Finna och ta bort malware-skript från hemsida

[Cecilia]

Lite off-topic:

Det enda eventuellt aktiva antivirusprogram jag har, är det som följer med i Win7.

Windows Defender tror jag det heter, jag försökte avinstallera det med hjälp av Lägg till Ta bort Program, men det är tydligen fortfarande kvar. Ungefär som ett virus som är svårt att bli av med...

Windows Defender är inget antivirusprogram utan ett halvdant antimalware-program.

[ycc]

@e-son:

Ytterligare en intressant länk, tack e-son.

Du kommer nog med ett riktigt bra påpekande där. Måste kanske börja med långa randomiserade lösenord för ftp i servern.

Fast om jag loggar in på mitt web-konto på GoDaddy så kan jag ändra lösenord för ftp direkt utan att ange det tidigare ftp-lösenordet.

Måste man då ha 32-teckens lösenord för sitt vanliga web-konto också? Det blir ju lite tungt, men kanske nödvändigt?

...

SQL-injektion.

Naturligtvis en mycket relevant kommentar. - Den klassiska "OR TRUE" injektionen. php-formuläret svängde jag ihop på kul en gång. Jag kände ju till problemet när jag gjorde sidan så jag försökte väl tänka på det. Men det går ju inte att få top-security på något som man svänger ihop på ett par dagar.

Å andra sidan undrar jag hur man skulle kunna knäcka formuläret. Jag kan inte se någon möjlighet, men jag är ju inte hacker heller. Formuläret lägger bara in meddelandena i en databas och skickar dem vidare till några av mina epostadresser. (OBS! Detta är inte en uppmaning till hacker att pröva )

Hur man kan injicera ett lösenord som detekteras på tokigt sätt, det kan jag förstå.

Inga suspekta meddelande i databasen på sistone.

Tack för relevanta synpunkter e-son. Lärorikt med kommentarer om siten, kom gärna med fler

--------

@Rune

Du vet säkert mer om antivrus och brandväggar än jag. Jag kör AVAST gratisversion. Jag tror en räddade min dator för någon vecka sedan när någon kopplade in sin smittade kamera, jag fick hjälp med det här i forum. Den var också första larmet för problemet i denna tråd. Jag tycker det hjälper. Jag har en enkel 10" laptop. (Samma som du har vill jag minnas ) men den lastas inte ner så mycket, tycker jag.

Jag har inte kört noscript i FF. Missar man inte en del information då?

Däremot har jag ingen brandvägg annat än den inbyggda i Windows. Jag har ju bara en desktop som inte lyssnar på några portar så jag har inte förstått nyttan av Zonealarm. Men jag är absolut inte kompetent att ge mig in i diskussion här. Jag bara spekulerar lite

Redigerad December 3, 2011 av ycc

[e-son]

Fast om jag loggar in på mitt web-konto på GoDaddy så kan jag ändra lösenord för ftp direkt utan att ange det tidigare ftp-lösenordet.

Måste man då ha 32-teckens lösenord för sitt vanliga web-konto också? Det blir ju lite tungt, men kanske nödvändigt?

Nu vet jag inte hur det fungerar på GoDaddy, men jag har samma lösenord till webbinloggning som till FTP, det skiljer sig dock från MySQL/phpMyAdmin. Alla lösenord som på något sätt ger tillgång till servern (Webb, FTP, MySQL, phpMyAdmin) kör jag random och minst 32 tecken... men det är ju jag det.

[ycc]

Du har ju mycket rätt i det du skriver e-son. I GoDaddy kan man dock ha olika lösenord för nästan alla funktioner. Jag måste nog skärpa till mig allmänt med lösenorden i alla fall.

...

Jag är också lite förvånad hur attacken sker. Man injicerar en enda fil, en av de mycket få filer som anropas från nästan alla sidor i siten. Hur valde men den filen?

Siten är handhackad till >95% så hackern har nog ingen mall att gå på.

Jag hade ett liknande problem för ett par år sedan, men då injicerades hundratals filer i en site med 20.000 filer. Det tog tid att fatta vad som hänt och att åtgärda. Jag vill minnas att jag till slut fick rensa med sed-skript.

Den gången blev det en enda förekomst av malware kvar. Det låg undanstoppat i ett mycket oansenligt hörn av Gallery2. i det fallet kan jag förstå att man utnyttjat kännedomen om Gallery2s struktur. Jag fick till slut bra hjälp i Gallery2s forum att hitta problemet. Gallery2 har bra funktioner för att hitta komprometterade filer.

Jag tycker Gallery2 är ett fantastikt bra program, men det innehåller många filer och det fanns många gömställen som en icke-expert som jag inte kände till.

Man kan ju samtidigt vara lite "tacksam" och "beundrande" att inte mer av siten blivit angripen den här gången.

Redigerad December 3, 2011 av ycc

[Rune.K]

Windows Defender är inget antivirusprogram utan ett halvdant antimalware-program.

Det är inte så lätt att alltid hålla sej till korrekta benämningarna.

Hoppas att du har överseende med min fadäs. :)

[Rune.K]

@ ycc

Jag vet ju att du ofta kopplar upp dej på internetcaféer.

Då hade jag hade definitivt lagt in Zonealarm Free eller liknande personlig brandvägg.

Det är möjligt att det går att konfigurera den inbyggda brandväggen i Win7 på ett liknande och bra sätt...men det är inget jag kan.

Zonealarm Free har ändrat utseende och hur man använder det, ordentligt i den senaste utgåvan.

Så jag är ingen "expert" på det längre.

Det är numera mer automatiskt än tidigare, dvs mindre antal frågor man själv behöver ta ställning till.

Jag har aldrig märkt att ZoneAlarm stjäl några resurser från datorn.

På min netbook som är ungefär likadan som din, där följde McAfee med och var förbetalt en längre tid.

Jag använde McAfee ett par dagar tills jag började fundera över om datorn verkligen skulle vara så slö, jämfört med specen på CPU och RAM.

Jag slängde ut McAffe och datorn blev ungefär dubbelt så snabb, McAfee sög verkligen resurser från datorn.

Jämfört med McAfee så märks inte Zonealarm Free överhuvudtaget.

[OlleBull]

Antivirusprogram är mera nödvändigt att ha på datorn, än exempelvis ett brandväggsprogram som Zonealarm Free. Jag använde själv ZoneAlarms gratisversion under flera år, men numera tycker jag att det räcker med ett bra Antivirus, kompleterat med SpywareBlaster och naturligtvis en smula sunt förnuft, inte att förglömma.

Redigerad December 3, 2011 av OlleBull

[Cecilia]

Det är inte så lätt att alltid hålla sej till korrekta benämningarna.

Hoppas att du har överseende med min fadäs. :)

Javisst!

Du får kalla det vad du vill, bara du vet vad det är för något, dvs inte något vidare bra skydd

[ycc]

Min lilla sajt är fortfarande på nätet, malware-fri. Jag hoppas det så består. Jag vill bara tacka för det stöd som kom.

Det är ju intressant det som hände, tycker jag. Jag har inte hunnit titta närmare på malware-koden. Den är ju inte gjord för att vara lättläst. Jag undrar om det inte kan vara en funktion som svarar på anrop till jQuery? (Det kanske inte alltså är så kritiskt i vilken fil den ligger, som jag först trodde.) Jag använder inte många bibliotek, men en gång ville jag prova jQuery och testade att lägga en droppskugga bakom rubriken med jQuery.

Efter det att malware hade tagits bort så funkade siten, men all JS funkade inte förrän jag tagit bort anropen till jQuery-droppskuggan.

Jag undrar om hackerna dessutom inte modifierat antingen mina anrop till jQuery eller kanske min kopia av jQuery-biblioteket?

Jag har tyvärr inte möjlighet att titta vidare nu, hoppas jag hinner kolla i framtiden. jag vet inte om det finns något forum eller liknande på nätet där man kan "lämna in" malware för analys och diskussion? (AV-programmen verkar ju redan ha virusdefinitionen klar.)

Undrar om inte detta malware utnyttjar anropen till jQuery? (Fast det största säkerhetshålet är ju att malware hittat in i min site.) Jag får titta viare när jag skall reparera skuggningen.

Tack för alla tips.

Redigerad December 4, 2011 av ycc

[plun]

Jag undrar om hackerna dessutom inte modifierat antingen mina anrop till jQuery eller kanske min kopia av jQuery-biblioteket?

Jag har tyvärr inte möjlighet att titta vidare nu, hoppas jag hinner kolla i framtiden. jag vet inte om det finns något forum eller liknande på nätet där man kan "lämna in" malware för analys och diskussion? (AV-programmen verkar ju redan ha virusdefinitionen klar.)

Undrar om inte detta malware utnyttjar anropen till jQuery? (Fast det största säkerhetshålet är ju att malware hittat in i min site.) Jag får titta viare när jag skall reparera skuggningen.

Tjau... det här är ju den eviga frågan angående websidor.

Min syn är att har man inte tid med riktig versionshantering av all kod man använt så är det snabbt kört. Plus att man då minimerar den kod man använder för enklare versionshantering.

För just jQuery så är det då bara att kolla deras hemsida samt ev forum vilken version som gäller.

http://jquery.com/

Sen har man inte tid men däremot lite pengar över så har ju GoDaddy ett latmansverktyg

http://www.godaddy.com/security/website-security.aspx?ci=20677

Har man varken tid eller pengar så kommer websidan att hackas... en tidsfråga bara !!

[ycc]

Det var nog lite lurigare än jag först trodde. Jag hittade ytterligare en förekomst av malware. När jag tog bort den funkade skuggan under titeln (utom där den är disablad i IE v6 och 9). Men det lade av efter ett tag.

En möjlighet är att det finns en pågående injektion av malware.

Jag har kollat versionerna. Det verkar inte finnas några förändringar av jQuery-biblioteket eller anropen dit. Endast injektion i två filer av det skript som finns beskrivet ovan i tråden.

Borde bli bättre nu när man vet vad man letar efter, hoppas jag i alla fall. Viruset har inte ändrats mellan de två tillfällena, vad jag kan se.

Får kolla vidare när jag har tid. Alla anbud (synpunkter) beaktas

Redigerad December 4, 2011 av ycc

[ycc]

Jag har sökt igenom filerna och tror att alla förekomster av viruset är borta nu. Jag hittar inga tecken på pågående injektion av malware. (Jag tror Google och AVAST kanske missade ytterligare en förekomst av viruset?)

Om droppskuggan under rubriken och loggan kommer på plats så verkar även resten av JavaScript att funka. (Sse bild.) (Droppskuggan avstängd i IE v6 och v9.)

Jag sticker åter ut hakan och påstår att den lilla sajten fungerar helt igen och att malware är borta, så får vi se hur länge man kan tro på det ... Tack för tipsen.

e-dog.info/t/63/doc/Ubuntu_installation.php

Redigerad December 5, 2011 av ycc

[JoWa]

Ingen skugga i Chrome 15.

Men sidan verkar vara ren: http://siteinspector.../reports/739067

[ycc]

Schysst JoWa, bra att veta. I min Chrome 15 kommer den fram. (Win 7 starter)

Undrar vad skillnaden kan bero på? Vad tror du? Om sidans "effekter" fungerar för övrigt så har ju förstås inte JavaScript blockerats utan skuggan renderas fel. (För Linux-web-läsare är skuggorna under omarbete.)

Min personliga hemsida hade många förekomster av samma malware. Filer som heter google_verify.php var även skapade som rena malware-filer. Det är åtgärdat.

[JoWa]

Vet inte vad det kan bero på, men sidan renderas olika i Chrome, Opera 12 och Firefox 8.

[ycc]

Aj då. Det blev ju inget bra i Opera när logo-rutan var för smal för texten. Jag laddade just ner Opera 11.52 för att kolla, men där räckte den till:

Jag trodde jag laddade ner senaste versionen av Opera, men det var v.11.52. Kan det vara så att v.12 är en utvecklingsversion? Om en webläsare gör teckenen lite bredare så räcker ju rutan inte till. (Då får man förstora rutan eller minska texten förstås.)

Skuggorna är nog avstängda i Opera efter en del trassel där.

Det är ju sådana småjusteringar som mycket av tiden går till. Browsrarna renderar olika. Teckenstorleken blir lite olika, även om samma storlek begärs. FF ger t.o.m. olika teckenstorlek i Win och Linux ... ...

Jag måste sova lite efter att la letat den där malwaren. Men kom gärna med fler kommentarer, det uppskattas. Skall gärna kolla när jag vilat lite.

Tack JoWa

Redigerad December 5, 2011 av ycc

[JoWa]

Ja, en alfaversion, 12.00, 1174: http://my.opera.com/...phs-and-plugins

Opera i Ubuntu använder att annat typsnitt än Chrome och Firefox. Samma Opera-version i W7 använder samma typsnitt som Chrome och Firefox.