We recently discovered that some of your pages can cause users to be
infected with malicious software. We have begun showing a warning page
to users who visit these pages by clicking a search result on Google.com.
Below is an example URL on your site which can cause users to be
infected (space inserted to prevent accidental clicking in case your
mail client auto-links URLs):

http://www.doing-graphics .nl/

Here is a link to a sample warning page:
http://www.google.com/interstitial?url=http%3A//www.doing-graphics.nl/

We strongly encourage you to investigate this immediately to protect
your visitors. Although some sites intentionally distribute malicious
software, in many cases the webmaster is unaware because:

1) the site was compromised
2) the site doesn't monitor for malicious user-contributed content
3) the site displays content from an ad network that has a malicious
advertiser

If your site was compromised, it's important to not only remove the
malicious (and usually hidden) content from your pages, but to also
identify and fix the vulnerability. We suggest contacting your hosting
provider if you are unsure of how to proceed. StopBadware also has a
resource page for securing compromised sites:
http://www.stopbadware.org/home/security

Once you've secured your site, you can request that the warning be
removed by visiting http://www.stopbadware.org/home/review and
requesting a review. StopBadware and Google will jointly investigate
and reply to you with our findings. If your site is no longer harmful
to users, we will remove the warning.

Sincerely,
Google Search Quality Team

Nu heb ik mijn site bekijken en de index.html pagina had een wijzigingsdatum die niet kan kloppen, want toen was ik met vakantie. Ik heb het volgende stuk (door een onbekende toegevoegde) code ontdekt:

[news]

[/news]

(bericht iets opgeschoond door Moderator om forum layout niet in de war te schoppen)

Mijn vraag is:

1. wat doet dit?
2. hoe kan dit? De site is gemaakt met RapidWeaver.
3. welke akties moet ik ondernemen?

Dit gaat echt mijn petje te boven. Hoe kan iemand nou in mijn index.html iets wijzigen?

Jullie hulp wordt bijzonder op prijs gesteld.

Het eerste gedeelte dat jij aanhaalt, is een code die er door RapidWeaver in is gezet. Dat zie je aan de variabelen die met rw_ beginnen. Dat staat voor RapidWeaver. Deze verbergt je emailadres voor spam-robots. Die zoeken het internet af naar email-adressen. Door deze methode te gebruiken, kunnen ze (hopelijk) je emailadres minder makkelijk op je site vinden en daardoor minder makkelijk misbruiken.

Het echte probleem ligt in de laatste regel van je html document. Dat is een IFRAME dat naar een of andere locatie verwijst en DAAR zit waarschijnlijk de bron van je problemen. Die site kan immers van alles bevatten (zoals virussen, spam enzo). Ik neem aan dat je die IFRAME daar niet zelf hebt neergezet. Dus zoek maar eens goed uit hoe dat er kan komen. En verander de wachtwoorden voor ftp en andere toegang tot je website.

PS: Je zegt 'wederom gekraakt'. Iemand had dus al een keer gekraakt? Welke maatregelen heb je toen genomen? Hebben er andere mensen dan jijzelf toegang tot je wachtwoorden voor het onderhoud van je site?

mvdg om 13:41, 25-10-2007
Volgens mij lopen er 2 dingen door elkaar.

Het eerste gedeelte dat jij aanhaalt, is een code die er door RapidWeaver in is gezet. Dat zie je aan de variabelen die met rw_ beginnen. Dat staat voor RapidWeaver. Deze verbergt je emailadres voor spam-robots. Die zoeken het internet af naar email-adressen. Door deze methode te gebruiken, kunnen ze (hopelijk) je emailadres minder makkelijk op je site vinden en daardoor minder makkelijk misbruiken.

- Nou dat werkt dus niet echt, mijn emailadres is nagenoeg onbruikbaar door de hoeveelheid SPAM.

Het echte probleem ligt in de laatste regel van je html document. Dat is een IFRAME dat naar een of andere locatie verwijst en DAAR zit waarschijnlijk de bron van je problemen. Die site kan immers van alles bevatten (zoals virussen, spam enzo). Ik neem aan dat je die IFRAME daar niet zelf hebt neergezet. Dus zoek maar eens goed uit hoe dat er kan komen. En verander de wachtwoorden voor ftp en andere toegang tot je website.

- Ga ik onmiddellijk doen.

PS: Je zegt 'wederom gekraakt'. Iemand had dus al een keer gekraakt? Welke maatregelen heb je toen genomen? Hebben er andere mensen dan jijzelf toegang tot je wachtwoorden voor het onderhoud van je site?

- Ja enige maanden geleden stond er opeens een Turkse pagina met filmpje op. Ik heb toen de site in zijn geheel verwijderd en er opnieuw opgezet. Ik had nog wel een testversie van Joomla er op staan. Wellicht zijn ze (althans volgens de provider) via deze weg er in gekomen. Er heeft verder niemand toegang tot de wachtwoorden voor mijn site.

Ik ga nu maar echt alles deleten en de site er vers opzetten plus de wachtwoorden veranderen.

Wachtwoorden veranderen is in ieder geval de veiligste actie nu.

Upload je files met FTP, dan stelt het geen drol voor om je passwords af te luisteren. Die worden volledig leesbaar over het Internet gestuurd.

En het is dus heel goed mogelijk dat je hosting provider achter loopt wat betreft het patchen van hun webserver software.

Maak sowieso van beide gevallen een melding bij je hosting provider. Zij horen hier van te weten omdat hun beveiliging mogelijk lek is. Mogelijk dat ze je ook kunnen vertellen wie het was en wanneer ze inbraken.

En is je site gebouwd op basis van een CMS pakket? Zo ja, installeer dan maar meteen de allernieuwste versie

Cailin Coilleach om 14:51, 25-10-2007
Hoe wordt je site gehost? En bij wie? En hoe doe jij het uploaden van je files?

De site wordt gehost bij Flex Webhosting, het uploaden gaat gewoon via RapidWeaver en dat is volgens mij inderdaad via FTP.

Upload je files met FTP, dan stelt het geen drol voor om je passwords af te luisteren. Die worden volledig leesbaar over het Internet gestuurd.

En het is dus heel goed mogelijk dat je hosting provider achter loopt wat betreft het patchen van hun webserver software.

Maak sowieso van beide gevallen een melding bij je hosting provider. Zij horen hier van te weten omdat hun beveiliging mogelijk lek is. Mogelijk dat ze je ook kunnen vertellen wie het was en wanneer ze inbraken.

Ik ga gelijk contact opnemen met mijn provider en ze de datum doorgeven.

En is je site gebouwd op basis van een CMS pakket? Zo ja, installeer dan maar meteen de allernieuwste versie

Nee, de site is gemaakt met RapidWeaver maar er stond wel een testversie van Joomla in een subdirectory

Eigenlijk is werken met FTP voor bedrijfskritische zaken eigenlijk niet meer van deze tijd.

inkiepinkie om 15:00, 25-10-2007
er stond wel een testversie van Joomla in een subdirectory[/b]

[news]Als dat een gecompromiteerde versie van Joomla is/was kan dat wel eens de poort geweest zijn, waar een hacker dankbaar gebruik van heeft gemaakt.[/news]

Groet,
Sander

Ik lees al jaren over de gevaren die je daarmee loopt.

PS: OdenDNS blokkeert die site:

Phishing Site Blocked
Phishing is a fraudulent attempt to get you to provide
personal information under false pretenses.

We prevented you from loading this page as part of our safer, faster, and smarter DNS service. Learn more about this free service...

(Bewerkt door Panico om 23:09, 25-10-2007)