Type in de terminal maar eens het volgende in:

curl http://floorste.nl/floor.jpg

Hiermee haal je het bestand op, en laat 'ie de output in de terminal zien.
In het geval van een jpg zou dit alleen maar onleesbare data op moeten leveren, maar je ziet dat er allemaal code uit komt.
Dit kun je overigens rustig doen in de terminal, het kan geen kwaad.

Hetzelfde overigens met de polderwiet site:
curl http://www.polderwiet.nl/introductie.html

En je ziet alle scripts en links die er niet thuishoren.

Als je het bestand floor.jpg via ftp download naar je eigen computer, en je opent die, is het dan een plaatje?

curl http://www.polderwiet.nl

in de terminal doe, een keer of 10, dan krijg ik soms de juiste code, en soms de besmette code.
Je zou bijna denken dat er een script op die server staat die random de besmette code aanbiedt..

Petje af voor jou.

Ik heb even wat andere sites gezocht die op dezelfde server draaien, en die hebben hetzelfde probleem.

Tenzij http://irisdrukwerk.nl/ en http://girlsfactory.nl sites van jou zijn..

Het is een slim virus, wat hij geeft dus soms wel, en soms niet de besmette code mee. En de bestanden van de websites zelf zijn ok, er word via apache foute code geïnjecteerd.

Dat gaat een leuke klus worden voor je hoster..

http://nl.geek-tools.org/ipuri/217.115.202.125

Niet helemaal actueel, maar er staan in die lijst een aantal sites met hetzelfde ip. Die heb ik getest, met hetzelfde resultaat: soms krijg je de normale file, soms de foute code.
Het kan niet anders dan dat dat dynamisch gebeurt. En aangezien het voor meerdere sites op die server is, is de server dus gehacked.

Nu kan die foute code op onze macjes geen kwaad, maar ik heb geen idee wat het doet op pc's. Gekke links en popups tonen is nog het minst schadelijk, maar voor hetzelfde geldt zit er een hele vervelende trojan in.

Ik zou wel de spoedlijn van je hoster bellen want hij moet hier snel actie op ondernemen.

Aan je klanten kun je melden dat de server gehacked is en dat je uitziet naar een andere hostingpartij.
En dat ze niet naar hun site moeten gaan.

Wat meld je je klant? Dat er op het moment een gevaar is in hun websites waar jij niets aan kan doen. Controleer of je van alle websites veilig backups hebt en geef het werk verder door aan je hoster. Zij moeten zsm met een oplossing komen.

(Bewerkt door Cailin Coilleach om 22:17, 27-10-2009)

(Bewerkt door Cailin Coilleach om 22:18, 27-10-2009)

En inderdaad hoster bellen en aandringen dat ze serieus gaan kijken, ze hebben een groot probleem daar!

(Bewerkt door applesien om 22:38, 27-10-2009)

Backspin om 22:06, 27-10-2009

...Het is een slim virus, wat hij geeft dus soms wel, en soms niet de besmette code mee. En de bestanden van de websites zelf zijn ok, er word via apache foute code geïnjecteerd.

Dat gaat een leuke klus worden voor je hoster..

Dit onderstaande kwam ik hier tegen:

The majority of the compromised websites are small mom and pop style websites in non-English speaking countries, but that's not important because the attackers have a clever trick for driving traffic directly to the malware hosted on those sites. An iframe pointing to the malicious script on the compromised site is forcibly injected on various forums. The injected forums we've seen thus far are using feed aggregators to push their forum posts out to subscribers, who are then exposed to the iframe.

Los van de onwaarschijnlijkheid van een Windows virus op je mac, zien we dit virus bij meerdere van zijn klanten.

Er is maar 1 partij die dit kan uitzoeken en dat is toch echt die hoster...

Deze hoster is aantoonbaar niet capabel en niet in staat serieus naar zijn klanten te luisteren.

De afgelopen 6 jaar was ik erg tevreden over de provider. Nu ben ik eer niet meer zo zeker van.

In dit geval doet je provider dat dus niet. Hij legt de schuld bij jou, en is niet in staat de problemen op zijn server te detecteren. Dat betekent dat hij niet capabel is, en dus niet kan garanderen dat dit probleem in de toekomst niet wederom optreedt.

Dus moet je daar weg. 'Morgen' is misschien wat overdreven, maar ik zou het zeker spoedig in gang zetten.
Bovendien zijn al je sites potentiele virusverspreiders zolang hij niets aan het probleem gedaan heeft.

wat hier gebeurd lijkt veel meer op wat hier beschreven wordt:

http://blog.unmaskparasites.com/2009/07/23/goscanpark-13-facts-about-malicious-server-wide-meta-redirects/

A local computer of some site owner got infected with malware.
The malware managed to steal FTP credentials of the site owner and uploaded a PHP backdoor script to some directory of that guy’s web site.
Later, hackers used that backdoor script to upload malicious payload that would exploit security holes in the underlying system (PHP, Apache, Linux).
As a result, a malicious process is started. This process can hijack Apache requests and return malicious content to web browsers instead of real web pages.

De header van de host zelf bevat:
HTTP/1.1 200 OK
Date: Tue, 27 Oct 2009 22:11:08 GMT
Server: Apache

de header van de geredirecte host die de malware links bevat:
HTTP/1.1 200 OK
Date: Tue, 27 Oct 2009 16:57:04 GMT
Server: Apache
X-Powered-By: PHP/5.2.6

Ik denk dat het een nachtje niet slapen wordt voor de beste man..

Tegenwoordig is het volgens mij meestal niet meer verstandig om bij een klein bedrijf (1 a 2 mensen) je hosting te doen. Juist op dit soort momenten merk je dat. Het internet is een gevaarlijke plek geworden, hackers weten echt elke bug te exploiten,  en daarom is hosting niet meer iets wat men er als hobby bij kan doen.

(Bewerkt door Backspin om 23:32, 27-10-2009)

Ook aardig, met google zoeken naar een stuk van dit script levert tientallen hits op van besmette sites:
http://www.google.nl/search?hl=nl&q=edf49a73f1671384311d493b6684bcc6+site%3A.nl&btnG=Suche&meta=&aq=f&oq=