Pagina 1 van 1

trojaans paard op mijn site

Geplaatst: za 09 mar, 2013 20:43:54
door beemboy
hallo,

Ik heb een vervelend probleem.
Als ik mijn site wil openen dan krijg ik melding van een trojaans paard.
Nu had ik net een klant aan de lijn die dat ook had als hij mijn site opende.
De persoon die mijn site beheerd ziet er geen probleem in en zegt dat hij er wel zonder problemen op kan.
Volgens mij heeft deze echter niet veel zin om te zoeken
De problemen zijn begonnen na een police crime virus!
Kan iemand mij helpen?
Mijn site is www. topcarz .be
Let wel op als ge de site opent natuurlijk!!!!!!!
Dank bij voorbaat

Re: trojaans paard op mijn site

Geplaatst: zo 10 mar, 2013 09:50:36
door Maxstar
Hoi en welkom op het forum,

Alle onderstaande "JavaScript" bestanden zijn gemanipuleerd en voorzien van kwaadaardige code.
../scripts/jquery.js
../scripts/jquery.min.js
../scripts/cycle.js
../scripts/jquery.prettyPhoto.js
../scripts/custom.js
../scripts/cufon.js
../scripts/cufon.font.js
../scripts/vcard.packed.js

Verder is het index bestand voorzien van de volgende kwaadaardige code.

beemboy schreef:
De problemen zijn begonnen na een police crime virus!

Wellicht zijn op dat moment ook de FTP inloggegevens buitgemaakt op de betreffende computer.
1. Haal sowieso de website even offline om verdere verspreiding van malware te voorkomen,
2. Wanneer heb je voor het laatst een back-up gemaakt van de website waarvan je zeker bent dat deze schoon is?
3. Controleer je eigen computers(s), hiervoor kan je dit stappenplan gebruiken.

Re: trojaans paard op mijn site

Geplaatst: ma 11 mar, 2013 14:22:59
door beemboy
hallo,

Alvast bedankt voor de hulp!

ik heb de persoon die mijn site beheerd ingelicht en die zal deze ofline halen.
Een backup heb ik helaas niet genomen :oops:
Ik zal nu beginnen met het stappenplan!

mvg

Re: trojaans paard op mijn site

Geplaatst: ma 11 mar, 2013 17:01:11
door beemboy
zeg me maar gerust wat ik nog moet doen om mijn site op te schonen.

mvg

Re: trojaans paard op mijn site

Geplaatst: ma 11 mar, 2013 17:44:32
door Maxstar
Hoi,

Als eerste is het zaak om de gehele website offline te halen (deze is nog steeds online zie ik), je kan dus een aparte index.html aanmaken met een mededeling dat de website tijdelijk offline is voor onderhoud of iets in die trant.
Je kan ook de gebruikers middels een .htaccess file redirecten naar een andere pagina.
Ten tweede is het belangrijk om de gebruikte FTP gegevens te veranderen en SSH-keys te verwijderen, dus de inlognaam en gebruikte wachtwoorden.
Kennis van PHP, HTML en scripts is eigenlijk wel benodigd in deze.

1. Allereerst is het belangrijk om te onderzoeken op verdachte activiteiten je kan hiervoor de logs opvragen bij de betreffende provider.
  • Dit soort logbestanden kan je in een "shell" omgeving onderzoek als je daar de mogelijk tot hebt, je kan dan middels een commando de URI's en POST opdrachten die uitgevoerd zijn filteren.
  • Aangezien ik niet weet en betwijfel of je toegang hebt tot de "shell" van de server van Telenet NV zal ik het hierbij even laten anders wordt het heel erg technisch.
zcat ~/root/*|grep POST|awk {'print $7'}|sort|uniq -c|sort -nr

2. Hierna download je alle bestanden vanaf de betreffende web-server naar bijvoorbeeld je eigen computer, alle eerder genoemde bestanden dienen dan ontdaan te worden van de geïnjecteerde scripts.
3. Wanneer je een database gebruikt, dan kan je deze met de phpMyAdmin tool in bijvoorbeeld DirectAdmin exporteren en naar je eigen computer downloaden.
4. Verwijder alle bestanden van jouw website op de FTP server. Zet in je FTP programma ook de optie 'toon verborgen bestanden' aan, veel hackers zorgen ervoor dat de door hun geplaatste bestanden moeilijk te vinden zijn.

Schadelijke Bestanden Opsporen
  1. Daarna controleer je alle bestanden op legitimiteit en vreemde verwijzingen zoals scripts en "i-frames"
  2. verander alle gebruikte SQL-DB wachtwoorden, in bijvoorbeeld config.php als je gebruik maakt van een CMS systeem.