Virus i html kode på min hjemmeside!?

Hej,

Har du kontrolleret at der ikke eventuelt er noget javascript som bliver kaldt ?

kig i js filer du linker til ... måske der kører en load funktion.

og bruger du php/asp eller andre ting ?

Der må også være en fil som henviser til de andre sider.

Du har et kæmpeproblem, det samme har din host.
Du er nødt til at gøre dem opmærksomme på problemet, samtlige sider skal tjekkes, af samtlige ejere der har deres ting liggende på serveren.

Det der er i spil her er Virut, det er en af de mest ondskabsfulde infektioner i øjeblikket, her taler vi massive tab af data og ubrugelige maskiner, hvis folk kokmmer ind på de sider uden ordentlige parader oppe, læs mere her:
http://www.spywarefri.dk/artikel/ramt-af-virut/

Wow! Noget møg - den får jeg lige tjekket godt og grundigt efter om er der.

Men ang. linket på min hjemmeside, kan jeg fjerne det på en måde? Jeg ved at jeg har et JS til at detecte folks skærmopløsning hvorefter den sender den besøgende til enten 800 x 600, 1024 x 768 eller 1280 x 1024.htm

Det ser således ud:

<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01 Frameset//EN" "http://www.w3.org/TR/html4/frameset.dtd">
<html>
<head>
<script language="JavaScript1.2">
<!--

/*
Screen Size Redirect script (By Robert @ http://members.tripod.com/technological_tinker/)
Submitted to Dynamicdrive.com to feature script in archive
For full source, usage terms, and 100's more DHTML scripts, visit http://dynamicdrive.com
*/

if (screen.width==640||screen.height==480) //if 800x600
window.location.replace("index800.htm")

if (screen.width==800||screen.height==600) //if 800x600
window.location.replace("index800.htm")

else if (screen.width==1024||screen.height==768) //if 640x480
window.location.replace("index1024.htm")

else if (screen.width==1280||screen.height==1024) //if 1024x768
window.location.replace("index1280.htm")

else //if all else
window.location.replace("index1280.htm")

//-->
</script>
<meta http-equiv="Content-Type" content="text/html; charset=iso-8859-1"><style type="text/css">
<!--
body,td,th {
    color: #8297C1;
}
body {
    background-color: #333333;
}
-->
</style></head>
<noframes><body>
</body></noframes>
</html>

Hvordan du tjekker samtlige sider, og om det kan gøres nemt, ved jeg ikke, der må du prøve at smutte over i programmeringskategorien (html osv.) og se om du kan fange en af hajerne.

1)  Du skal have fjernet det stads.

Har du en kopi af din web app hos dig selv ?

Ja => upload

Nej => hent din app og ret med et apssende tool og upload

2)  Du skal sikre dig at det ikke komemr igen.

Er alle kunder paa det paagaeldende web hotel ramt ?

Ja => saa er det nok et hul i server opsaetningen => ring til dem og bed dem stramme op paa sikkerheden

Nej => saa er det nok et hul i din web app => du skal fixe det

Hvis det er en customized standard web app, saa proev og opdater til nyeste version.

Hvis det er en egen udviklet app, saa proev og start med at lede efter:
* manglende check paa brugernavn/gruppe/rettigheder ved opdaterings funktionalitet
* mulighed for SQL injection

Jeg har skrevet til supporten hos mit webhotel:

"Tak for din henvendelse.

Din side er formentlig blevet hacket. Kontroller din kode for sikkerhedshuller, fjern det indsatte javascript og ændre din adgangskode."
siger de.


arne_v:
1)
Jeg har en kopi af min hjemmeside med html og alt på disken men det gør ingen forskel når jeg overskriver de eksisterende filer, linket tilføjes igen.

2)
Det ser ikke ud til at det er noget de har hørt klager om før.

Når du siger web app hvad mener du så? Taler du bare om min hjemmeside og dens html sider?
SQL injection er det måske hvis jeg har givet rettigheder et sted til at andre kan write i mine filer? Altså det der 777 osv

Bruger din side noget JavaScript som ligger på en ekstern server?

Nej - SQL injection er noget andet. Se:
  http://en.wikipedia.org/wiki/Sql_injection

Hey alle! Jeg har stadig ikke fået løst problemet, folk rapporterer at deres scanner melder om infektionen ved navn "HTML:Illiframe-B [Trj]", jeg har læst at det muligvis er et script et sted på ftp'en men jeg har endnu ikke fundet nogen som rapporterer at have løst det.