  • Registratie: April 2002
  • Laatst online: 16:09

AW_Bos

Liefhebber van nostalgie... 🕰️

ITS PLUS schreef op zondag 21 oktober 2018 @ 20:43:
@Johnkeates: heb alle offline files uit een een backup van tijdje terug laten overschrijven, zelfde resultaat.
En stel nu dat het lek ook in die backup zit?

☀️ Goedemorgen zonneschijn! ☀️
☀️Ja, je maakt me zo gelukkig, en door jou voel ik me fijn! ☀️

maandag 22 oktober 2018 09:53

Acties:
  • 0Henk 'm!
  • Darkvisje
  • Registratie: Augustus 2008
  • Laatst online: 02-01 14:45

Darkvisje

check je .htaccess file maar is :) deze is meestal niet zichtbaar via de ftp (ge-hide)

maandag 22 oktober 2018 09:56

Acties:
  • 0Henk 'm!
  • TimDJ
  • Registratie: Februari 2002
  • Nu online

TimDJ

Het is ook mogelijk dat er een javascript geïnjecteerd is in je database.

Verder kun je als je geen git repository hebt om je code mee te vergelijken de hacked module proberen: https://www.drupal.org/project/hacked die vergelijkt code met het origineel

Freelance Drupal developer

maandag 22 oktober 2018 10:16

Acties:
  • 0Henk 'm!
  • HenkEisjedies
  • Registratie: Maart 2004
  • Laatst online: 03-02 16:40

HenkEisjedies

Draai je ook advertenties? Ik heb ook regelmatig, 1x per maand, dat ik vanaf AD.nl wordt doorgestuurd naar zo'n spamsite. Ligt denk ik niet bij AD.nl, maar bij de advertentieboer.

maandag 22 oktober 2018 12:48

Acties:
  • 0Henk 'm!
  • ITS PLUS
  • Registratie: Januari 2012
  • Laatst online: 13-12-2022

ITS PLUS

Topicstarter
Er draaien geen ads op de site.
De .htaccess heb ik nagekeken, geen rare code in
Backup kan besmet zijn, maar zou ik raar vinden daar ik hier vroeger geen meldingen van kreeg
database ga ik eens checken. Die drupal module ga ik eens installeren, misschien wel handig.

Ik hou het hier up to date waar het aan ligt :), bedankt voor de vele insteek.

maandag 22 oktober 2018 12:52

Acties:
  • +1Henk 'm!
  • edeboeck
  • Registratie: Maart 2005
  • Laatst online: 14:57

edeboeck

mie noow noooothing ...

Als je toch een grondige file-vergelijking wilt doen, kan je ook met Beyond Compare vergelijken: zet thuis een cleane versie op en vergelijk dan met de gehoste versie (kan ook over FTP vergelijken)

[Voor 8% gewijzigd door edeboeck op 22-10-2018 12:53]

maandag 22 oktober 2018 19:38

Acties:
  • 0Henk 'm!
  • Fontini
  • Registratie: Februari 2012
  • Laatst online: 20:20

Fontini

Ik zou ook even je site admin/ftp(master)/database wachtwoorden aanpassen voor de zekerheid als je het probleem gevonden hebt (of eerder en na het vinden weer).
Pagina: 1
Reageer

Tweakers maakt gebruik van cookies

Tweakers plaatst functionele en analytische cookies voor het functioneren van de website en het verbeteren van de website-ervaring. Deze cookies zijn noodzakelijk. Om op Tweakers relevantere advertenties te tonen en om ingesloten content van derden te tonen (bijvoorbeeld video's), vragen we je toestemming. Via ingesloten content kunnen derde partijen diensten leveren en verbeteren, bezoekersstatistieken bijhouden, gepersonaliseerde content tonen, gerichte advertenties tonen en gebruikersprofielen opbouwen. Hiervoor worden apparaatgegevens, IP-adres, geolocatie en surfgedrag vastgelegd.

Meer informatie vind je in ons cookiebeleid.

Sluiten

Toestemming beheren

Hieronder kun je per doeleinde of partij toestemming geven of intrekken. Meer informatie vind je in ons cookiebeleid.

Functioneel en analytisch

Deze cookies zijn noodzakelijk voor het functioneren van de website en het verbeteren van de website-ervaring. Klik op het informatie-icoon voor meer informatie. Meer details

janee

    Relevantere advertenties

    Dit beperkt het aantal keer dat dezelfde advertentie getoond wordt (frequency capping) en maakt het mogelijk om binnen Tweakers contextuele advertenties te tonen op basis van pagina's die je hebt bezocht. Meer details

    Tweakers genereert een willekeurige unieke code als identifier. Deze data wordt niet gedeeld met adverteerders of andere derde partijen en je kunt niet buiten Tweakers gevolgd worden. Indien je bent ingelogd, wordt deze identifier gekoppeld aan je account. Indien je niet bent ingelogd, wordt deze identifier gekoppeld aan je sessie die maximaal 4 maanden actief blijft. Je kunt deze toestemming te allen tijde intrekken.

    Ingesloten content van derden

    Deze cookies kunnen door derde partijen geplaatst worden via ingesloten content. Klik op het informatie-icoon voor meer informatie over de verwerkingsdoeleinden. Meer details

    janee