[edited]

Någon här som kan tala om för mig vad ni behöver för att kunna hjälpa mig?

[Danski]

Du behöver vara avsevärt mycket tydligare, det du skrivit hjälper inte det minsta. Lite som att säga att din bil inte startar, varför?

*Har du något publiceringsverktyg? Joomla, wordpress etc?
*Har du kollat loggarna? Förslagsvis för både system och webbserver.
*Har du kollat filsystemet? Har filer ändrats? När och av vilken användare (www-data? din användare? root? en okänd användare?)

Ett mycket sannolikt scenario är att du har ett publiceringsverktyg och/eller en plugin som har ett känt hål. Avinstallera eller uppdatera, kolla datum på när filer ändrats och återställ dessa.

Att du inte ser popupen själv är ett vanligt sätt för cyberkriminella att göra en attack lite mer stealthy. Deras ändring syns bara för besökare som kommer från t.ex. google eller kanske bara för webbläsare som har en viss sårbarhet som de försöker utnyttja för att infektera besökaren.

[edited]

*Har du något publiceringsverktyg? Joomla, wordpress etc?
Inget open source system, allt är skräddarsytt.

*Har du kollat loggarna? Förslagsvis för både system och webbserver.
Hittar inget konstigt där

*Har du kollat filsystemet? Har filer ändrats? När och av vilken användare (www-data? din användare? root? en okänd användare?)
Inga filer har ändrats, mer än själva publikationerna som laddas upp dagligen har ändrats, bara några fåtal korrigerar för att trimma upp det hela lite. Men inga ändragar gjorda av någon annan än mig, inga ändringar på datum etc.

Vad gäller det här med säkerhetshål, menar du att något fel i webbläsare eller pluginer/tillägg kan vara en källa till att skapa ett sådant här problem?

Något du själv har varit med om?

[edited]

Ett tillägg, jag som Mac användare får själv inte upp detta problem, det är bara PC användare som får upp det. Vilket jag kan tycka tyder på något som användarna har råkat ut för, eller som bara körs på Windows datorer - kan jag ha fel?

[NeoTech]

Döma av att du fått in en iframe, så skulle jag gissa på att du har en sql injection möjlighet ngnstans i dina script. Alt. ngt av dina script tillåter _GET/_POST inkludering från URLn och sedan exkverar vad som ligger i variablen.

Att de bara drabbar PC användare och då troligen bara en specifik browser tyder på att din webbplats bara blivit ett avstamp för mkt allvarligare intrång längre ner på vägen.

[elf98]

Du kör kankse en dåligt uppdaterad OpenX-installation?

Råkade ut för samma problem som Expressen, Familjeliv mfl förut. Ej uppdaterad OpenX-installation hackades och hackarna la in en liten kodsnutt (iframe) som visades efter varje annons. Iframen poppade upp skumma sidor lite randomiserat.

[Zyry]

Har Själv råkat ut för samma men en på en hemsida utan att jag besökte en video stream sida så fick jag en pop upp på varje google sökning det resulterade i att jag Fick ominstallera datorn i och med att det inte gick att ta bort pop up.

[pelmered]

Om du kan hitta iframen i HTML-koden borde du väl kunna se vart den kommer ifrån?

Är det en fil som är på din server eller är det innehåll som genereras dynamiskt och hämtas ifrån databasen eller kaske till och med POST eller GET variabler.
När du lokaliserat vart det kommer ifrån borde du kunna ta bort det och täppa till säkerhetshålet

[edited]

Finns det något sätt att via kod eller htaccess eller liknanda kunna blocka denna typ av script?

[edited]

Ju längre tid som går ju mer desperat blir jag.

Detta är det problem som användarna rapporterar:
2011-10-03 08:05:03 - Module HTTP-filter - Threat Alert triggered on computer HQS-SEBASTIANE: http://www.eyemag.se/core/main.php?&...qpj4q6hhr4aqg2 contains HTML/Iframe.B.Gen virus.
2011-10-05 08:46:10 - Module HTTP-filter - Threat Alert triggered on computer HQB-JOSEPHINE: http://www.eyemag.se/core/main.php?&...a1hi8se8t0lnu1 contains HTML/Iframe.B.Gen virus.
2011-10-07 10:11:47 - Module HTTP-filter - Threat Alert triggered on computer SE17SKYLT1S: http://www.eyemag.se/core/main.php?&...i0p58u7akej3p7 contains HTML/Iframe.B.Gen virus.
2011-10-10 07:55:31 - Module HTTP-filter - Threat Alert triggered on computer HQS-SEBASTIANE: http://www.eyemag.se/core/main.php?&...pon519o61al3i5 contains HTML/Iframe.B.Gen virus.

Har någon sett något sådant här tidigare?