[Løst]Trojan spredde seg til begge nettsidene mine

[Keiseren av Grønland]

Jeg fikk nettopp en trojan kalt Secure Center eller noe. Jeg har nettopp kjørt Combofix i 30 min, og det ser ut som den klarte å slette trojanen.

 

Problemet er at det virker som den spredde seg til begge nettsidene mine. Jeg trodde ikke dette var mulig.

www.michaeljackson.no og www.reager.no fungerer ikke. Og virus scan i Cpanel viser at 12 filer er infisert av Trojan.JS-40. Hvordan kvitter jeg meg med viruset uten å slette hele siden?

 

Jeg kan velge mellom å sette dem i karantene eller ødelegge filene, som blant annet er index og lignende. Jeg har kontaktet de som driver webhotellet mitt.

 

Noen som har vært borti lignende?

[raWrz]

1. midlertidig kan du vell ta bort linkene til websiden din i signaturen din og sette de tilbake når du veit den er borte (kan hande den spres)

 

2. Post Combofix loggen :-)

[Gjest]

Du må i gjennom vær enkelt fil som ha kildekode og se etter farlig kode og slette det

[Keiseren av Grønland]

Så dette viruset har lagt igjen en kildekode som jeg kan se tydelig i filene?

 

Det er noen jeg er ganske godt kjent med, mens andre ikke. Noen som vet hvordan kildekoden til Trojan.JS-40 ser ut?

[Gjest]

Er javascript kode så burde ikke være så vanskelig.

Muligens her:

Kilde

[raWrz]

Så dette viruset har lagt igjen en kildekode som jeg kan se tydelig i filene?

 

Det er noen jeg er ganske godt kjent med, mens andre ikke. Noen som vet hvordan kildekoden til Trojan.JS-40 ser ut?

 

Jeg har null peil på koding osv men andre navn på dette viruset er Java Downloader så ta en titt på linken som ble postet.

 

Og ja... du kan ikke skjule en kildekode så ligger det en farlig kode i noen av java kodene dine så burde du se det... hvis du finner det da.....

 

men andre navn for Trojan.JS-40 kan du se her:

http://www.virustotal.com/analisis/94a2bd3...a2b3-1262614148

 

bruk google osv og se om du finner info trenger ikke tenke på det som "faen noen har hacket sia mi" ta det med et smil og se om du evnt lærer noe ut av det

[Keiseren av Grønland]

Huff, dette var nervepirrende, men jeg klarte omsider å få slettet viruset.

 

Jeg kjørte virusfjerning i Fantastico, men var redd for å miste all data. Det gjorde jeg heldigvis ikke, ettersom den er lagret i databasen, og ikke på public_html-mappen.

 

Deretter var hele siden bare rast sammen, siden den manglet index-filer og lignende, derfor måtte jeg legge inn alle filer på nytt. Det innebar blant annet å installere Wordpress på nytt, noe jeg slapp siden jeg heller kjørte oppgradering av Wordpress i Fantastico.

 

Jeg har to snarveier til FTP serverne liggende på datamaskinen. Jeg tror den nye trojanen klarte å voldta disse på en eller annen måte, og spre seg til serveren.

[Keiseren av Grønland]

Nå er jeg seriøst deppa.

 

De som eier serveren har tydeligvis justert nettsiden min tilbake til 1. januar. Da har jeg mistet tre nye brukere på forumet mitt, to nyhetsartikler jeg skrev, flere kommentarer og flere hundre poster.

 

Dette har de gjort uten å spørre meg, og uten å svare på support forespørslene mine. Har jeg ingen form for rettigheter her?

 

Flere dagers hardt arbeid har de ødelagt.

Endret 6. januar 2010 av Ramius

[ventle]

Jeg tipper at da du opprettet disse sidene også måtte godta en avtale med webhosten der det blant annet står at du plikter å hindre at sidene dine brukes til å spre virus og skadelig programvare. Nå har viruset spredd seg gjennom ett sikkerhetshull på din datamaskin, til din nettside, og når nettleverandøren har mulighet til å rette opp dette på en såpass enkel måte som å bare hente frem en uke gammel backup, synes jeg du skal være takknemlig for dette.

 

Da noe lignende skjedde på min nettside for noen år siden, ble siden umiddelbart stengt, og jeg fikk beskjed om at den ikke ville bli åpnet igjen før jeg selv hadde vært inne og ryddet opp. Ingen backup der, jeg måtte logge inn på FTP og lete gjennom alle mapper og filer etter suspekte ting.

 

Rettigheter tror jeg også du har fint lite av i og med at det er ingen andre enn du som kan lastes for at dette har skjedd. Surt, men leverandøren din har også ett ansvar for å hindre at sine servere brukes til å spre skadelig programvare, og må da ta nødvendige grep snarest mulig.

[Keiseren av Grønland]

Jeg er alt annet enn takknemmelig. Spesielt når jeg klarte å få siden min til å fungere igjen på egen hånd.

[nomore]

Tanken slår deg ikke at du selv har skyld i at websiten ble infisert?

[Xprez]

Nå er jeg seriøst deppa.

 

De som eier serveren har tydeligvis justert nettsiden min tilbake til 1. januar. Da har jeg mistet tre nye brukere på forumet mitt, to nyhetsartikler jeg skrev, flere kommentarer og flere hundre poster.

 

Dette har de gjort uten å spørre meg, og uten å svare på support forespørslene mine. Har jeg ingen form for rettigheter her?

 

Flere dagers hardt arbeid har de ødelagt.

 

Tar du ikke jevnlig backup?

[Keiseren av Grønland]

Tanken slår deg ikke at du selv har skyld i at websiten ble infisert?

 

Det er ikke min skyld nei at en trojan bruker Adobe Acrobat Reader til å installere seg selv på min datamaskin, og sprer seg til FTP-mappene mine.

 

Det skal også sies at denne trojanen kom fra en helt legitim "vanlig" nettside, som sikkert har vært like uheldige som meg.

 

Jeg pratet med eieren av webhotellet, som bare ble sur fordi jeg ringte som følge av manglende svar på supporthenvendelsen. Han sa en teknikker hadde bestemt seg helt på egen hånd "slik han følte det var riktig" å stille siden min tilbake. Alt uten å informere meg om hva det vil bety for nettsiden min og dens brukere, og arbeidet jeg selv har gjort på den.

 

Jeg informerte han gjevnlig på kontaktskjemaet til kundesenter, uten å få svar nå i hele tre dager. Jeg opplyste om at jeg klarte å rette problemet selv - og det var etter dette at han gikk inn sent i går kveld og stilte serveren tilbake. Til tross for at det på daværende tidspunkt ikke var noe virus igjen i det hele tatt.

 

Vurderer sterkt å bytte til et mer profesjonellt webhotell.

[nomore]

For det første vil eg bare sjekke om du har antivirus? Oppdatert? Eg vil gjerne vite hvilken du har så eg kan unngå den selv.

 

Men, du valgte selv å opprette en kobling mellom din datamaskin og webhotellet. Hadde du ikke gjort dette eller sørget for å måtte logge på hver gang så hadde dette problemet vært unngått. Å få virus/trojaner er til dels ikke selvforskylt, men den åpne koblingen mellom deg og webhotellet er det. Mao vil eg ikke sittet der om eg var deg, og hevdet at eg var fri for skyld.

 

Når det gjelder webhotellet så ser eg ikke hva som er galt med det leverandøren har gjort. Manglende support og tilbakemeldinger er kritikkverdig, men å restore webhotellet synes eg var på sin plass. Leverandøren har tross alt andre kunder å ta hensyn til, ikke minst en infrastruktur som må beskyttes. Om det er mistanke eller bekreftet at et webhotell sprer virus så bør det være prioritet nummer en å stoppe det webhotellet.

 

Og eg tviler sterkt på at du finner en annen leverandør som ikke bryr seg om at et webhotell har/hadde virus

[ventle]

Du får dessverre ingen sympati fra min side du, som datamaskinbruker har selv ansvar for å holde din maskin fri for virus og forhindre at din datamaskin brukes til å spre virus til andre.

 

I etterpåklokskapens navn kan du jo få følgende tips til å unngå at det skjer igjen:

- hold Adobe Reader oppdatert, eller skift til ett mindre virusutsatt alternativ, som Foxit Reader

- bruk ett godt antivirusprogram, og hold dette oppdatert

- hold Windows oppdatert (automatiske oppdateringer påslått)

- hold eventuelle publiseringsløsninger du bruker på nettstedene dine oppdatert, eller dersom du skriver all koden selv, pass på at det ikke er mulig å slippe inn skadelig kode gjennom f.eks. SQL injection (validering av all kommunikasjon via POST/GET er ett minimum)

- ta backup av databasen med jevne mellomrom, og lagre en kopi av alt du har på nettsiden lokalt på din egen pc.

Endret 7. januar 2010 av ventle

[Keiseren av Grønland]

Du får dessverre ingen sympati fra min side

 

Det kunne vært det nye navnet på dette forumet synes jeg. Det er svært få her som faktisk har sympati med brukerne, og er heller patrioter til de store lederne istedenfor.

 

Jeg har hatt haugevis av virusprogrammer inne, som liksom skal beskytte datamaskinen, men når det kommer en ny trojan på markedet så står de bare å ser på alle sammen. Derfor har jeg kuttet ut de plagsomme virusprogrammene. Disse har mistet all sin troverdighet, og jeg synes det er en klisjé at dere begynner å snakke om antivirus her.

 

Og skal jeg ha skyld fordi jeg lager en snarvei til ftp-mappa mi? Nå får dere faen meg gi dere. Det er det teiteste jeg har hørt noensinne.

 

Skal jeg fortelle dere hva galt leverandøren har gjort?

 

Leverandøren har uten å informere kunden, gått inn og administrert siden, slettet brukerkontoer og arbeid slik det passet dem, og så endret passord på adminpanelet. Nok en gang uten å informere brukeren. Hvis dere ikke klarer å se at dette er galt kan dere stappe det opp i ræva isteden.

 

Når jeg prøver å drive avis på nettet, kan jeg ikke gjøre så hvis webhotellet tar seg frihet når de ønsker til å slette det jeg skriver. Tenk hvis dette hadde skjedd med VG Nett for eksempel, at webhotellet bare sletta én uke med nyheter som brukere har orientert seg etter. Og så sitter dere gniere her og sier at en sånn atferd er riktig.

Endret 7. januar 2010 av Ramius

[Dr3as]

Jeg har hatt haugevis av virusprogrammer inne, som liksom skal beskytte datamaskinen, men når det kommer en ny trojan på markedet så står de bare å ser på alle sammen. Derfor har jeg kuttet ut de plagsomme virusprogrammene. Disse har mistet all sin troverdighet, og jeg synes det er en klisjé at dere begynner å snakke om antivirus her.

 

Og skal jeg ha skyld fordi jeg lager en snarvei til ftp-mappa mi? Nå får dere faen meg gi dere. Det er det teiteste jeg har hørt noensinne.

 

Skal jeg fortelle dere hva galt leverandøren har gjort?

 

Leverandøren har uten å informere kunden, gått inn og administrert siden, slettet brukerkontoer og arbeid slik det passet dem, og så endret passord på adminpanelet. Nok en gang uten å informere brukeren. Hvis dere ikke klarer å se at dette er galt kan dere stappe det opp i ræva isteden.

 

Når jeg prøver å drive avis på nettet, kan jeg ikke gjøre så hvis webhotellet tar seg frihet når de ønsker til å slette det jeg skriver. Tenk hvis dette hadde skjedd med VG Nett for eksempel, at webhotellet bare sletta én uke med nyheter som brukere har orientert seg etter. Og så sitter dere gniere her og sier at en sånn atferd er riktig.

Jeg skjønner at du er irritert, men hvilken avtale har du med webhotellet angående backup?

Om de ikke tar ofte nok backup etter dine ønsker så ta det selv, så har du litt mer sikkerhet der.

 

Og sider som vg og lignende kjører stort sett egne servere og kan styre alt selv.

 

Og når du skriver at du ikke har antivirus? Da er du selvforskyldt 100%

[nomore]

Tror du bør se nærmere på avtalen du har inngått med leverandøren før du begynner å rakke ned på hva de har lov og ikke lov til å gjøre. Leverandøren har faktisk et ansvar ovenfor de andre kundene sine også, ikke bare deg.

 

Og om du sitter der uten antivirus så har du kun deg selv å takke. Og siden du har en kobling til webhotellet uten å ha tilstrekkelig beskyttelse av maskinen så skal du være glad de i det hele tatt fortsatt vil ha deg som kunde. Hadde du vært min kunde hadde eg ikke nølt med å stoppe tilgangen din til du hadde endret holdning. Uaktsomt er det.

[Keiseren av Grønland]

Tror du bør se nærmere på avtalen du har inngått med leverandøren før du begynner å rakke ned på hva de har lov og ikke lov til å gjøre. Leverandøren har faktisk et ansvar ovenfor de andre kundene sine også, ikke bare deg.

 

Og om du sitter der uten antivirus så har du kun deg selv å takke. Og siden du har en kobling til webhotellet uten å ha tilstrekkelig beskyttelse av maskinen så skal du være glad de i det hele tatt fortsatt vil ha deg som kunde. Hadde du vært min kunde hadde eg ikke nølt med å stoppe tilgangen din til du hadde endret holdning. Uaktsomt er det.

 

Du eller webhotellet har ikke lov til å kreve at min private datamaskin skal være konfigurert på noen som helst måte.

 

Dersom du hadde krevd av en kunde at de skal ha et spesielt virusprogram, så må du spandere dette på dem.

 

Jeg er ganske flink til å holde maskinen fri for virus, og bruker heller de små programmene som Combofix, Hijackthis, Malwarebytes og Smithrem til å fjerne de nyeste trojanene. Og jeg har flere ganger hatt trojaner inne, uten at de har spredd seg til FTP serveren. Ellers har jeg ganske forsvarlig bruk av internett.

 

Jeg kan jo like så godt klandre webhotellet - slik dere klandrer meg, om at de ikke har antivirusbeskyttelse på serveren sin, som hindrer at trojanen infiserer nettsiden min.

 

Jeg kan ikke noe for at noen har klart å lage en trojan som sprer seg til ftp-mapper. Det har jeg aldri vært borti før.

[nomore]

Eg(vi) stiller som krav at kunden bruker tilgangen til våre servere på en forsvarlig og sikker måte. Å lage en FTP tilkobling hvor brukernavn/passord er lagret med direkte tilgang til serveren er ikke trygt eller forsvarlig. Å samtidig ikke ha antivirus på samme maskin gjør det hele uforsvarlig.

 

Og jo, vi kan teknisk sett sette de kravene vi vil for at kunden skal benytte vår tjeneste. Ellers kan de jo finne seg en annen leverandør(med lavere standarder).

Endret 7. januar 2010 av nomore