Sinds enige tijd wordt er een waarschuwing weergegeven wanneer men naar mijn blog surft met de melding dat 'deze site uw computer kan beschadigen'.
Volgens Firefox en chrome zou m'n blog malware hosten.
Hoe kan het dat mijn site geïnfecteerd is geworden en wat kan ik doen om dit op te lossen?
Achtergrond:
Ik ben de enige die berichten post, bezoekers kunnen enkel comments achterlaten (die worden gescreend door Mollom). De huidige versie is drupal 5.9 .
adres:
www.back-to-basic.be
Advies, uitleg, hulp meer dan welkom!
Thanks,
Twee mogelijkheden:
1. Jouw PC is geïnfecteerd en jouw ftp username/password werd gestolen door een keylogger of netwerklogger. Dit is het meest waarschijnlijke daar er best wel enkele malwares bestaan die dit doen en deze methode van infectie wordt populairder.
2. Jouw ftp/cpanel/... account is gehackt doch dat kan je alleen terugvinden via de logs.
Clean dus jouw PC, pas alle passwords aan en kuis de gedane schade op.
Via de link bij Chrome vind je meer info over de infectie die gevonden is: http://safebrowsing.clients.google.com/safebrowsing/diagnostic?site=http..., dus zoeken naar die malware in de files van je site.
En zelfs als je de infectie zult opgelost hebben zal Google nog niet meteen je van de zwarte lijst weghalen, vermits ze eerst nog eens opnieuw je site moeten checken. Ik weet niet meteen hoelang dit duurt of als je de hercheck kunt beinvloeden.
@Jax & @hansrossel bedankt voor het advies!
@Jax, gewoon zodat ik het begrijp even je voorgestelde stappen overlopen:
1. clean de PC: met een virusscanner zoals AVG een scan doen van mijn computer en de schadelijke bestanden verwijderen. Is dit genoeg?
2. pas de passwoorden aan: is duidelijk
3. kuis de gedane schade op: hier loop ik tegen een probleempje op. Ik weet niet wat de infectie juist is, waar ik het moet zoeken en hoe ik het zou kunnen herkennen. Kan het zijn dat bepaald javascript of php code is geinjecteerd? Indien ja, moet ik dan mijn posts doorzoeken en onregelmatige code opsporen? Of is er misschien ergens een bestand toegevoegd? Of zou het in de template zijn geïnjecteerd?
Ik heb in ieder geval de node content gechekt en niets vreemds in gevonden. Any ideas?
@hansrossel, ik heb google zijn bericht al bekeken, maar daar kom ik niet verder mee. Er wordt niet verteld welke delen geïnfecteerd zijn, en hoe ik het zou kunnen oplossen.
Wat er wel staat:
Een deel van deze site is in de afgelopen 90 dagen 2 keer aangemerkt wegens verdachte activiteiten.
Er wordt niet vermeld welk deel.
Van de 2 pagina's die we in de afgelopen 90 dagen op de site hebben getest, hebben 2 pagina('s) zonder de toestemming van de gebruiker schadelijke software gedownload en geïnstalleerd.
Ok, dus er is iets geïnstalleerd geweest, maar wat en hoe?
Schadelijke software wordt op 1 domein(en) gehost, waaronder hostads.cn/.
Dus als ik me niet vergis, wordt een script geactiveerd op mijn site (javascript of php) dat software download vanaf een andere site.
Maar dan komt het vreemde:
Het lijkt erop dat back-to-basic.be in de afgelopen 90 dagen niet heeft gefunctioneerd als tussenschakel voor de infectie van sites.
Dus... er is blijkbaar geen probleem?
En nog meer:
Nee, deze site heeft in de afgelopen 90 dagen geen schadelijke software gehost.
Dus... blijkbaar toch geen probleem?
De manier waarop:
In bepaalde gevallen kunnen derden schadelijke codering toevoegen aan echte sites, waarna wij deze waarschuwing weergeven.
Sorry, maar ik tast in het duister omtrend de oorzaak, wat het juist is en vooral hoe het op te lossen. Misschien mis ik hier iets heel obvious, maar mijn kennis reikt klaarblijkelijk te kort. Enige suggesties hoe dit te overkomen?
Alvast hartelijk bedankt!
Het staat allemaal gedetailleerd uitgelegd op de Google pagina's wat je kan doen om het euvel te verhelpen.
Installeer de Google webmaster tools en via daar zou je moeten kunnen zien welke pagina's een probleem hadden. Als alles proper is kan je tevens via daar vragen dat ze het terug nakijken.
Thanks Jax,
Via de google webmaster tools ben ik op de volgende sites uitgekomen voor meer informatie omtrend malware, geïnfecteerde sites en wat te doen om het te verhelpen.
Bedankt voor de hulp!
Update website:
Ik heb ondertussen de website gedesinfecteerd. Blijkbaar werden 2 hidden iframes toegevoegd en werd aan alle javascript files obstructed javascript code toegevoegd.
Het 'desinfecteringsproces':
1) doe een virus scan van uw computer
2) download alle files naar een locale omgeving (ook database)
3) verander ftp login passwoord
4) zoek naar verschillden keywords: vb 'iframe', 'src=', 'eval', 'http' (voor externe links).
=> in mijn geval gaven 'iframe' en 'eval' verdachte resultaten. iframe gaf me twee hidden frames op, 'eval' maakte duidelijk dat er obstructed javascript code werd toegevoegd aan de javascript files.
5) bestudeerd resultaten en verwijder code in het geval dat het 'onregelmatig' of duidelijk 'malicious' lijkt.
6) upload de files
7) request een review door google (google webmaster tools) en wacht op resultaat
Cheers!