Jump to content

Virusvarningar - www.mustangclubsweden.org

JockeH

Av JockeH
in Övrigt

Recommended Posts

JockeH Nybörjare

JockeH

När man går till Mustangklubbens hemsida så fastnar följande länkar i virusprogrammet (xxxx tillagt av mig för att ingen ska klicka sig in på länkarna). Det tyder på att det smugit sig in lite störande moment även på mustangklubbens hemsida. Värt att kolla upp.

http://xxxxpenalty-multisport.ca/images ... wstyle.php

JS:Downloader-FA [Trj] - Trojan Horse

http://xxxxanzantra.se/gastboken/b-one-default.php

JS:Downloader-FA [Trj] - Trojan Horse

Janne Holm CMC1740 Nybörjare

Janne Holm CMC1740

När man går till Mustangklubbens hemsida så fastnar följande länkar i virusprogrammet (xxxx tillagt av mig för att ingen ska klicka sig in på länkarna). Det tyder på att det smugit sig in lite störande moment även på mustangklubbens hemsida. Värt att kolla upp.

http://xxxxpenalty-multisport.ca/images ... wstyle.php

JS:Downloader-FA [Trj] - Trojan Horse

http://xxxxanzantra.se/gastboken/b-one-default.php

JS:Downloader-FA [Trj] - Trojan Horse

Nopp då ligger trojanerna på de servrar som länkarna går till och inte på clubbens servrar. Det ända att göra är att ta bort länkarna. Tyvärr blir det vanligt med dessa virus oftast är de till för att dirigera om till vissa sajter som försöker få en att köpa massa skitprogram :evil:

JockeH Nybörjare

JockeH

  • Author

Frågan kvarstår fortfarande varför och hur dessa länkar tagit sig in på startsidan. Det är ett lika allvarligt problem och säkerhetsbrist som om själva viruset legat på mustangklubbens servrar...

Kanske är det en av administratörerna till sidan som har en smittad burk. Vi hade en kund på mitt företag som hade ett virus som smittade via hans ftp-klient. När han kopplade upp sig via ftp till sin sajt gick viruset in och ändrade .htm-filer på ftp:n med skadliga länkar liknande dessa.

Per Berglund Regelbunden Community Medlem

Per Berglund

Det finns inget virus på servern jag har kollat upp det 10ggr minst nu och även bett webbhotellet kolla upp och dom säger samma sak.

Det verkar som om det är en länk via gästbok som ligger på på anzantra.se där man använder en gratis gästbok från http://www.olzzon.com vilket en del regioner här också gör.

Enklast är att döda länkarna ett tag och på så sätt se var felet ligger.

Ni som administrerar gästböcker via http://www.olzzon.com vänligen koppla ur dom ett tag.

Förutom detta hittade jag faktiskt ett script inskrivet på vår gamla index sida www.mustangclubsweden.com

Denna blev hackad för 2 veckor sedan och i denna sida låg nu igen ett script!

"http://xxxxpenalty-multisport.ca/images/default.msie.eswstyle.php"

Denna är nu raderad!

Janne Holm CMC1740 Nybörjare

Janne Holm CMC1740

Frågan kvarstår fortfarande varför och hur dessa länkar tagit sig in på startsidan. Det är ett lika allvarligt problem och säkerhetsbrist som om själva viruset legat på mustangklubbens servrar...

Kanske är det en av administratörerna till sidan som har en smittad burk. Vi hade en kund på mitt företag som hade ett virus som smittade via hans ftp-klient. När han kopplade upp sig via ftp till sin sajt gick viruset in och ändrade .htm-filer på ftp:n med skadliga länkar liknande dessa.

Går man in och tittar på htmlkoden ser jag länkarna länkar som du beskriver. Däremot så syns de inte då jag öppnar sidan normalt var ligger dem någonstans?

</head>

<script></script><body>

<table>

<tr>

Någon som kan gå in och editera indexfilen kan väl gå in och radera scriptet

Per Berglund Regelbunden Community Medlem

Per Berglund

Nu var jag tvungen ta bort hel filen index.html på server www.mustangclubsweden.com

Viruset på denna server går direkt in i denna fil och skriver in ett script!!

Spelar ingen roll om jag raderar scriptet det är tillbaka igen efter några minuter.

Så just nu ni som har www.mustangclubsweden.com och .se inlagt i era webbläsare kommer inte fram till hemsidan

Endast www.mustangclubsweden.org fungerar

Måste styra om .com och .se till vår nya server .org.

Daniel Linde Nybörjare

Daniel Linde

Vart med om liknande.

Då va det så här.

Alla .asp / .htm / .html hade fått en iframe inlaggt på något underligt sätt.

Denna pekade till en sida som va spärrad i norton.

Tog jag bort den på en sida så lades det till igen.

Att denna iframe laddades märkte inte besökaren om de inte hade någon form utav skydd.

Jag fick ta ner sidan, gå igenom alla sidorna sen kunde jag lägga upp och då blev jag kvitt det.

Löste aldrig hur / varför detta kunde ske, men drygt va det iaf.

Holger Nybörjare

Holger

Nu var jag tvungen ta bort hel filen index.html på server www.mustangclubsweden.com

Viruset på denna server går direkt in i denna fil och skriver in ett script!!

Spelar ingen roll om jag raderar scriptet det är tillbaka igen efter några minuter.

Så just nu ni som har www.mustangclubsweden.com och .se inlagt i era webbläsare kommer inte fram till hemsidan

Endast www.mustangclubsweden.org fungerar

Måste styra om .com och .se till vår nya server .org.

Per, det är dags att radera allt på com-sidan. Ni får aldrig lugn och ro om ni låter ngt ligga kvar där.

JockeH Nybörjare

JockeH

  • Author

Bra att ni tar tag i problemet, jag har hört om Linde's problem också med dold iframe. Kanske läge att strama åt vilka som har access till servern?

Försökte googla efter liknande rapporter/åtgärder, kanske kan vara något att kika på:

http://www.diovo.com/2009/03/hidden-iframe-injection-attacks/

http://www.x83.net/how-to-remove-malware-iframe-virus-from-your-site/

http://online-how-to.blogspot.com/2009/10/how-to-remove-iframe-virus.html

Per Berglund Regelbunden Community Medlem

Per Berglund

Nu var jag tvungen ta bort hel filen index.html på server www.mustangclubsweden.com

Viruset på denna server går direkt in i denna fil och skriver in ett script!!

Spelar ingen roll om jag raderar scriptet det är tillbaka igen efter några minuter.

Så just nu ni som har www.mustangclubsweden.com och .se inlagt i era webbläsare kommer inte fram till hemsidan

Endast www.mustangclubsweden.org fungerar

Måste styra om .com och .se till vår nya server .org.

Per, det är dags att radera allt på com-sidan. Ni får aldrig lugn och ro om ni låter ngt ligga kvar där.

Japp det ska bli.

Vill bara få bekräftat att alla laddat hem det dom behöver

Holger Nybörjare

Holger

Bra att ni tar tag i problemet, jag har hört om Linde's problem också med dold iframe. Kanske läge att strama åt vilka som har access till servern?

Om en hackare tar sig in så är det inget som kan förhindras med åtstramade accessrättigheter. Förutom om lösenord läcker ut förståss.

Det är sällan en dold iframe när detta händer i ett forum.

Då lägger de in den iframen via en kategori-benämning.

Vi hade detta problem under en lång tid i versionsregionerna phpBB 2.0.10 ungefär. Jag tror det var SQL-injection som användes. Hackaren behövde alltså inte ens ha tillgång till servern eller databasen.

JockeH Nybörjare

JockeH

  • Author

Det var inte på forumet, utan på mustangklubbens startsida som problemet fanns - www.mustangclubsweden.com

Det verkar vara rätt vanligt med virussmitta via FTP från klienter med dålig säkerhet (vilket det kanske inte var i detta fall, vad vet jag :-D), genom att strama åt vilka som har FTP-access till sajten så kanske man kan minska risken för liknande problem i framtiden.

Janne Holm CMC1740 Nybörjare

Janne Holm CMC1740

Det var inte på forumet, utan på mustangklubbens startsida som problemet fanns - www.mustangclubsweden.com

Det verkar vara rätt vanligt med virussmitta via FTP från klienter med dålig säkerhet (vilket det kanske inte var i detta fall, vad vet jag :-D), genom att strama åt vilka som har FTP-access till sajten så kanske man kan minska risken för liknande problem i framtiden.

Tror knappast att det är någon som har access som lagt in virus ;);)

JockeH Nybörjare

JockeH

  • Author

Hehe, jo Janne jag tror nog du verkar vara lite sugen på det... ;)

Nej, såklart inte. De flesta virus sprids ju helt omedvetet. Du har en smittad burk - loggar in på FTP:n för att uppdatera lite på sidan och vips så har "du" också planterat ett virus...

Jag ska inte gräva mer i det här, ni gör ett bra jobb med hemsidan och det ska ni ha beröm för.

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.

Gäst
Svara i denna tråd...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
Gå till trådvisning


×
×
  • Create New...