De laatste tijd zie ik hier op SiteDeals helaas steeds meer mensen die geïnfecteerde code op hun website hebben draaien. Omdat ik vermoed dat deze malware zichzelf kan verspreiden en er op sitedeals nogal wat mensen zijn die ftp informatie op hun computer hebben staan, heb ik hier een topic geopend waar ik jullie zal helpen om je site clean te krijgen / clean te houden.

Analyse van de malware
De malware is afkomstig uit Rusland. Wanneer het geïnstalleerd is (door middel van een exploit in JAVA of een andere manier) zal de malware gaan zoeken naar website bestanden op uw computer. Hoe dit precies in zijn werk gaat ben ik nog niet achter, hier komt misschien binnenkort meer informatie over. Vervolgens voegt de malware onderaan uw webpagina een stukje javascript toe. Dit is veelal voor het mens onleesbare code, maar een browser zal, wanneer het op de geïnfecteerde site komt, het decoderen en uitvoeren. Er wordt dan een connectie gemaakt met een Russische website (extentie veelal .ru). Hieronder staat een lijst van websites die ik ben tegengekomen en die malware verspreiden (deze lijst zal ik up-to-date houden):
- lunchscone.ru
- passportblues.ru

Controleer uw webpagina's
U kunt duidelijk zien dat uw pagina's geïnfecteerd zijn. Als u de paginabron opvraagt van uw indexpagina dan ziet u helemaal onderaan (na de </html>) iets in de vorm van de volgende code:

Code:

<script>...</script>

Deze code is toegevoegd op uw website door het virus dat aanwezig is (geweest) op uw computer. Je weet zeker dat dit geïnfecteerde code is, en niet code die bij de website hoort, omdat het na de </html> tag komt en er geen 'language' attribuut is gedefinieerd in de <script> tag.

Wat te doen
1. Download Avast! antivirus (om een discussie te voorkomen moet u maar van mij aannemen dat dit de beste gratis antivirussoftware is. Mochten mensen de reden willen weten (serieus) dan kunnen ze een PM sturen. Dit puur om topic vervuiling tegen te gaan)
2. Nadat u dit pakket gedownload heeft, moet u deze installeren. De-installeer alle andere virusscanners.
3. Omdat het zeer waarschijnlijk is dat delen van windows geïnfecteerd zijn, moet u een startup scan plannen. Dit is een computer scan die wordt gedaan VOORDAT windows wordt geladen. Deze kunt u plannen door op het Avast icoontje met rechtermuisknop te klikken > 'Start Avast Antivirus' > menu > 'Plan opstart scan'.
4. Herstart uw computer. (indien stap 3 niet beschikbaar is vanwege OS incompatibiliteit, dan kunt u met Avast gewoon een volledige scan draaien)
5. Nadat de (opstart)scan compleet is, is uw computer schoon
6. U opent nu de (html) documenten van uw website met kladblok, en controleert of u de geïnfecteerde code ergens vind. Zo ja, dan verwijderd u deze. Vervolgens upload u de 'veilige' versie van uw site via FileZilla.
7. Mocht uw computer verbonden zijn in een intern (Microsoft) netwerk, dan raad ik u aan om op alle andere computers dezelfde procedure te doorlopen.

Opletten
Omdat ik nog niet helemaal helder heb hoe deze malware te werk gaat ben ik er niet zeker van of het componenten van FileZilla aantast. Het is dus aan te raden dat u uw versie van Filezilla (of een ander FTP upload programma) update en opnieuw installeert alvorens u weer begint met het uploaden van uw websites.
!!! Ook is het niet ondenkbaar dat, wanneer u geïnfecteerd bent geweest met de malware, uw ftp login gegevens verzonden zijn naar een externe (Russische) server. Verander daarom uw FTP login informatie in bijvoorbeeld DirectAdmin of Cpanel, nadat uw computer schoon is. Mocht uw FTP login informatie hetzelfde zijn als de login van uw controlepaneel, dan dient u deze ook te veranderen !!!

Voorkomen
Voorkomen is beter dan genezen. U kunt het volgende doen om te voorkomen dat de malware schade kan aanrichten.
1. Installeer Avast! Antivirus
2. plan regelmatig (om de maand) een volledige opstart scan
3. Verander uw wachtwoorden regelmatig
4. Laat FTP programma's uw wachtwoord niet onthouden
5. Neem de moeite om updates van JAVA, ADOBE, MICROSOFT en uw FTP programma te installeren*
6. Draai Windows update regelmatig.
*Veel mensen klikken updates van Java en Adobe vaak weg, of hebben deze uitstaan. Omdat de producten van adobe (flash, pdf, etc) veel worden gebruikt in web omgevingen (en JAVA ook) wordt hier de meeste malware voor gemaakt. Het is dus van belang dat u deze updates uitvoert.

Meer hulp?
Vraag het hier in dit topic.

Bedankt! Heb er zelf geen last van, maar weet zeker dat dit een aantal mensen zal helpen.

Goed geschreven stukje, mijn complimenten..

Hier nog wat extra informatie over FTP misbruik.
Aanvullend bericht:

Origineel gepost door Steven Verkuil

(om een discussie te voorkomen moet u maar van mij aannemen dat dit de beste gratis antivirussoftware is.)

Ook hierin kan ik je ondersteunen, na enkele tests hebben wij dezelfde overduidelijke conclusie getrokken!

Bedankt want ik heb die malware op mijn website en ik heb nog een tip.
Het virus kan goed overweg met filezilla, dus u kunt beter een nieuw ftp programma nemen en u moet u wachtwoord veranderen en zorgen dat het ftp programma de wachtwoorden niet onthoud.

Een nieuw ftp programma dat ook erg goed is heet : Core FTP het lijkt een beetje op filezilla en werkt perfect!

Het virus kan goed overweg met filezilla

Bedankt voor deze informatie. Een ander FTP programma is een mogelijkheid, maar sommigen willen hier niet aan. Zorg er daarom voor dat u een degelijke virusscanner heeft (Avast) en houd FileZilla up to date :)

Verder zijn de ftp login gegevens waarschijnlijk door het virus verstuurd naar een externe server, verander de login gegevens dus!

Hoi Steven,
Bij mij zaten de scripts niet alleen in de html bestanden.
je vind ze in alle bestanden waar index in de bestaandsnaam staat, of default.
Ook vind je ze in bijna alle .js bestanden.

Ik heb de scripts makkelijk kunnen terugvinden en replacen met globalfind

Dat virus kan zich zeker niet in mijn Mac nestelen?
Ik heb er Filezilla op draaien.

nee het virus, is als zo vele virussen, alleen 'geschikt' voor windows.
Uw Mac zal de schadelijke code wel uitvoeren (het javascript gedeelte dan), maar er zal niets geinstalleerd worden of aangepast worden op uw systeem. mac gebruikers zijn, voor zover ik kan analyseren, veilig.