Ford Probe Club Nederland

Een virusmelding heb ik nog niet gehad!

Maar moet me wel iedere keer opnieuw aanmelden, vind ik raar!!!!

Dré, het je steeds opnieuw moeten aanmelden is verholpen...

Quickreply heb ik gedeactiveerd omdat deze niet werkte... Ik zal het onderzoeken of eventueel een nieuwe inbakken... tot dan kun je gebruik maken van de normale 'antwoord' of 'reply' button om te posten...

Vanmiddag tijdens het laden van het forum wederom een 4us melding.
Trojaans paardje, connectie afbreken.
Ben vergeten om een print screen te maken.
Iets van googleanalytics. js dus javascript bestandje...

Google analystics.... Hmm, ik heb ooit wel een javascriptje gehad om onze statistieken bij google bij te houden, maar die word niet meer gebruikt aangezien ik het complete forum opnieuw opgebouwd heb inclusief de template...

Ik heb nog wel het .js bestandje in gebruik voor de lightbox... Maar die maakt (voor zover mijn Java kennis reikt) geen verbindingen met bronnen buiten het forum...

Vage shit...

Ik begin een beetje te twijfelen of het wel aan de bestanden op de server ligt... Ik heb een compleet nieuwe installatie gemaakt met schone bestanden, ik heb het wachtwoord van mijn ftp account veranderd en heb SSH uit gezet...

Oftewel.... Ik snap het niet meer...

Hehhe,

Het is misschien een Probe specifiek (Mexicaans) virius?

Bij mij gaat het tot nu toe ok! Latop nog eens dubbel gechecked met Spyboth Search and Destroy maar hij is/was helemaal clean.

Dus ik zou nog even wachten tot er nog meer nieuwe meldingen komen!

Greetz,

Wim

Vandaag 2x, tijdens inloggen en plaatsen bericht.

Ja, gister probeerde ik op de Probe pagina te komen maar er gingen ook hier allerlei toeters en bellen aan.
Ik gebruik Norman.
Typisch genoeg had ik een uur later opeens geen probleem meer... Lekker vaag allemaal...

ik kreeg net iets van scan4mini... threat detected! woohoo... daarna niet meer...

Als ik die screenshots van Paul zie, gaat het dus helemaal neit om een bestand van de ProbeClub website.
"iets" probeert blijkbaar verbinding te maken met de phishing site "googleanalitlcs.net"

Ik had hem weer 2 keer met het laten van het board zelf:

detected: Trojan program Trojan-Downloader.JS.Psyme.wn Script: http://phpbb3.probeclub.nl/[3]


Wel op een andere laptop, maar de laatte dagen ging het verder goed. Daarna laadt ie wel weer goed dus zou nog door de cache kunnen komen.

Zal deze ook even opschonen.

Greetz,

Wim

Dat klopt dus al niet want http://phpbb3.probeclub.nl is niet meer in gebruikt... Ons forum staat nu onder http://forum.probeclub.nl ...

Het word steeds vager... Het is dat er screenshots gepost zijn, anders zou ik denken dat jullie me voor het zooitje houden

Dat "iets" Ed is toch wel degelijk een bestandje die niet aan R gevraagd heeft om zich vrolijk in zijn directory op de server te nestelen...

Is gewoon een stukje malware bijna rootkitachtig en om die te detecteren moet je alle mappen en onderliggende mappen nalopen op vreemde namen en kijken wie de eigenaar is.
Meestal is de eigenaar "apache" en dat is wel slim.

Als je dan zo'n bestand of setje van bestanden vindt en je probeert ze te verwijderen via je FTP prog dan zul je zien dat dat in 9 van de 10 gevallen niet lukt want jij bent niet de eigenaar.

CHMOD lukt ook niet om jezelf toch de benodigde rechten te geven...

Dit soort geouwehoer vindt heel veel plaats bij Joomla installaties, simpel omdat het veel gebruikt wordt.
PHPBB ook en zal ook wel door die aanvallen geplaagd worden.

btw. is ook een beetje schuld van de webhosters, sommige zijn heel laconiek met de security.

Dat de éne geen meldingen heeft en de andere weer wel kan ook verschillende redenen hebben.
Virusscanner herkent hem niet, oude database, spyware has taken over, hosts file is aangepast.

Maar wat wel vreemd is dat R recent een nieuwe schone installatie heeft gemaakt en dat het weer zo snel aan de orde is...

Ik ben alle bestanden die aan de orde zijn waarbij jullie de meldingen kregen nageplozen samen met de bestanden die door hun geinclude worden... Maar niets van de source verteld mij waar en wanneer er een js aangeroepen word (buiten ons iegen js bestanden)... Ik vraag me af of het uberhaubt wel aan ons ligt, misschien ligt het ergens aan een dns die de aanvragen verkeerd forward ofzo...

DNS exploit...could be
Zou gewoon morgen het probleem neerleggen bij de hoster, screenshots erbij en vragen of ze het willen uitzoeken en fixen of course.

ik heb nergens last van