Aan een html-site die ik een paar jaar geleden maakte, schijnt een virus te zijn gekoppeld. Ik heb alle html-pagina's onderzocht maar kan niets vinden. De eigenaar van de site kreeg deze mail:

Graag wil ik je op de hoogte stellen van het feit dat er aan jouw link polderwiet.nl een soort virus hangt, dat zich vermomd als een firewall op de PC nestelt.
Ik klikte vanochtend op de link voor meer info en kreeg een ongewenste pop-up die ik niet meer verwijderd kreeg. Inmiddels is door onze ICT mensen het virus weer verwijderd.

bestaat er zoiets als virusscanners voor websites? Hoe werkt dat dan? En wie heeft een idee wat ik er aan kan doen?

applesien,

Het is niet helemaal onmogelijk maar wel nogal onwaarschijnlijk dat deze site gehackt is om er een stukje JavaScript aan toe te voegen. Weet je zeker dat de e-mail zelf geen spam was? Kent de eigenaar van de website de zender van de e-mail persoonlijk?

Ik heb de website bekeken (op mijn Mac natuurlijk) en het lijkt me een keurige website. Ik heb niets vreems gemerkt. Jij wel?

Groet,

Mark

Vreemd hoor, ik zie helemaal nergens een link "Meer Info" op die site.

De enige link die bij mij niet werkt is:

http://polderwiet.nl/images/ESSENSIE26-03-2007.pdf

Edit:
Puur theoretisch zou iemand er een ander bestand aan kunnen hebben gekoppeld,
er is af en toe een update van Acrobat Reader om PDF-virusgevaar te voorkomen...

(Bewerkt door Panico om 10:43, 26-10-2009)

Nee op de mac ook niets gemerkt. De afzender is wel bekend, maar ik vind het ook een vreemd verhaal.

Die ESSENSIE26-03 etc. komt bij mij wel gewoon op. Kan dat aan de browser liggen dan? Of aan het besturingssysteem? En betekent "puur theoretisch" dat dat eigenlijk nooit voorkomt?

Als er iets mis is met die pdf dan zou ik het toch ook in de code moeten zien?

[news]Ik kreeg via www.polderwiet.nl per toeval een lege pagina te zien in Safari. Als ik in de bron kijk, zie ik dit:

<script type="text/javascript" language="javascript"> var hfxc=new Date( ); hfxc.setTime(hfxc.getTime( )+12*60*60*1000); document.cookie="n_s\x65ss_\x69d=\x30e\x32f0e82e8ce19\x354f3cb\x338d7\x336\x38\x635\x3227"+"\x3b p\x61\164\x68=/; ex\x70ires\x3d"+hfxc.toGMTString( ); </script>
<script>document.write(String.fromCharCode(60,100,105,118,32,115,116,121,108,101,61,39,100,105,115,112,108,97,121,58,110,111,110,101,39,62))</script><h1><a href="http://digg.com/software/Download_Adobe_Photoshop_CS3_2">Download Adobe Photoshop CS3</a>&nbsp; </h1>54.228.181.105 <h1><a href="http://keygenguru.com/search/?search=magix">magix crack</a>&nbsp; </h1><a href="http://keygenguru.com/search/?search=spyware+doctor">spyware doctor serial key</a>&nbsp; <a href="http://keygenguru.com">serial keys</a>&nbsp; <h1><a href="http://keygenguru.com/search/?search=serial+and+key+code">serial and key code</a>&nbsp; </h1><a href="http://keygenguru.com/search/?search=halo">halo keygen</a>&nbsp; <h1><a href="http://keygenguru.com/search/?search=resident+evil+5">resident evil 5 keygen</a>&nbsp; </h1><h1><a href="http://keygenguru.com/search/?search=norton">norton serial</a>&nbsp; </h1><a href="http://keygenguru.com/search/?search=need+for+speed">need for speed serial</a>&nbsp; <a href="http://keygenguru.com/search/?search=windows">windows serial key</a>&nbsp; <a href="http://keygenguru.com/search/?search=adobe+photoshop">adobe photoshop keygen</a>&nbsp; <h1><a href="http://keygenguru.com">cofee cup ftp crack</a>&nbsp; </h1><a href="http://keygenguru.com/search/?search=adobe">adobe crack</a>&nbsp; <a href="http://keygenguru.com/search/?search=keygen">keygen</a>&nbsp; <a href="http://keygenguru.com/search/?search=nextftp">nextftp keygen</a>&nbsp; <a href="http://keygenguru.com">serial keys crack</a>&nbsp; <h1><a href="http://keygenguru.com">cuteftp 8 crack</a>&nbsp; </h1><a href="http://keygenguru.com">cofee cup ftp serial key</a>&nbsp; <h1><a href="http://keygenguru.com/search/?search=avs">avs keygen</a>&nbsp; </h1><a href="http://keygenguru.com/search/?search=warezftp">warezftp serial key</a>&nbsp; <h1><a href="http://keygenguru.com/search/?search=photoshop+cs3">photoshop cs3 keygen</a>&nbsp; </h1><a href="http://keygenguru.com/search/?search=cutetftp">cutetftp serial key</a>&nbsp; <h1><a href="http://keygenguru.com/search/?search=corel">corel serial key</a>&nbsp; </h1><h1><a href="http://keygenguru.com/search/?search=flash+fxp">flash fxp keygen</a>&nbsp; </h1><h1><a href="http://keygenguru.com/search/?search=pdf">pdf crack</a>&nbsp; </h1><a href="http://keygenguru.com/search/?search=total+video+converter">total video converter serial</a>&nbsp; <h1><a href="http://keygenguru.com/search/?search=frozen+throne">frozen throne serial</a>&nbsp; </h1><a href="http://keygenguru.com/search/?search=google+earth+pro">google earth pro keygen</a>&nbsp; 226.96.225.167 <h1><a href="http://fulldvd.org/heading/movies/genres/musical/">Download Musical movies</a>&nbsp; </h1><h1><a href="http://fulldvd.org/">Download movies</a>&nbsp; </h1><h1><a href="http://fulldvd.org/movies/countries/usa/bruno/">download Bruno movie</a>&nbsp; </h1><a href="http://fulldvd.org/">hd dvd dvds</a>&nbsp; <h1><a href="http://fulldvd.org/">download movie on-line</a>&nbsp; </h1><a href="http://fulldvd.org/">downloadable movies</a>&nbsp; <a href="http://fulldvd.org/">download movies</a>&nbsp; <h1><a href="http://fulldvd.org/">online dvd movies downloads</a>&nbsp; </h1><a href="http://fulldvd.org/">movie download</a>&nbsp; <a href="http://fulldvd.org/">bootleg hd movies</a>&nbsp; <a href="http://fulldvd.org/">free downloads for psp</a>&nbsp; <h1><a href="http://fulldvd.org/">divx movies</a>&nbsp; </h1><a href="http://fulldvd.org/">download bootleg movies</a>&nbsp; <h1><a href="http://fulldvd.org/heading/movies/genres/adventure/">Download Adventure movies</a>&nbsp; </h1><h1><a href="http://fulldvd.org/">new release movies</a>&nbsp; </h1><a href="http://fulldvd.org/movies/countries/usa/star-trek/">download Star Trek movie</a>&nbsp; <h1><a href="http://fulldvd.org/">download divx and ipod movies</a>&nbsp; </h1>152.46.171.36

Er staat dus overduidelijk ergens een stukje malafide code te draaien, op de één of andere manier...

[ Ger ][/news]

[news]Ik heb het proberen te reproduceren, en dat lukte in eerste instantie niet: de site werd na het allereerste bezoek (met de 'witte' pagina inclusief het malafide Javascriptje) keurig geladen en er was verder niks vreemds te zien.

Pas nadat ik de cookies van de site had gewist en de site opnieuw ('vers') bezocht, dook de 'witte' pagina met het malafide javascriptje weer op. Wellicht kun je het zelf ook reproduceren door eerst de cookies die met 'polderwiet.nl' verband houden te wissen, en daarna de site opnieuw te bezoeken.

[ Ger ][/news]

Ik had ook die witte pagina (zie post) maar nu zonder cookies krijg ik hem niet meer (Camino),
was helaas vergeten de code te checken, maar dat hoeft niet meer

Succes ermee

Ja! ik heb 'm ook één keer voorbij zien komen. Maar niet te reproduceren. De vraag is nu: Hoe vind ik dat stuk   malafide code? Moet ik alle html's doorspitten? En weten jullie hoe die code daar komt? Wat kan ik doen om het te voorkomen?

[news]In wat voor software of CMS is de site gemaakt..?

[ Ger ][/news]

Geen CMS, gewoon een html-site Ik werk zelf met Dreamweaver, maar weet niet of die site daar in is gemaakt.

[news]Ik zou de 'index.html' eens even heel goed nakijken omdat het euvel zich uitsluitend bij een eerste bezoek openbaart. Waarschijnlijk is die (automatisch) gehacked en wordt daar nu onopvallend een Javascriptje in aangesproken bij een eerste sitebezoek. Ik ben geen codespecialist, wellicht dat iemand anders op basis van die code op de vorige pagina nog duidelijkere aanwijzingen kan geven.

[ Ger ][/news]

Die code van de index.html is zo schoon als een gewassen baby. Het enige wat ik niet kan plaatsen is een filelist.xml Daarin staat de volgende code:

xml xmlns:o="urn:schemas-microsoft-com:office:office"
o:MainFile HRef="../De%20Telegraaf-web.htm"
o:File HRef="image001.gif"
o:File HRef="image002.jpg"
o:File HRef="image003.jpg"
o:File HRef="filelist.xml"
xml

en dit alles tussen html haakjes, waardoor het onzichtbaar is

Kan dat iets zijn?

(Bewerkt door applesien om 12:10, 26-10-2009)

(Bewerkt door applesien om 12:12, 26-10-2009)

(Bewerkt door applesien om 12:12, 26-10-2009)

[news]Mmh... Dat verwijst naar het gebruik i.c.m. Mircrosoft Office applicaties. Voor zover ik na kan gaan is dat geen abnormale file.

Is er geen specialist online die 'ns even mee kan kijken..? Ik weet er wel iets van, maar het is absoluut niet mijn specialiteit.

[ Ger ][/news]

Kun je niet gewoon je site opnieuw uploaden en vragen of die persoon je site nog eens wil bezoeken?

Op jouw systeem zou het nog niet gehackt mogen zijn en opnieuw uploaden doet dat dan ook ongedaan maken. Daarna het lek eventueel wel proberen te dichten.

[news]Opnieuw uploaden vanaf een (schone) backup lost ongetwijfeld het probleem op, maar daarna kun je er niet meer achter komen in welke file het malafide Javascriptje verborgen zit. Dan wordt het dichten van het lek ook een stuk lastiger, omdat je nog steeds niet weet wáár het lek precies zit...

Toch..?

[ Ger ][/news]

Tja dat moet misschien maar. Ik wil ook graag weten waar het probleem zit. En hoe ik dit soort ellende kan voorkomen.

Misschien heb ik iets gevonden:
Er stond een vage favicon.ico die een dag of 6 geleden op de server is geplaatst. Deze was niet zichtbar in de statusbalk en verving de oorspronkelijke favicon.ico

Weet iemand van het bestaan van favicon.ico virussen?

Ik ben zeker geen expert maar kan je de site niet met FTP-downloaden en dan met een virusscanner te boel checken.

Favicon doet niets, wordt alleen aangeroepen door html of CSS. Het zal dus ergens in je HTML zitten. Probeer om het met BB Edit door te nemen en op zoek te gaan naar de malafide code.

Kan je daar wel bij helpen als je dat wilt?

Willem

Mmmh,
Het is wel heel erg vreemd dat op alle sites die op mijn server gehost worden die favicon.ico geplaatst is op 20 oktober rond 21.35
Dat gaat niet automatisch lijkt me en ik heb het zelf zeker niet gedaan. Weet je 100% zeker dat die favicon het niet kan zijn?

Het kan ook dat de server waar je site draait gehacked is, en dat alle sites die daar op draaien besmet zijn nu.
Even contact opnemen met je hoster, wellicht. Of is het je eigen server?

Ik heb al contact met de hoster. Hij ziet geen inbraak op de site. Die favicon is het overigens inderdaad niet: De host heeft de server overgeplaatst en daarbij heeft plesk een eigen favicon op alle sites gezet
Blijft dat   virus dus nog steeds actief.

Niet als je je huidige site er af trekt en op je eigen systeem zet om daar uit te gaan pluizen wat er is en ondertussen een oude, niet gecompromitteerde site terugplaatst. Wellicht even opnieuw publiceren vanuit Dreamweaver of waar je het dan ook in maakt.

Op die manier breng je je bezoekers niet meer in gevaar en heb je rustig de tijd het e.e.a. uit te vogelen.

Heb je telnet of ssh toegang naar de documentroot van je site? Als dat zo is, dan kan je heel simpel checken of een bepaald stukje tekst in een bestand staat, en helemaal makkelijk als alle html files in 1 directory staan. En wel met het volgende commandotje:

"grep keygenguru *"

Ook een goed idee is om te kijken of 'de wereld' slechts leesrechten heeft. "ls -la" laat bijvoorbeeld het volgende zien:

-rwxrwxr-x   1 web  web    218 Feb 10  2009 index.html
drwxr-xr-x  34 web     web   1156 Feb 20  2009 images

Heel belangrijk is dat in het 'rwx' gedeelte de laatste combi van 3 letters geen w voorkomt.

Als er iets op je site geplaatst is, en je gebruikt alleen platte HTML, is dat of via een kwetsbaarheid in de server software, of door het raden van je FTP gegevens gebeurd.
Dit laatste is tegenwoordig een vrij populaire hobby van criminelen. Het is dus in ieder geval slim je FTP wachtwoorden even aan te passen voordat je verder gaat.

de tip om te zoeken naar bepaalde strings is leuk, maar je weet natuurlijk niet zeker of die tekst echt terug gaat komen. Voor het zelfde geld staat er alleen iets als "include"  of "iframe" ...