När man går till Mustangklubbens hemsida så fastnar följande länkar i virusprogrammet (xxxx tillagt av mig för att ingen ska klicka sig in på länkarna). Det tyder på att det smugit sig in lite störande moment även på mustangklubbens hemsida. Värt att kolla upp.

http://xxxxpenalty-multisport.ca/images ... wstyle.php

JS:Downloader-FA [Trj] - Trojan Horse

http://xxxxanzantra.se/gastboken/b-one-default.php

JS:Downloader-FA [Trj] - Trojan Horse

När man går till Mustangklubbens hemsida så fastnar följande länkar i virusprogrammet (xxxx tillagt av mig för att ingen ska klicka sig in på länkarna). Det tyder på att det smugit sig in lite störande moment även på mustangklubbens hemsida. Värt att kolla upp.

http://xxxxpenalty-multisport.ca/images ... wstyle.php

JS:Downloader-FA [Trj] - Trojan Horse

http://xxxxanzantra.se/gastboken/b-one-default.php

JS:Downloader-FA [Trj] - Trojan Horse

Nopp då ligger trojanerna på de servrar som länkarna går till och inte på clubbens servrar. Det ända att göra är att ta bort länkarna. Tyvärr blir det vanligt med dessa virus oftast är de till för att dirigera om till vissa sajter som försöker få en att köpa massa skitprogram

Frågan kvarstår fortfarande varför och hur dessa länkar tagit sig in på startsidan. Det är ett lika allvarligt problem och säkerhetsbrist som om själva viruset legat på mustangklubbens servrar...

Kanske är det en av administratörerna till sidan som har en smittad burk. Vi hade en kund på mitt företag som hade ett virus som smittade via hans ftp-klient. När han kopplade upp sig via ftp till sin sajt gick viruset in och ändrade .htm-filer på ftp:n med skadliga länkar liknande dessa.

Det finns inget virus på servern jag har kollat upp det 10ggr minst nu och även bett webbhotellet kolla upp och dom säger samma sak.

Det verkar som om det är en länk via gästbok som ligger på på anzantra.se där man använder en gratis gästbok från http://www.olzzon.com vilket en del regioner här också gör.

Enklast är att döda länkarna ett tag och på så sätt se var felet ligger.

Ni som administrerar gästböcker via http://www.olzzon.com vänligen koppla ur dom ett tag.

Förutom detta hittade jag faktiskt ett script inskrivet på vår gamla index sida www.mustangclubsweden.com

Denna blev hackad för 2 veckor sedan och i denna sida låg nu igen ett script!

"http://xxxxpenalty-multisport.ca/images/default.msie.eswstyle.php"

Denna är nu raderad!

Frågan kvarstår fortfarande varför och hur dessa länkar tagit sig in på startsidan. Det är ett lika allvarligt problem och säkerhetsbrist som om själva viruset legat på mustangklubbens servrar...

Kanske är det en av administratörerna till sidan som har en smittad burk. Vi hade en kund på mitt företag som hade ett virus som smittade via hans ftp-klient. När han kopplade upp sig via ftp till sin sajt gick viruset in och ändrade .htm-filer på ftp:n med skadliga länkar liknande dessa.

Går man in och tittar på htmlkoden ser jag länkarna länkar som du beskriver. Däremot så syns de inte då jag öppnar sidan normalt var ligger dem någonstans?

</head>

<script></script><body>

<table>

<tr>

Någon som kan gå in och editera indexfilen kan väl gå in och radera scriptet

Bra Per precis då jag skulle visa så var du där och högg

tag i bekymmret

Nu var jag tvungen ta bort hel filen index.html på server www.mustangclubsweden.com

Viruset på denna server går direkt in i denna fil och skriver in ett script!!

Spelar ingen roll om jag raderar scriptet det är tillbaka igen efter några minuter.

Så just nu ni som har www.mustangclubsweden.com och .se inlagt i era webbläsare kommer inte fram till hemsidan

Endast www.mustangclubsweden.org fungerar

Måste styra om .com och .se till vår nya server .org.

Vart med om liknande.

Då va det så här.

Alla .asp / .htm / .html hade fått en iframe inlaggt på något underligt sätt.

Denna pekade till en sida som va spärrad i norton.

Tog jag bort den på en sida så lades det till igen.

Att denna iframe laddades märkte inte besökaren om de inte hade någon form utav skydd.

Jag fick ta ner sidan, gå igenom alla sidorna sen kunde jag lägga upp och då blev jag kvitt det.

Löste aldrig hur / varför detta kunde ske, men drygt va det iaf.

Nu var jag tvungen ta bort hel filen index.html på server www.mustangclubsweden.com

Viruset på denna server går direkt in i denna fil och skriver in ett script!!

Spelar ingen roll om jag raderar scriptet det är tillbaka igen efter några minuter.

Så just nu ni som har www.mustangclubsweden.com och .se inlagt i era webbläsare kommer inte fram till hemsidan

Endast www.mustangclubsweden.org fungerar

Måste styra om .com och .se till vår nya server .org.

Per, det är dags att radera allt på com-sidan. Ni får aldrig lugn och ro om ni låter ngt ligga kvar där.

Bra att ni tar tag i problemet, jag har hört om Linde's problem också med dold iframe. Kanske läge att strama åt vilka som har access till servern?

Försökte googla efter liknande rapporter/åtgärder, kanske kan vara något att kika på:

http://www.diovo.com/2009/03/hidden-iframe-injection-attacks/

http://www.x83.net/how-to-remove-malware-iframe-virus-from-your-site/

http://online-how-to.blogspot.com/2009/10/how-to-remove-iframe-virus.html

Nu var jag tvungen ta bort hel filen index.html på server www.mustangclubsweden.com

Viruset på denna server går direkt in i denna fil och skriver in ett script!!

Spelar ingen roll om jag raderar scriptet det är tillbaka igen efter några minuter.

Så just nu ni som har www.mustangclubsweden.com och .se inlagt i era webbläsare kommer inte fram till hemsidan

Endast www.mustangclubsweden.org fungerar

Måste styra om .com och .se till vår nya server .org.

Per, det är dags att radera allt på com-sidan. Ni får aldrig lugn och ro om ni låter ngt ligga kvar där.

Japp det ska bli.

Vill bara få bekräftat att alla laddat hem det dom behöver

Bra att ni tar tag i problemet, jag har hört om Linde's problem också med dold iframe. Kanske läge att strama åt vilka som har access till servern?

Om en hackare tar sig in så är det inget som kan förhindras med åtstramade accessrättigheter. Förutom om lösenord läcker ut förståss.

Det är sällan en dold iframe när detta händer i ett forum.

Då lägger de in den iframen via en kategori-benämning.

Vi hade detta problem under en lång tid i versionsregionerna phpBB 2.0.10 ungefär. Jag tror det var SQL-injection som användes. Hackaren behövde alltså inte ens ha tillgång till servern eller databasen.

Det var inte på forumet, utan på mustangklubbens startsida som problemet fanns - www.mustangclubsweden.com

Det verkar vara rätt vanligt med virussmitta via FTP från klienter med dålig säkerhet (vilket det kanske inte var i detta fall, vad vet jag :-D), genom att strama åt vilka som har FTP-access till sajten så kanske man kan minska risken för liknande problem i framtiden.

Det var inte på forumet, utan på mustangklubbens startsida som problemet fanns - www.mustangclubsweden.com

Det verkar vara rätt vanligt med virussmitta via FTP från klienter med dålig säkerhet (vilket det kanske inte var i detta fall, vad vet jag :-D), genom att strama åt vilka som har FTP-access till sajten så kanske man kan minska risken för liknande problem i framtiden.

Tror knappast att det är någon som har access som lagt in virus

Hehe, jo Janne jag tror nog du verkar vara lite sugen på det...

Nej, såklart inte. De flesta virus sprids ju helt omedvetet. Du har en smittad burk - loggar in på FTP:n för att uppdatera lite på sidan och vips så har "du" också planterat ett virus...

Jag ska inte gräva mer i det här, ni gör ett bra jobb med hemsidan och det ska ni ha beröm för.