Ik zou net even op onze bedrijfssite kijken en tot mijn verbazing kreeg ik de volgende melding:

Wanneer ik op de link in deze waarschuwing klik, krijg ik de volgende melding:

Iemand enig idee hoe dit kan?  

Onze site is overigens te vinden op www.dehaanvof.nl

(Bewerkt door Buibkier om 15:01, 31-12-2009)

gehacked,   Haal om te beginnen alles weg onder </html> en laat je server/account nakijken

Bedankt voor je snelle reactie!

Zal er gelijk ff naar kijken.

Heb de hele site ook gelijk maar ff naar mijn eigen HD gekopieerd en idd een mailtje gestuurd
naar het webhostingbedrijf.

Nogmaals dank voor je reactie!

Zo te zien is het opgelost, iedereen kan de muurtjes in het nieuwe jaar weer door De Haan laten Spachtelputzen.  

Kwam dit bericht ook tegen een paar dagen geleden bij een sitecheck van iemand..

Gebeurde niets toen ik op verder klikte.

Ben ook even gaan kijken.
www.dehaanvof.nl geeft hier een malware scherm.

Groeten,

Brian

DNA om 15:29, 31-12-2009
Gebeurde niets toen ik op verder klikte.

Niet zo gek, meeste malware is voor de collega's die nog windhoos gebruiken.

Ik heb de persoon waar de site van was toen ook op de hoogte gebracht hiervan..

En met resultaat!
Hij gebruikte de upload client FileZilla? (deze was besmet en had een deurtje open staan)

Probleem is nog steeds aanwezig.javascript:emoticon(':angry:')

Bedankt voor jullie reacties!

In de indexpagina was een raar stukje code gekomen die, volgens mij, het probleem veroorzaakte.
Het ging onderstaande code:

Ik heb verder dus het webhostingbedrijf op de hoogte gebracht, maar heb daar nog geen reactie van ontvangen.

Ik krijg ondertussen het malware scherm niet meer te zien? Anderen (Africatwin?) krijgen deze melding nog wel begrijp ik?

Overigens gebruik ik geen Filezilla, maar Transmit om te 'FTP'en'.

Zodra ik antwoord van de webhoster heb, zal ik dat hier uiteraard ook weer even melden.

PS.
Iedereen nog de beste wensen en een gezond 2010 toegewenst!

Op dit moment nog steeds niet in orde daar.

Hier geen probleem anders......

[news]Google denkt nog steeds dat er malafide verwijzingen naar worldmusicmagazine.ru plaatsvinden. Dat kan omdat de verwijzing reeds verdwenen is, maar Google dat (nog) niet weet. Ik denk echter dat de problemen inderdaad nog niet verdwenen zijn met het verwijderen van dat stuk code.

Wordt er op de site gebruik gemaakt van Google Analytics..? Ik zag n.l. in de broncode een Google Analytics javascriptje. Dit soort infecties vermommen zich graag als scriptjes met namen die vertrouwd overkomen. Als er geen gebruik gemaakt wordt van Google Analytics in de site is dat javascriptje dus verdacht...

[ Ger ][/news]

@Ger,

De site maakt inderdaad gebruik van Analytics, maar de code daarvan is:

De code die ik op de vorige pagina zag, heb ik zelf iig niet in de pagina gezet. Ook op andere
pagina's dan de hoofdpagina is die code niet te terug te vinden.

Verder vermoed ik inderdaad dat de oplossing niet zo simpel zal zijn, maar hoop ik dat,
voordat ik antwoord krijg van de webhoster, in ieder geval de site weer toegankelijk heb voor
Safari gebruikers. Dit soort meldingen geven nou niet echt een betrouwbaar gevoel om zaken
te doen...  

Ondertussen is het probleem opgelost.

Het bleek dat een vriend, waarmee ik de website samen gemaakt heb, de inloggegevens
van de ftp server in zijn ftp programma had opgeslagen. Waarschijnlijk heeft hij ergens een
trojan o.i.d. opgelopen. Dit heeft er voor gezorgd dat alle websites die hij in zijn FTP programma
had staan, geïnfecteerd raakten met dit script.

Ondertussen hebben we handmatig alle codes uit de website geschrapt en een nieuw wachtwoord
aangemaakt voor de FTP server. Het probleem lijkt daarmee opgelost te zijn.

Meer info over de trojan die dit veroorzaakte is te vinden op de site van Symantec.
http://www.symantec.com/connect/blogs/new-obfuscated-scripts-wild-lgpl

Nogmaals iedereen bedankt voor het meedenken!

Ik heb weer dat mooie rechthoek op mijn scherm gekregen nadat ik even je normale website zag javascript:emoticon(':angry:')

Mijn firewall geeft het volgende weer:
wants to connect to cbssports-com.shinobi.jp.gamer-com-tw.webnetenglish.ru on TCP port 8080.

De problemen zijn klaarblijkelijk niet opgelost.

Ook na een refresh van de pagina? Ik krijg hier nl. geen meldingen meer....

En ik zie ook niets raars meer in de code van de pagina staan..

(Bewerkt door Buibkier om 11:57, 13-01-2010)

Hier ook geen melding weer (eerder wel).

Ik heb het niet als ik javascript uit zet of als ik het in een ander account probeerjavascript:emoticon(':angry:')
Ik ga kijken waar dat bij mij verborgen zit.javascript:emoticon(':crazy:')

Als ik javascript aan zet dan krijg ik het gelijk als ik op een link in de site klik.javascript:emoticon(':confused:')

(Bewerkt door Africatwin om 12:12, 13-01-2010)

En alles een reset gegeven. Het is er dus nog niet uit.

(Bewerkt door Africatwin om 12:13, 13-01-2010)

Buibkier om 11:57, 13-01-2010
Ook na een refresh van de pagina? Ik krijg hier nl. geen meldingen meer....

Heeft niets met een eventuele refresh te maken.
Elke keer dat ik via Safari deze site benader geeft m'n firewall - telkens - de door mij geposte waarschuwing af.

Edit: indien ik - net als forumlid Africatwin - JavaScript uit zet, wordt geen waarschuwing gegeven.
Er wordt dus via JS verbinding naar buiten gemaakt.

(Bewerkt door Josh om 12:24, 13-01-2010)

Net even met little snitch de firewall aangepast en weer krijg ik de meldingen naar de ru site.

Die site - of de server - is zo gehacked als het maar kan. Daar moet je hoster mee aan de slag..

Ik krijg ook nog steeds de oude "mallware" melding.

Ik denk dat je beter naar een andere hosting kunt overstappen. Als je hosting-bedrijf dit nu nog niet in orde heeft zijn et wel amateurs.

Hostingbedrijf geeft eigenlijk domweg aan dat het aan de site ligt.

Ondertussen zijn wij aan het proberen alle javascript bestanden door te lopen op
eventuele verdachte codes en daar waar mogelijk backup bestanden aan het terug zetten.

Toch gek dat ik hier helemaal geen meldingen meer krijg. Dat maakt het minder eenvoudig
om fouten op te sporen.

Als iemand nog andere tips heeft houd ik mij natuurlijk van harte aanbevolen!