Onderwerp: Trojan in website?

Hallo,

Ik kreeg van een klant de melding dat een virusscanner (Avast) op hun
website een trojan had gevonden (JS:ScriptIP.inf).

Op de bewuste pagina stond een link naar webstat.nl en ook een
onzichtbare link naar een casino. Gaat dit nu echt om een trojan of is
dit een false positive? (zie onder)

Met vriendelijke groet,
Paul van der Vlis

------
<script language="JavaScript">
<!--
// Hit counter code for Webstat.net
var data = '&r=' + escape(document.referrer)
+ '&n=' + escape(navigator.userAgent)
+ '&p=' + escape(navigator.userAgent)
+ '&g=' + escape(document.location.href);
if (navigator.userAgent.substring(0,1)>'3')
data = data + '&sd=' + screen.colorDepth + '&sw=' +
escape(screen.width+'x'+screen.height);
document.write('<img alt="Website Counter" width="0" height="0"
border="0" hspace="0" '+'vspace="0"
src="http://www.webstat.net/basic/counter.php?i=70739' + data + '">');
// -->
</script>
<a href="http://www.webstat.net/" target="_blank"><img alt="Website
Counter" src="70739.png" border="0" hspace="0" vspace="0"></a>
<noscript><br/><a href="http://www.webstat.net">Free
Counter</a><br>The
following text will not be seen after you upload your website, please
keep it in order to retain your counter functionality <br> <a
href="http://www.acsr.com" target="_blank">online casino</a>
</noscript>
-------



--
http://www.vandervlis.nl/

In article <49be6a09$0$188$e4fe514c@news.xs4all.nl>,
Paul van der Vlis <paul@vandervlis.nl> writes:
>
> Ik kreeg van een klant de melding dat een virusscanner (Avast) op hun
> website een trojan had gevonden (JS:ScriptIP.inf).

Nu maar hopen dat de rest van de bezoekers ook een melding krijgt.

> Op de bewuste pagina stond een link naar webstat.nl en ook een
> onzichtbare link naar een casino. Gaat dit nu echt om een trojan of is
> dit een false positive? (zie onder)

Niks geen false positive, je bent zwaar de klos.

(Ik snap trouwens niet waarom jouw klant webstat.nl nodig heeft.
Heb je geen log-files waar meer in staat?)
(maar dat is een ander onderwerp)

> following text will not be seen after you upload your website, please
> keep it in order to retain your counter functionality <br> <a
> href="http://www.acsr.com" target="_blank">online casino</a>

Welke files zijn nog meer aangetast?

"Paul van der Vlis" <paul@vandervlis.nl> schreef in bericht
news:49be6a09$0$188$e4fe514c@news.xs4all.nl...
> Hallo,
>
> Ik kreeg van een klant de melding dat een virusscanner (Avast) op hun
> website een trojan had gevonden (JS:ScriptIP.inf).
>
> Op de bewuste pagina stond een link naar webstat.nl en ook een
> onzichtbare link naar een casino. Gaat dit nu echt om een trojan of is
> dit een false positive? (zie onder)
>
> Counter" src="70739.png"

9 van de 10 virusscanners welke niet goed ingesteld staan slaan hierop (png)
aan.

--
CU, Rob / gompy.net

www.modelbouw.gompy.net
Skype: gompy-akm2

Operator schreef:
> In article <49be6a09$0$188$e4fe514c@news.xs4all.nl>,
> Paul van der Vlis <paul@vandervlis.nl> writes:
>> Ik kreeg van een klant de melding dat een virusscanner (Avast) op hun
>> website een trojan had gevonden (JS:ScriptIP.inf).
>
> Nu maar hopen dat de rest van de bezoekers ook een melding krijgt.

Of een goed gepatcht OS gebruiken ;-)

Ik heb al 10 jaar geen anti virusprogramma nodig hier onder Linux, en
dezelfde verhalen hoor ik over Mac.

>> Op de bewuste pagina stond een link naar webstat.nl en ook een
>> onzichtbare link naar een casino. Gaat dit nu echt om een trojan of is
>> dit een false positive? (zie onder)
>
> Niks geen false positive, je bent zwaar de klos.

Interessant, kun je dat nog verder toelichten? Ik zie alleen een
onzichtbare link die ervoor zorgt dat dat casino hoger in Google komt,
of vergis ik me? Ik kan me voorstellen dat Netstat geld moet verdienen.

> (Ik snap trouwens niet waarom jouw klant webstat.nl nodig heeft.
> Heb je geen log-files waar meer in staat?)
> (maar dat is een ander onderwerp)

Ik heb uitgebreide statistieken (awstats).

Alleen wist de nieuwe webmaster van die site dat niet, denk ik.

Ik ga eens uitzoeken hoe dit in die pagina is terechtgekomen.

>> following text will not be seen after you upload your website, please
>> keep it in order to retain your counter functionality <br> <a
>> href="http://www.acsr.com" target="_blank">online casino</a>
>
> Welke files zijn nog meer aangetast?

Ik zal er op zoeken.

Met vriendelijke groet,
Paul van der Vlis.




--
http://www.vandervlis.nl/

Rob / gompy.net schreef:
> "Paul van der Vlis" <paul@vandervlis.nl> schreef in bericht
> news:49be6a09$0$188$e4fe514c@news.xs4all.nl...
>> Hallo,
>>
>> Ik kreeg van een klant de melding dat een virusscanner (Avast) op hun
>> website een trojan had gevonden (JS:ScriptIP.inf).
>>
>> Op de bewuste pagina stond een link naar webstat.nl en ook een
>> onzichtbare link naar een casino. Gaat dit nu echt om een trojan of is
>> dit een false positive? (zie onder)
>>
>> Counter" src="70739.png"
>
> 9 van de 10 virusscanners welke niet goed ingesteld staan slaan hierop (png)
> aan.

Je bedoeld dat dit een false-positive is?

Ik zie alleen een link naar een extern plaatje. Kun je je mening toelichten?

Met vriendelijke groet,
Paul van der Vlis.




--
http://www.vandervlis.nl/

On Mar 19, 11:14*am, Paul van der Vlis <p...@vandervlis.nl> wrote:
> Rob / gompy.net schreef:
>
> > "Paul van der Vlis" <p...@vandervlis.nl> schreef in bericht
> >news:49be6a09$0$188$e4fe514c@news.xs4all.nl...
> >> Hallo,
>
> >> Ik kreeg van een klant de melding dat een virusscanner (Avast) op hun
> >> website een trojan had gevonden (JS:ScriptIP.inf).
>
> >> Op de bewuste pagina stond een link naar webstat.nl en ook een
> >> onzichtbare link naar een casino. Gaat dit nu echt om een trojan of is
> >> dit een false positive? *(zie onder)
>
> >> Counter" src="70739.png"
>
> > 9 van de 10 virusscanners welke niet goed ingesteld staan slaan hierop (png)
> > aan.
>
> Je bedoeld dat dit een false-positive is?
>
> Ik zie alleen een link naar een extern plaatje. Kun je je mening toelichten?
>
> Met vriendelijke groet,
> Paul van der Vlis.
>
> --http://www.vandervlis.nl/

Naast het wel of niet aanslaan van scanners op zo'n plaatje is er
hier denk ik een groter probleem. Je hebt het erover dat dit op een
website van een klant staat? In dat geval is de kans niet klein dat
een crackertje de site nog veel meer heeft weten toe te takelen of
dat er ergens een forum te ver open staat.

Ik zou, zoals elders al is aangeraden even kijken naar aangepaste
files en eens koekeloeren of er geen root kit draait. Logs apart
bewaren
en dan vervolgens de boel opnieuw optuigen zodra je weet waar de
machine lek is.

Als het om shared hosting gaat is het wellicht ook belangrijk om de
hoster even in te lichten.

Groet,

Hans

Hans W schreef:
> On Mar 19, 11:14 am, Paul van der Vlis <p...@vandervlis.nl> wrote:
>> Rob / gompy.net schreef:
>>
>>> "Paul van der Vlis" <p...@vandervlis.nl> schreef in bericht
>>> news:49be6a09$0$188$e4fe514c@news.xs4all.nl...
>>>> Hallo,
>>>> Ik kreeg van een klant de melding dat een virusscanner (Avast) op hun
>>>> website een trojan had gevonden (JS:ScriptIP.inf).
>>>> Op de bewuste pagina stond een link naar webstat.nl en ook een
>>>> onzichtbare link naar een casino. Gaat dit nu echt om een trojan of is
>>>> dit een false positive? (zie onder)
>>>> Counter" src="70739.png"
>>> 9 van de 10 virusscanners welke niet goed ingesteld staan slaan hierop (png)
>>> aan.
>> Je bedoeld dat dit een false-positive is?
>>
>> Ik zie alleen een link naar een extern plaatje. Kun je je mening toelichten?
>>
>> Met vriendelijke groet,
>> Paul van der Vlis.
>>
>> --http://www.vandervlis.nl/
>
> Naast het wel of niet aanslaan van scanners op zo'n plaatje is er
> hier denk ik een groter probleem. Je hebt het erover dat dit op een
> website van een klant staat? In dat geval is de kans niet klein dat
> een crackertje de site nog veel meer heeft weten toe te takelen of
> dat er ergens een forum te ver open staat.

Ik denk dat de code er door de onervaren webmaster is opgezet, die wat
gecopy-pasted heeft van internet.

> Ik zou, zoals elders al is aangeraden even kijken naar aangepaste
> files

Het blijkt er al heel lang op te staan. Het staat al in backups van
maanden geleden. Ik heb het verwijderd, maar heb ik de indruk dat het
ook niets was, anders dan onzichtbare reclame. Het is een site die
redelijk wordt bezocht, en ik had nog niet eerder klachten.

> en eens koekeloeren of er geen root kit draait.

Doe ik standaard elke nacht.

> Logs apart bewaren
> en dan vervolgens de boel opnieuw optuigen zodra je weet waar de
> machine lek is.

Ik heb niet de indruk dat de machine lek is. Dit gaat gewoon om
user-directories waar klanten wat in kunnen plaatsen, dus ook rotzooi.

> Als het om shared hosting gaat

Inderdaad.

> is het wellicht ook belangrijk om de hoster even in te lichten.

Dat ben ik.

Met vriendelijke groet,
Paul van der Vlis.




--
http://www.vandervlis.nl/