Ämne: Malware virus som drabbat många stora webhotell?
Visa ett inlägg
Oläst 2016-03-07, 09:51 #1
Olis Olis är inte uppkopplad
Nykomling
  
Reg.datum: Mar 2016
Inlägg: 4
Olis Olis är inte uppkopplad
Nykomling
 
Reg.datum: Mar 2016
Inlägg: 4
Standard Malware virus som drabbat många stora webhotell?
För något år sedan hade Crystone väldiga problem med att de fick in spamlänkar i koden så jag fick flytta ett 50-tal konton därifrån då de inte verkar lyckats lösa säkerhetsluckan.
Hände till och från under ca 2 månader i deras Dknet-miljö.

Förstörde inget så man kunde gå in och rensa bort koden men den var åter igen efter en vecka samt flera nya mappar och html-filer.
Googles virusvarning i sökresultat gillade det inte direkt.

Länkarna är i till "Louis Vuitton" och liknande och jag har sett ett hundratal andra hemsidor som också blivit hackad med detta utspritt över olika kända webhotell.

Flyttade allt till Azure som fungerat felfritt men jag har ändå vissa ASP-komponenter som jag behöver och använder då mig av Loopia för att länka dem.

Nu fick jag även en liknande sak hos Loopia fast jag hittar ingen logik i detta.
  1. Jag skickar formulärdata till Loopia från flera olika hemsidor.
  2. Första gången men enbart från en domän så lägger den till nedan spamkod och ersätter alla href-länkar. Dock inte efter att sidan besökts en gång för då fungerar den som den ska.
  3. Övriga domäner/hemsidor fungerar felfritt även fast de pekar mot exakt samma .asp-sida hos Loopia.
  4. "Visa källa" visar även att koden tillhör sidan på Loopia och inte något annat ställe

Nu det oklara.
  1. Denna skräpkod finns inte alls i själva filen på webhotellet
  2. Har endast upptäckt det när det länkas från en specifik hemsida
  3. Jag provade länka till en egen server istället för Loopia och där fungerar det helt felfritt
  4. Borde inte vara något på klientsidan då det uppstår från flera olika datorer, webbläsare, mobiler

Teori
Kan det vara något djupare hack där den känner av typ avsändarlänken och "on the flight" lägger till koden? Känns dock väldigt ologiskt.

Jag har endast upplevt detta i Windows miljö med Classic ASP.
FTP-kontot har haft väldigt säkra lösenord på minst 15 tecken.
Någon som har erfarenhet av detta och vet hur man skyddar sig?

Skräpkoden som läggs till och inte verkar göra något direkt:

<span id="alinz">

<ul>
<li>
<div name="LcOkne" id="FQfMnG">


</div><script language="JavaScript">var _0x6977=["\x67\x65\x74\x45\x6C\x65\x6D\x65\x6E\x74\x42\x79\ x49\x64","\x73\x74\x79\x6C\x65","\x46\x51\x66\x4D\ x6E\x47","\x64\x69\x73\x70\x6C\x61\x79","\x6E\x6F\ x6E\x65"];document[_0x6977[0]](_0x6977[2])[_0x6977[1]][_0x6977[3]]=_0x6977[4]</script>
</li>
</ul>
Olis är inte uppkopplad   Svara med citatSvara med citat