Virus op sleutelspoor.nl ?

[Karst Drenth]

Helemaal mooi 

Dan was er dus ook nog een tweede: Een php-serverside exploit.... onze site loopt zonder php, puur op html, maar... er was op de ene of andere manier een kopie van index.htm naar index.php gemaakt. En daar stond dus de verwijzing naar nog meer rotzooi in. Alle php's gedeactiveerd nu 

Grtzz,

Karst

[TonM]

Karst,

Ik krijg met Norton weer een melding; bijna hetzelfde als de eerdere, maar nu met een andere "attacking computer".
Aanval zou nu afkomstig zijn van mhjldbgmfds.com (184.173.238.226,80)

Grtz,
Ton

[Karst Drenth]

Heb je de pagina gerefreshed ?

[TonM]

Gewoon opnieuw in de adresbalk getikt, daarna een refresh, de melding blijft komen.

Ter info een prtscr van de melding erbij:


Grtz,
Ton

[guest7823]

Inmiddels wel te openen maar Sophos piept nog steeds over "iets" in de inhoud van de pagina.

 "JS/Sinowal-V" wordt geblokkeerd

[Gouda]

Norton bromt nog steeds.

Het track can ipadres komt ergens uit in Houston. Zie printscreen.



Marc

[laurent]

Helemaal mooi 

Dan was er dus ook nog een tweede: Een php-serverside exploit.... onze site loopt zonder php, puur op html, maar... er was op de ene of andere manier een kopie van index.htm naar index.php gemaakt. En daar stond dus de verwijzing naar nog meer rotzooi in. Alle php's gedeactiveerd nu 

Grtzz,

Karst

Als ik de link in jouw profiel pakt raakt Avast hier danig overstuur met 3(!) meldingen van geblokte trojaanse paarden.

[Karst Drenth]

Nog meer werk aan de winkel dus. Van alle pagina's de hitcounters verwijderen...

Grtzz

Karst

[guest7823]

Nog meer werk aan de winkel dus. Van alle pagina's de hitcounters verwijderen...

Grtzz

Karst

Als ik de "extreme tracker" (oid, rechtsonderin) open in een nieuwe pagina krijg ik GEEN virusmeldingen. WEL op de startpagina www.sleutelspoor.nl en alle onderliggende pagina's.

Gaat, helaas, van je pure modelbouwtijd af 

[Jos]

Nog steeds geeft Avast:

Infection Details
URL: http://www.sleutelspoor.nl/mm_menu.js|>{gzip}
Process: file://C:\Program Files (x86)\Internet Explorer\iexplore.exe
Infection: js:IFrame-CG [Trj]

Mvg, Jos

[Karst Drenth]

Hoi,

Dank voor de gedetailleerde info. Nu wil het geval, dat dat file al jaren niet gewijzigd is... 

Grtzz,

Karst

[Karst Drenth]

Ahum....

File inhoudelijk niet gewijzigd, maar toch 6 kb groter dan de versie die er hoort te staan ...

Jos, kun je / wil je nog een keertje klikken ajb ?? 

Grtzz,

Karst

[Private SNAFU]

Mss "oude" code die nu als exploit wordt gezien?

Is er geen nieuwere versie beschikbaar van de betrokken js-file?

[Karst Drenth]

Kweenie Bart,

't is onderdeel van de MacroMedia suite waar Gerco gebruikt van maakt om de site te onderhouden. En Gerco is pas volgende week terug.
Dus ik denk dat degenen die de zaak niet vertrouwen, maar even moeten wachten tot hier het sein op groen gaat.

Anders zou ik 'even' met de hand meer dan 300 webpagina's door moeten spitten....

Grtzz,

Karst

[Jos]

Niets meer aan de hand, gaat nu prima zonder loslopende paarden.

Mvg, Jos