Noen som kan tyde denne Live http headers meldingen? (Badware)

[Ståle]

Google sier at mitt nettsted inneholder badware, og dette blir besøkende pinlig mint på hver gang de skal inn på siden og når siden dukker opp i søkemotorene.

Jeg har selvsakt ikke selv lagt ut badware på siden, så jeg skjønteikke så mye. Jeg tok en titt på kildekoden og source filene mine, og fant ingen ting.

Jeg lastet sidene på nytt og på nytt, og plutselig så jeg at firefox lastet ett eller annet fra et sted som jeg ikke kjente igjen. Jeg fyrte så opp live http header i firefox, og fant blandt annet dette:

(OBS! Anbefales ikke å besøke linkene!)

http://87.248.180.88/in.html?s=hg_err

GET /in.html?s=hg_err HTTP/1.1
Host: 87.248.180.88
User-Agent: Mozilla/5.0 (Windows; U; Windows NT 6.0; nb-NO; rv:1.9.0.1) Gecko/2008070208 Firefox/3.0.1
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: nb,no;q=0.8,nn;q=0.6,en-us;q=0.4,en;q=0.2
Accept-Encoding: gzip,deflate
Accept-Charset: ISO-8859-1,utf-8;q=0.7,*;q=0.7
Keep-Alive: 300
Connection: keep-alive
Referer: http://www.mittnettstedadresse.com
Cookie: visited=12

HTTP/1.x 302 Found
Date: Mon, 04 Aug 2008 16:33:20 GMT
Server: Apache/1.3.39 (Unix) PHP/5.2.5 with Suhosin-Patch
X-Powered-By: PHP/5.2.5
Set-Cookie: visited=13
[B]Location: [url=http://scan.power-antivirus-2009.com/?aff=1050]Power Antivirus 2009[/url][/B]
Connection: close
Transfer-Encoding: chunked
Content-Type: text/html

http://scan.power-antivirus-2009.com/?aff=1050

GET [B]/?aff=1050[/B] HTTP/1.1
Host: scan.power-antivirus-2009.com
User-Agent: Mozilla/5.0 (Windows; U; Windows NT 6.0; nb-NO; rv:1.9.0.1) Gecko/2008070208 Firefox/3.0.1
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: nb,no;q=0.8,nn;q=0.6,en-us;q=0.4,en;q=0.2
Accept-Encoding: gzip,deflate
Accept-Charset: ISO-8859-1,utf-8;q=0.7,*;q=0.7
Keep-Alive: 300
Connection: keep-alive
Referer: http://www.mittnettstedadresse.com/
Cookie: s42x=1217867390; A1096=%2C35; ptrarz1029dl_=1; ptrarz1029dl_1050=1

HTTP/1.x 200 OK
Server: nginx/0.6.31
Date: Mon, 04 Aug 2008 16:29:53 GMT
Content-Type: text/html
Transfer-Encoding: chunked
Connection: keep-alive
Set-Cookie: s42x=1217867424; expires=Tue, 05-Aug-2008 16:29:54 GMT; path=/
Set-Cookie: ptrarz1029dl_1050=1; expires=Mon, 04-Aug-2008 15:29:54 GMT; path=/
Set-Cookie: ptrarz1029dl_1050=1; expires=Tue, 05-Aug-2008 16:29:54 GMT; path=/
Content-Encoding: gzip

Noen som får noe fino ut fra dette? Ser jo ut som det settes en eller annen form for kake, og at det benyttes en aff url.

 

[picxx]

Power antivirus 2009 er en fake antivirus sak, som egentlig er en trojaner.
Hørte om den senest i går, og det ser ut som disse idiotene angriper serveren, for å hijacke 404 sider.
Ta kontakt med hosten din og fortelle dem om problemet.
Dette er mest sannsnynlig ikke noe serverside.

 

[vidarlo]

Dette er mest sannsnynlig ikke noe serverside.

Når google rapporterer om det er det mest sannsynlig serverside jo.

Søk igjennom alle filene etter t.d in.html som er en redirector. grep -ri in.html * i rota på websida di bør finne alle filer som inneheld den stringen. Om du finn den tar du ein nærare kik på den. I tillegg kan du jo greppe etter andre stringer som 2009 e.l.

 

[picxx]

Når google rapporterer om det er det mest sannsynlig serverside jo.

Ja, ok, skal ikke nekte på det jeg. Jeg er ikke noe særlig sterk på akkurat dette, men jeg leste om en som hadde det samme problemet på et annet forum i går, og han måtte få hosten til å fikse dette. Det var ikke noe i filene på siden, men noen som hadde 'hijacket' alle 404 sidene hos hosten, og om man da bruker default 404 side vil man jo da få dette svineriet på sin side, selv om det ikke er skjedd noe med filene på ditt nettsted.

 

[Ståle]

Takk for svar folkens.

Jeg innstalerte en nytt script på den samme serveren og det virker som samme badware dukket opp der.

Regner med det er en indikasjon at det ligger på serveren.

Har sendt av gårde en mail til support.

(Litt frustrasjon; skjønner virkelig ikke det som bedriver slikt dritt!)

 

[Ståle]

Her er svaret fra hosten:

It's because someone from 87.248.180.88 hacked the account and placed the malicious code on the account. I've removed this from the account and blocked the IP from the server.

Info om den ip'en:

IP Address Country Region City Latitude/
Longitude ZIP Code Time Zone
87.248.180.88 MOLDOVA, REPUBLIC OF CHISINAU CHISINAU 47.005
28.858 - +02:00
Net Speed ISP Domain
DSL SC STARNET SRL 87-248-191-10.STARNET.MD

Så vidt jeg kan se så er det borte.

 

[Msites Ltd]

.....og siden din levde lykkelig i alle sine dager! THE END!