Ik heb een kleine twintig iWeb sites gemaakt, gepubliceerd via ftp en zeer regelmatig verzorg ik updates voor al deze sites. Nu doet zich het vreemde probleem voor dat er 1 site is waarvan de bezoekers meer en meer klagen over het feit dat er bij het bezoeken van deze site (www.pm-dance.nl) meldingen verschijnen op niet-Apple apparaten van spyware en/of virussen.

Ten minste eenmaal per week vervang ik alle site-elementen via ftp bij de host.

Kent iemand dit fenomeen?
Wat kan ik doen om spyware en virusmeldingen te voorkomen?
Kan er een relatie bestaan tussen deze meldingen en het feit dat er een pagina Gastenboek in de site is opgenomen?

Ben zeer benieuwd naar jullie reacties!
Alvast bedankt.

Had je dit al gezien?
http://www.google.com/interstitial?url=http://www.pm-dance.nl/

Nee. Niet eerder gezien.
Wat betekent het en wat kan ik doen om (deze) problemen te voorkomen?

Je zult op zoek moeten naar die links. Gebruik die Google Webmaster Tools.

FTP is heel makkelijk, leuk en aardig, maar het stuurt info niet versleuteld over het internet. Dus ook je inloggegevens. Ik vermoed dat iemand je login te pakken heeft gekregen, en iets op je site heeft gezet.

Pak eens een gewone FTP client (CyberDuck, Transmit, ...), log eens in op je site (FTP server van je hosting provider), en kijk wat er allemaal staat. Komt dat overeen met wat er had moeten staan?

Firefox geeft hem idd als gevaarlijk aan.

Als ik door klik zie ik niet iets raars. Wel dat het op Firefox 3.6 op Win XP er niet uit ziet. Blijkbaar wordt nog wat geblokkeerd wat layout betreft.

Ik denk dat die niet zo bedoel is: foto

In IE8 ziet die er goed uit.

Trouwens waar klikken ze op als ze die melding krijgen? Want ik zit nu wat rond te klikken op die site en ik krijg nergens een melding.

(Bewerkt door Roman78 om 15:39, 10-05-2011)

Misschien heb je iets aan deze achtergrond informatie:
http://safebrowsing.clients.google.com/safebrowsing/diagnostic?site=http%3A%2F%2Fwww.pm-dance.nl%2F&client=googlechrome&hl=en-US

Meestal ligt dit niet aan jouw Mac of je iWeb site, maar aan een derde partij die achteraf deze code "injecteerd" in je paginas.
Dit kan inderdaad komen doordat je FTP login gegevens gelekt zijn, verander het wachtwoord dus voor de zekerheid.
Het kan echter ook komen doordat er een beveiligingsprobleem zit bij de hoster - informeer deze dus ook over je probleem!

Een vergelijkbaar probleem is hier al eerder langsgekomen en vrij uitgebreid behandelt:
http://www.macfreak.nl/forums/topic/8/3219/virus-op-site/0/

(Bewerkt door Thomas om 16:07, 10-05-2011)

Ik ben dergelijke problemen ook al enkele keren tegengekomen, zonder dat ik met iWeb werk. Het probleem zal inderdaad zijn dat onverlaten je ftp-inloggegevens hebben bemachtigd, en "toevoegingen" hebben gedaan op je site. Dat is waarschijnlijk niet direct zichtbaar, je zult echt in de code moeten duiken om uit te vinden waar de problemen zitten. En als je dat zelf niet kunt zul je snel hulp moeten zien te vinden.

Het eerste waar je eens naar zou moeten kijken (nadat je een nieuw, liefst lang en moeilijk te raden wachtwoord hebt ingesteld!), is of er .htaccess-bestanden zijn geplaatst of gewijzigd. De bestandsnaam begint zoals je ziet met een punt, daarom zijn die bestanden normaliter onzichtbaar. In het bekende FTP-programma Transmit bijvoorbeeld, zul je "Show Invisible Files" aangevinkt moeten hebben om ze te kunnen zien. Op zich zijn dergelijke .htaccess-bestanden niet per definitie verdacht, maar er kan mee gerommeld zijn. Je kunt ze eventueel vinden op het rootniveau van je site, en in elke subdirectory van je site.

Ook kunnen er her en er in de site kleine stukjes javascript zijn toegevoegd, in de html-bestanden of in de scripts. Vaak zijn die dan 'obfuscated', gecodeerd zodat ze niet direct herkenbaar/begrijpbaar zijn voor mensen. Op het internet kun je wel websites vinden die 'obfuscated' code kunnen vertalen naar gewoon javascript.

Bij zowel die htaccess-bestanden als besmette javascripts is er dan vaak sprake van verwijzingen naar andere sites met malware. Bezoekers van jouw site merken er dan niks van dat er code van een andere site gedraaid wordt.

Via Google kun je ook nadere instructies vinden om de zaak op te lossen, en de site weer goed bereikbaar te maken: http://www.google.com/support/webmasters/bin/answer.py?answer=163633

Kun je ook via bijv. cyberduck alle bestanden verwijderen en dan via iWeb opnieuw uploaden? en wachtwoord wijzigen. Ben je dan niet van het probleem af?

Dit is inderdaad een veel gehoord probleem. 99% zeker zijn je ftp gegevens gelekt/onderschept. Hierdoor heeft de aanvaller de mogelijkheid de source van de web-site te veranderen.

Verwijder de site, pas het wachtwoord aan en upload hem opnieuw.

Probleem is dan alleen nog dat de site op een black list staat. En daar moet die ook nog vanaf.

Klopt. Verwijderen. Opnieuw uploaden. Wachtwoord aanpassen.
Maar de blacklist blijft bestaan en dús krijgen bezoekers een waarschuwing of zelfs helemaal geen verbinding. Gaat men verder zoeken dan kán men via de blacklist de mededeling krijgen dat de site 'ooit' was besmet... Maar een verbinding is niet tot stand te brengen.

Hoe verder?

Site opheffen. Nieuwe url aanvragen. Nieuwe site maken? En alle bestaande relaties dan?