Op een aantal websites zit ik met een vreemde malware melding.

Punt is dat ik via de ftp geen bestanden tegenkom die de laatste weken gewijzigd zijn. Websites staan ook op verschillende servers.

Nu draai ik op die websites een banner rotator en een website waar ik advertentieruimte huur (en waar dus een stukje code van mij op staat) heeft dezelfde melding.

Alles ziet er dus naar uit dat het probleem in één van de banners zit. Nu weet ik natuurlijk welke banners waar draaien, dit zijn bijna allemaal eigen banners die naar eigen websites verwijzen, een aantal zijn van gerenomeerde contentproviders (vps/sdc etc).

Nu kom ik er niet echt aan uit omdat voor zover ik kan zien er nergens code geinfecteerd is. Er zijn wel verwijzingen dat het naar één site te herleiden is maar ook daar vind ik geen vreemde zaken.

Iemand die dit herkent ?

Betreft oa www.afspraakjes4u.be (hiervan heb ik ook een google melding ontvangen)
Aanvullend bericht:
De malware melding krijg ik via Chrome. Als ik via Firefox surf dan krijg ik niets te zien, is dat normaal?

Ik krijg in FF ook meldingen. Waarschijnlijk weet FF dat je oke zegt in Chrome?

Maar ik denk toch echt dat je een virus hebt gehad wat je FTP gegevens (snel inloggen) heeft gestolen en dat daardoor nu gekke codes op je website staan. En de wijzigingsdatum kan je vast ook wel op 1 of andere manier wijzigen dus ik zou even een backup eroverheen gooien. Zowel kwa bestanden als databases.

Ik heb hem gevonden. Je hebt onder "advertentie" dit staan:

<iframeid='a8c45764' name='a8c45764' src='http://www.mkbads.net/www/delivery/afr.php?zoneid=78&amp;source=afspraakjes4u.be&amp; target=_blank' framespacing='0' frameborder='no' scrolling='no' width='160' height='600'><ahref='http://www.mkbads.net/www/delivery/ck.php?n=ababb0d5' target='_blank'><imgsrc='http://www.mkbads.net/www/delivery/avw.php?zoneid=78&amp;source=afspraakjes4u.be&amp; n=ababb0d5' border='0' alt='' /></a></iframe>

Google ziet dat als een verspreider van malware. Dat is die grote blauwe advertentie op de voorpagina.

Als het een ftp probleem zou zijn dan hadden andere sites er ook last van.

Het zijn alleen adult sites waar een beperkt aantal banners op draaien via mijn banner script. Andere niet adult sites via het zelfde banner script hebben er geen last van. Ook een site waar ik ruimte huur en dus banners plaats via dat script heeft er last van.

Het zit dus ergens in één van de banners en dat bevreemd mij zeer.

Kan een virus in een .jpg bestand zitten ? Of kan het via een tiny link gaan ?

Onlangs had iphoneclub.nl er ook last van.
Die hebben dit stukje er over geschreven. Misschien helpt het, misschien niet.

http://www.iphoneclub.nl/82426/foutm...site-opgelost/

Origineel gepost door Michael vv

Ik heb hem gevonden. Je hebt onder "advertentie" dit staan:




Google ziet dat als een verspreider van malware. Dat is die grote blauwe advertentie op de voorpagina.

Dat is de code van mijn bannerscript ( openX )..... als Google dat als malware ziet hebben een groot aantal mensen een probleem vrees ik.

Het gaat om de url die er in staat. De url/website zelf wordt aangemerkt als verspreider van malware, niet het script.

http://www.mkbads.net/www/delivery/a...akjes4u.be&amp

Het lijkt erop dat www.mkbads.net in de afgelopen 90 dagen heeft gefunctioneerd als tussenschakel voor de infectie van 4 site(s), waaronder e-roticum.be, afspraakjes4u.be, gratissexdate.net.

De site heeft weer een koppeling met kfppm.com

Deze site heeft in de afgelopen 90 dagen schadelijke software gehost. Deze software heeft 449 domein(en) geïnfecteerd, waaronder mygnet.net, ksiazka-kucharska.pl, tempointeraktif.com.

Uiteindelijk kom je uit op de server:

Of the 226 site(s) we tested on this network over the past 90 days, 9 site(s), including, for example, 77.78.239.0, notdetect.ru, amazingsupersocial.com, served content that resulted in malicious software being downloaded and installed without user consent. The last time Google tested a site on this network was on 2010-09-09, and the last time suspicious content was found was on 2010-09-09.

Yes, this network has hosted sites that have distributed malicious software in the past 90 days. We found 135 site(s), including, for example, google-server43.info, 77.78.239.0, 77.78.249.0, that infected 7937 other site(s), including, for example, divxturka.net, youtring.com, timaster.com.br.

Er zijn dus genoeg webmasters die problemen krijgen of hebben terwijl ze het niet weten.

Origineel gepost door Michael vv

Het gaat om de url die er in staat. De url/website zelf wordt aangemerkt als verspreider van malware, niet het script.

http://www.mkbads.net/www/delivery/a...akjes4u.be&amp

Het lijkt erop dat www.mkbads.net in de afgelopen 90 dagen heeft gefunctioneerd als tussenschakel voor de infectie van 4 site(s), waaronder e-roticum.be/, afspraakjes4u.be/, gratissexdate.net/.

mkbads.net is het domein waar mijn openX script op staat.

Maar ik de info van Dennis is wel iets waar ik mee kan aangezien hun een probleem met hetzelfde script hadden. ik ga nu in de database kijken wat ik kan vinden.
Aanvullend bericht:

Origineel gepost door Dennis Cohn

Onlangs had iphoneclub.nl er ook last van.
Die hebben dit stukje er over geschreven. Misschien helpt het, misschien niet.

http://www.iphoneclub.nl/82426/foutm...site-opgelost/

Ja, heb het gevonden. Inderdaad een sql injectie (of hoe dat dan ook heet)

Hoe kan ik dit oplossen cq voorkomen ?

De Iphoneclub had er last van, wat zij zeggen is dat ze - denken - dat het een sql injectie was en daarom hebben ze maar wat onderdelen van de website afgesloten. Lekkere oplossing.

Zoals je merkt hebben zij ook OpenX. OpenX is een Ad-server.
Ideaal voor mensen die malware willen verspreiden.

Meestal wordt er een script/plugin meegestuurd in de advertentie die
je niet kan zien doordat er gebruik wordt gemaakt van een 0x0 of 1x1 px iframe.

Verwijder de broncode of script wat ik aangaf. Inclusief de banner database.
Update naar de nieuwste versie en zet alles weer opnieuw online.
Het is bekend dat OpenX problemen had met malware.

Misschien wil je niet alles verwijderen, dan zou ik naar Inventory -> Banners (kies)-> Advanced gaan en dan staat daar "Append en Prepend settings". Bij 1 van de banner zou dan een code moeten staan, zoals /tds/in.cgi?default etc. De gehele code verwijderen en opslaan. Hiermee zou het opgelost moeten zijn.

Wacht tot Google langs komt en dan wordt je malware-melding er pas afgehaald.

Ik heb het probleem gevonden in de database. Er is een stukje javascript toegevoegd aan elke banner. (er zit een optie in dat je een stukje html kan toevoegen bij elke banner, hier hebben ze dus dat script geplaatst).

Nu ben ik deze records aan het wissen.

Ik ga zo wel even op het openx forum kijken of er daar iets bekend is en wat de oplossing kan zijn.

Zei ik toch, door de stappen te volgen die ik zei kun je het oplossen.
Maar wel alles updaten, want anders is het zo weer terug.