Computer Forum voor al uw vragen en problemen.

Register een gratis account om van alle functies op het forum gebruik te kunnen maken.

Problemen met uw computer, of heeft u advies nodig? PC Web Plus helpt u graag verder.

Welkom op PC Web Plus, op dit computerforum kunt u terecht voor gratis hulp bij computerproblemen en allerhande vragen over software, hardware en computerbeveiliging.

Als gast kunt u alleen het forum bekijken en meelezen met de verschillende discussies. U kunt echter geen reacties of commentaar geven op bestaande discussies, of nieuwe onderwerpen op het forum starten met uw vraag of probleem.

Klik op de onderstaande link om geheel gratis een gebruikersaccount op ons forum te registreren. Vanaf dat moment kunt u deelnemen aan de diverse discussies op het forum.

Klik hier om een gratis account te registreren! - of lees onze Welkomstgids door voor meer informatie over het gebruik van het forum.

 
beemboy
PC Web Plus - Member
PC Web Plus - Member
Onderwerp Auteur
Berichten: 16
Lid geworden op: za 09 mar, 2013 20:39:33
Kennisniveau: (1) Beginner

trojaans paard op mijn site

za 09 mar, 2013 20:43:54

hallo,

Ik heb een vervelend probleem.
Als ik mijn site wil openen dan krijg ik melding van een trojaans paard.
Nu had ik net een klant aan de lijn die dat ook had als hij mijn site opende.
De persoon die mijn site beheerd ziet er geen probleem in en zegt dat hij er wel zonder problemen op kan.
Volgens mij heeft deze echter niet veel zin om te zoeken
De problemen zijn begonnen na een police crime virus!
Kan iemand mij helpen?
Mijn site is www. topcarz .be
Let wel op als ge de site opent natuurlijk!!!!!!!
Dank bij voorbaat

 
Gebruikersavatar
Maxstar
Administrator
Administrator
Berichten: 41271
Lid geworden op: za 27 sep, 2008 10:18:07
Kennisniveau: (3) Expert
OS: Windows 10
AV: Emsisoft Internet Security
Contacteer:

Re: trojaans paard op mijn site

zo 10 mar, 2013 09:50:36

Hoi en welkom op het forum,

Alle onderstaande "JavaScript" bestanden zijn gemanipuleerd en voorzien van kwaadaardige code.
../scripts/jquery.js
../scripts/jquery.min.js
../scripts/cycle.js
../scripts/jquery.prettyPhoto.js
../scripts/custom.js
../scripts/cufon.js
../scripts/cufon.font.js
../scripts/vcard.packed.js

Verder is het index bestand voorzien van de volgende kwaadaardige code.

beemboy schreef:
De problemen zijn begonnen na een police crime virus!

Wellicht zijn op dat moment ook de FTP inloggegevens buitgemaakt op de betreffende computer.
1. Haal sowieso de website even offline om verdere verspreiding van malware te voorkomen,
2. Wanneer heb je voor het laatst een back-up gemaakt van de website waarvan je zeker bent dat deze schoon is?
3. Controleer je eigen computers(s), hiervoor kan je dit stappenplan gebruiken.
Met vriendelijke groet,

Maxstar


Member of UNITE Unified Network of Instructors and Trained Eliminators (Unite Against Malware)
 
beemboy
PC Web Plus - Member
PC Web Plus - Member
Onderwerp Auteur
Berichten: 16
Lid geworden op: za 09 mar, 2013 20:39:33
Kennisniveau: (1) Beginner

Re: trojaans paard op mijn site

ma 11 mar, 2013 14:22:59

hallo,

Alvast bedankt voor de hulp!

ik heb de persoon die mijn site beheerd ingelicht en die zal deze ofline halen.
Een backup heb ik helaas niet genomen :oops:
Ik zal nu beginnen met het stappenplan!

mvg
 
beemboy
PC Web Plus - Member
PC Web Plus - Member
Onderwerp Auteur
Berichten: 16
Lid geworden op: za 09 mar, 2013 20:39:33
Kennisniveau: (1) Beginner

Re: trojaans paard op mijn site

ma 11 mar, 2013 17:01:11

zeg me maar gerust wat ik nog moet doen om mijn site op te schonen.

mvg
 
Gebruikersavatar
Maxstar
Administrator
Administrator
Berichten: 41271
Lid geworden op: za 27 sep, 2008 10:18:07
Kennisniveau: (3) Expert
OS: Windows 10
AV: Emsisoft Internet Security
Contacteer:

Re: trojaans paard op mijn site

ma 11 mar, 2013 17:44:32

Hoi,

Als eerste is het zaak om de gehele website offline te halen (deze is nog steeds online zie ik), je kan dus een aparte index.html aanmaken met een mededeling dat de website tijdelijk offline is voor onderhoud of iets in die trant.
Je kan ook de gebruikers middels een .htaccess file redirecten naar een andere pagina.
Ten tweede is het belangrijk om de gebruikte FTP gegevens te veranderen en SSH-keys te verwijderen, dus de inlognaam en gebruikte wachtwoorden.
Kennis van PHP, HTML en scripts is eigenlijk wel benodigd in deze.

1. Allereerst is het belangrijk om te onderzoeken op verdachte activiteiten je kan hiervoor de logs opvragen bij de betreffende provider.
  • Dit soort logbestanden kan je in een "shell" omgeving onderzoek als je daar de mogelijk tot hebt, je kan dan middels een commando de URI's en POST opdrachten die uitgevoerd zijn filteren.
  • Aangezien ik niet weet en betwijfel of je toegang hebt tot de "shell" van de server van Telenet NV zal ik het hierbij even laten anders wordt het heel erg technisch.
zcat ~/root/*|grep POST|awk {'print $7'}|sort|uniq -c|sort -nr

2. Hierna download je alle bestanden vanaf de betreffende web-server naar bijvoorbeeld je eigen computer, alle eerder genoemde bestanden dienen dan ontdaan te worden van de geïnjecteerde scripts.
3. Wanneer je een database gebruikt, dan kan je deze met de phpMyAdmin tool in bijvoorbeeld DirectAdmin exporteren en naar je eigen computer downloaden.
4. Verwijder alle bestanden van jouw website op de FTP server. Zet in je FTP programma ook de optie 'toon verborgen bestanden' aan, veel hackers zorgen ervoor dat de door hun geplaatste bestanden moeilijk te vinden zijn.

Schadelijke Bestanden Opsporen
  1. Daarna controleer je alle bestanden op legitimiteit en vreemde verwijzingen zoals scripts en "i-frames"
  2. verander alle gebruikte SQL-DB wachtwoorden, in bijvoorbeeld config.php als je gebruik maakt van een CMS systeem.
Met vriendelijke groet,

Maxstar


Member of UNITE Unified Network of Instructors and Trained Eliminators (Unite Against Malware)

Wie is er online

Gebruikers op dit forum: Geen geregistreerde gebruikers en 1 gast