Vraag & Antwoord

Webdesign (HTML, CSS, Flash)

Virus op mijn website

21 antwoorden
  • Beste allen, Ik werk voor een fotoproductiebedrijf en heb voor dit bedrijf o.a. de website gemaakt. Gisteravond was ik op de pc van mijn vriendin en wilde de site bezoeken. Gaat daar ineens het alarm van Avast Antivirus af... er zou een virus/worm op die site staan... (op de index pagina) .. het gaat over html iframe-inf (of zoiets) Vandaag dus op het werk aangekomen direct in proberen te loggen in het manager menu van mijn CMS (MODx)... kreeg ik alleen een white screen??? Via FTP ingelogd en de bron van de pagina bekeken... blijkt dat er helemaal onderaan de pagina iets staat als (ongeveer) [code:1:e6203f30a8]<iframe src="http://XXXXXXX.com/?click=10089267" width=1 height=1 style="visibility:hidden;position:absolute"></iframe>[/code:1:e6203f30a8] Dit is dus iets wat er niet in behoort te staan... Ik heb dit via FTP kunnen verwijderen.. Op de indexpagina van het manager menu zat een zelfde soort iframe.. .deze verwijderd en toen deed ie t weer. m.a.w. iemand anders dan ikzelf heeft (vermoedelijk gisteren) met opzet deze code toegevoegd. Mijn vraag is... hoe kan dit? En wat kan ik eraan doen om dit te voorkomen?
  • Er zijn verschillende mogelijkheden van een hacker tot onbetrouwbaar personeel. Je provider heeft een log misschien van de login history. Ik denk dat iemand je password heeft kunnen gokken. Ik heb een server beheerd en daar probeerden mensen elke minuut op in te loggen vanuit Azië.. Verander het ftp password meteen in een langere.
  • Thanks voor je reply.. Wat het personeel betreft.. dit is altijd een mogelijkheid.. maar behalve mij zijn er slechts twee anderen die de ftp en cms wachtwoorden hebben. Vooralsnog vertrouw ik hun gewoon... dus ga ik er maar "even" vanuit dat het toch hackers zijn. Hoe raden zij zo'n wachtwoord? Puur brute force? of puur elke mogelijke combi proberen? Ik zag zojuist dat in de submappen van mijn CMS ook elk index bestand zo'n coderegel bevat.. ze hebben dus goed hun werk gedaan. Alle index pagina's CHMOD'den naar 444 (alleen lezen).. kan dat ook helpen?
  • Brute force ja maar denk eerder aan een lek. Je provider moet je ook meetellen, die weten je wachtwoorden ook. Is het een Nederlandse? Ik lees net dat je een cms hebt: Andere optie is dat je cms een lek heeft, verander de ftp wachtwoorden en de database van je site. Hernoemen en ander wachtwoord voor database. Dit probleem komt vaak voor op forums.
  • Een forum heb ik niet op mijn website. Provider is nederlands (www.denit.nl) en doen we al heel lang zaken mee. (meerdere shared hosting pakketten en een leased server) CMS is MODx... Ik heb al contact gezocht met Denit.. Ik ga nu: -FTP wachtwoord veranderen -CMS login wachtwoord veranderen -CMS Database connectie wachtwoord veranderen Ik vermoed zelf dat het nu los staat van het CMS.. Er is namelijk niks aangepast aan de templates.. puur en alleen aan de de index files (die zo'n template inlezen) Daarnaast heb ik ook een submap met het POMMO newsletter systeem... dit systeem heeft ook diverse index files en ook dezen zijn allemaal voorzien van virus code. Bedankt voor je hulp zover!
  • Het is me alweer heel wat duidelijker geworden.. Vanuit mijn kantoor pc beheer ik drie corporate websites. 2 ervan zijn shared hosting 1 is via leased server.. alledrie volledig van elkaar gescheiden wat hosting betreft. Toch alledrie!!! besmet met bovenstaand virus/worm/probleem... Mijn conclusie.. mijn eigen pc is besmet... (ben nu grondig aan het scannen en heb al wat kleinigheden gevonden) Maar hoe kan dit in godsnaam.. al heb ik een virus op mijn pc... hoe komt het dan op mijn websites te staan? Het virus moet dan: A) FTP toegang krijgen tot de sites B) alle index.html/php bestanden localiseren C) boven de </body> tag de code regel met het virus toevoegen... Behoorlijk complex toch?
  • Ik denk dat het aan het cms ligt. Als er een lek is aan je cms, gaat men natuurlijk alleen wijzigingen aanbrengen aan zaken die bij elke installatie aanwezig zullen zijn. Template-bestanden kunnen per installatie wisselen, die kunnen dus niet altijd worden gehackt en dan is het effect minder groot. Ik neem aan dat die index-bestanden er standaard inzitten. Dat wijzigen gaat gewoon geautomatiseerd, er gaat een bot op zoek naar een bepaalde versie van het cms en maakt dan gebruik van het lek. Zie bijvoorbeeld: http://modxcms.com/forums/index.php?topic=31375 'When checking the source code, I noticed six iframes loading suspicious domains appearing after the /HTML tag.' Of misschien vind je hier ook wel wat: http://www.google.nl/search?q=modx+vulnerability+index
  • Gebruikte je een FTP programma, en was dit toevallig Filezilla? Zo ja, dan heb je waarschijnlijk ook je FTP wachtwoorden daarin opgeslagen. Daarbij komt dat Filezilla je wachtwoorden ongecodeert opslaat. Dus je eigen computer is besmet door het virus, wachtwoorden opgeslagen in fillezilla. Conlcusie: Ze weten je wachtwoord, omdat ze je fillezilla "gehacked" hebbenl. Oplossing: Alle wachtwoorden veranderen. Fillezilla niks meer op laten slaan. Alle files editten. En Clean is Kees.
  • Mij klinkt het niet vreemd in de oren. Als je namelijk bij Lycos een website neerzet voegt Lycos daar zelf ook code aan toe. Ik zou dus maar eens met je hoster gaan praten of je contract nog eens goed nalezen of daar niet toevallig iets staat over "gratis webhosting, maar wij voegen reclame toe" :wink:
  • Ik gok alleen niet dat D'acide zulk soort hosting gebruikt. ;)
  • beste heren, kleine update.. Problemen zijn momenteel _opgelost_ mijn eigen pc bevatte dus toch bepaalde virussen/trojans... deze hebben zo goed als zeker mijn cuteftp gehackt of iets dergelijks. Zodoende heeft het virus connectie kunnen maken met mijn websites. Na een hoop gedoe toch besloten om helemaal op safe te gaan. Dus format van mijn harde schijf. Na herinstallatie direct Avira, CCcleaner, hijack this, spybot, windos defender etc erop gezet.. Daarna zaken als windows updates, service pack 3.. en vervolgens weer office/adobe programmatuur. de ftp wachtwoorden heb ik veranderd van alle websites.. blegh wat een gedoe allemaal. Klote virussen ook.
  • Ik vermoed eerder dat het op jouw pc al enige toevoegingen aan je websites heeft gedaan. FTP hacken en dan het juiste bestand besmetten, ik weet het niet, ik vind het zeer onwaarschijnlijk.
  • Nou ik heb gezien (in de log bestanden vd server) dat iets/iemand in de nachtelijke uren bepaalde updates gedaan heeft... op dat moment stond mijn kantoor pc gewoon uit.
  • Ik weet dat het een open deur is, maar misschien moet je toch eens overwegen om standaard in te loggen op een beperkt Windows-account ipv een account met beheerdersrechten. Dat is zo'n simpele stap terwijl het zo veel voordelen heeft dat ik niet begrijp dat mensen in produktie-omgevingen (thuis) dat niet allang doen. Een simpele thuis-pc is nog net even iets anders, maar zodra je daar zaken op gaat doen moet je gewoon de beveiliging véél beter regelen. Het is even omschakelen en wennen, maar op de lange duur pluk je zeker de vruchten van een veel betere beveiliging. - Bas
  • Daar heb ik serieus nog nooit (ook maar een seconde) over nagedacht. Dus ik moet gewoon een nieuwe gebruiker aanmaken met beperkte rechten... en van daaruit dus gewoon mijn dagelijkse (web/multimedia) werkzaamheden gaan uitvoeren? m.a.w. mocht er kwaadwillende software op mijn pc terecht komen.. dan kan deze software veel minder schade uitvoeren dan als ie in een full-admin account zit? Of hoe moet ik het zien?
  • Je zegt net dat iemand rechtstreeks op je server komt, dan maakt het toch niet uit hoe goed jou eigen pc beschermd is ? Of het moet zijn dat ze je wachtwoorden weten omdat jouw pc besmet is, dan zou het kunnen ja.
  • Zoals ik al eerder schreef was idd mijn pc besmet. Zodoende heeft het virus de ftp wachtwoorden kunnen achterhalen. Aangezien de aanpassingen op de website snachts gebeurt zijn vermoed ik dat het virus via een backdoor de login gegevens heeft doorgepassed naar een andere computer en DIE computer heeft vervolgens ingelogged.
  • O ja, sorry. :oops: :oops:
  • [quote:8634aa4c2e="D'acide"] Dus ik moet gewoon een nieuwe gebruiker aanmaken met beperkte rechten... en van daaruit dus gewoon mijn dagelijkse (web/multimedia) werkzaamheden gaan uitvoeren? m.a.w. mocht er kwaadwillende software op mijn pc terecht komen.. dan kan deze software veel minder schade uitvoeren dan als ie in een full-admin account zit? Of hoe moet ik het zien?[/quote:8634aa4c2e]Zo zie je het goed. ;) Het idee is dat Windows oa via het bestandsysteem (NTFS) rechten toekent aan gebruikers. Aangezien virussen altijd draaien met de rechten van de gebruiker die ze (al dan niet per ongeluk) opent, zal het virus grote moeite hebben om zich in het systeem te nestelen aangezien alle belangrijke bestanden (register, systeem-dll's, etc) niet toegankelijk zijn. Overigens wel een kleine waarschuwing: continu werken in een beperkt gebruikersaccount vergt enige gewenning, aangezien je sommige zaken niet meer direct kunt doen zoals je nu gewend bent. Dat is gewoon een kleine omschakeling in hoe je werkt. Verder zijn er enkele programma's waarvoor je wat extra instellingen moet aanpassen om ze goed te laten werken, al vermoed ik dat alle grote (dure) programma's inmiddels vlekkeloos zullen werken. - Bas
  • Dank voor je uitleg Bas. Zeker de moeite waard om eens te gaan proberen. Is er trouwens een (makkelijke) manier om met behulp van HTACCESS alle index.html bestanden van een CMD systeem (MODx) te CHModden naar 444?

Beantwoord deze vraag

Weet jij het antwoord op deze vraag? Registreer of meld je aan met je account

Dit is een gearchiveerde pagina. Antwoorden is niet meer mogelijk.