Malware - website viderestilles problem

[bambinovich]

Hej
Efter overvejelser har jeg valgt at poste her i Off-topic da jeg ikke mener mit problem er et Ubuntu problem.

Siden igår har jeg haft det problem at når jeg besøger en bestemt hjemmeside så sendes jeg videre til en anden hjemmeside.

Mit spørgsmål til jer er om nogen kan sige mig om jeg skal lede efter problemet på mine computere, hjemmesidens server eller et andet sted.

Jeg skriver hjemmeside adressen i browseren men bliver sendt videre til en anden side.(nogle gange flere sider)
Det opstod igår efter jeg havde uploaded et billede som jeg nu måske ka ha en mistanke til
Jeg har oplevet det fra min ubuntu hjemme og windows på arbejdet, begge vha firefox

Det mistænkte billede prøvede jeg at åbne på windows dog uden at det kunne åbnes og jeg åbnede det så senere på ubuntu og lagde det på hjemmesidens server.


Er der nogen der udfra dette ved hva problemet kan være eller måske kan pege mig i en eller anden retning?

Jeg håber og takker
Hilsen Martin

[lath]

Hej
Efter overvejelser har jeg valgt at poste her i Off-topic da jeg ikke mener mit problem er et Ubuntu problem.

Siden igår har jeg haft det problem at når jeg besøger en bestemt hjemmeside så sendes jeg videre til en anden hjemmeside.

Mit spørgsmål til jer er om nogen kan sige mig om jeg skal lede efter problemet på mine computere, hjemmesidens server eller et andet sted.

Jeg skriver hjemmeside adressen i browseren men bliver sendt videre til en anden side.(nogle gange flere sider)
Det opstod igår efter jeg havde uploaded et billede som jeg nu måske ka ha en mistanke til
Jeg har oplevet det fra min ubuntu hjemme og windows på arbejdet, begge vha firefox

Det mistænkte billede prøvede jeg at åbne på windows dog uden at det kunne åbnes og jeg åbnede det så senere på ubuntu og lagde det på hjemmesidens server.


Er der nogen der udfra dette ved hva problemet kan være eller måske kan pege mig i en eller anden retning?

Jeg håber og takker
Hilsen Martin

Det er svært at sige om hvor problemet opstår uden at have det link du forsøger at bruge, så:

• Hvad er linket du prøver at bruge?
• Hvilke sider er det du lander på?
• Du må godt vedhæfte et billede (screen shot) af resultatet.
  I både Ubuntu og Windows kan du trykke på knappen hvor der står "Print Screen", i Windows kan du så åbne Paint (det simple tegne program), og trykke på: Rediger > Indsæt (CTRL+v), og til sidst gemme billedet i en ny fil.

Jeg kan analysere om problemet ligger i den HTML som modtages fra web sitet.
Jeg vil bruge wget / curl til at downloade HTML dokumentet på en måde, så den ikke straks bliver videresendt.

Hvis problemet ikke er det du modtager fra web sitetes webserver, så kan problemet kun være browseren, eller et styresystem der er malware inficeret.

En malware infektion er sandsynligt for Windows maskiner, og meget sandsynligt for Windows XP, der lige nu har nogle ikke-patchede sikkerhedshuller, som aldrig vil blive lappet jvf. Microsofts EOL (End-Of-Life) erklæring for Windows XP.

/Lars

[bambinovich]

Hej Lars
Tak for svar.

Jeg forsøger at besøge http://www.fonzy.dk
men bliver sendt videre til
http://ww1.rtcode.com/?fp=A3mqk8KfxfPEEHxHKgtiFRvQcJF%2FobPvX3%2Bo8AD4RHQaTplH%2BduvFQB4ggEZ3xUqHzRHprS6dXWHJvpW23VDIw%3D%3D&prvtof=%2B5knGbVYmOdz335zQJXJ3ahcBXurTV6G0dye89zToC2o16J6M7cbcnmMRy%2FaLjFp&poru=LHuHO3gOkONL7x5XKg7Z4tl7%2Fnl6SziifY1J%2FVaSvnhtes57gEV38mdAdyJI5H8z6rRw6TmzUGQoKAS4%2FebgcdK6fVvwzNv9IpabIf6Sx0jdnBaONYUJJV4c9m4g1gZjRZOLEbjS9NgyFxX2YvhZEA%3D%3D&cifr=1&bkt=10176&kwrf=http%3A%2F%2Ffonzy.dk%2Fforside.html

[bambinovich]

Var det de info du spurgte efter eller skulle det være i screenshots?

Jeg kiggede lige hurtigt på wget men blev ikke meget klogere

[Ivan]

Der er et sript på forside.html der oprindeligt har lavet statistik, men det domæne der har stået for statistikken er nu til salg

Kode: Vælg alt

<!-- Begin RealTracker code --><script type="text/javascript"><!--
var id=12058543
var ua=navigator.userAgent;if(ua.indexOf('MSIE 3')>0){
document.write('<img src="http://11.rtcode.com/netpoll/ifree')
document.write('v3.asp?id='+id+'&js=1&to=-360&ref='
+escape(document.referrer)+'" />')}
// --></script><script type="text/javascript"
src="http://11.rtcode.com/netpoll/ifreev3i.asp?id=12058543$&to=-360">
</script><script type="text/javascript"><!--
if(ua.indexOf('MSIE ')>0)document.write('<!--')
// --></script><noscript><p><img
src="http://11.rtcode.com/netpoll/ifreev3.asp?id=12058543&to=-360"
alt="RealTracker" /></p></noscript>
<!-- End RealTracker code -->

Hvis du er hurtig og trykker på noget i menuen bliver du ikke sendt videre.

[lath]

Hej Lars
Tak for svar.

Jeg forsøger at besøge http://www.fonzy.dk
men bliver sendt videre til
http://ww1.rtcode.com/?fp=A3mqk8KfxfPEEHxHKgtiFRvQcJF%2FobPvX3%2Bo8AD4RHQaTplH%2BduvFQB4ggEZ3xUqHzRHprS6dXWHJvpW23VDIw%3D%3D&prvtof=%2B5knGbVYmOdz335zQJXJ3ahcBXurTV6G0dye89zToC2o16J6M7cbcnmMRy%2FaLjFp&poru=LHuHO3gOkONL7x5XKg7Z4tl7%2Fnl6SziifY1J%2FVaSvnhtes57gEV38mdAdyJI5H8z6rRw6TmzUGQoKAS4%2FebgcdK6fVvwzNv9IpabIf6Sx0jdnBaONYUJJV4c9m4g1gZjRZOLEbjS9NgyFxX2YvhZEA%3D%3D&cifr=1&bkt=10176&kwrf=http%3A%2F%2Ffonzy.dk%2Fforside.html

Den kommer fra: http://fonzy.dk/forside.html
det her stykke javascript:

Kode: Vælg alt

<!-- Begin RealTracker code --><script type="text/javascript"><!--
var id=12058543
var ua=navigator.userAgent;if(ua.indexOf('MSIE 3')>0){
document.write('<img src="http://11.rtcode.com/netpoll/ifree')
document.write('v3.asp?id='+id+'&js=1&to=-360&ref='
+escape(document.referrer)+'" />')}
// --></script><script type="text/javascript"
src="http://11.rtcode.com/netpoll/ifreev3i.asp?id=12058543$&to=-360">
</script><script type="text/javascript"><!--
if(ua.indexOf('MSIE ')>0)document.write('<!--')
// --></script><noscript><p><img
src="http://11.rtcode.com/netpoll/ifreev3.asp?id=12058543&to=-360"
alt="RealTracker" /></p></noscript>
<!-- End RealTracker code -->


Så det fonzy.dk har enten fået noget snavs ind på deres web side eller også så er det en snavs web side.
Browseren gør det som web siden beder den om at gøre, så den er som sådan ikke inficeret.

Du kan installere NoScript tilføjelsen (en browser add-on), som vil blokere javascript fra web sider du ikke udtrykkeligt har sagt den skal stole på.
Det kræver lidt "oplæring" i starten, og video på tv2.dk og andre nyhedsmedier bliver virker ikke med Noscript aktiveret, så på de sider kan de fortælle NoScript tilføjelsen at den skal være deaktiveret - dvs. tillade alt Javascript for det web site.

/Lars

Edit: Nå Ivan var lidt hurtigere end mig

[Ivan]

Jeg har sendt en fejlmelding pr email til Martin som har fonzy.dk

[bambinovich]

Tak til jer begge.
ja det er jo min side men det mente jeg ikke var relevant da jeg troede problemet lå et andet sted.

pinligt pinligt at det er noget jeg selv engang har copieret derind, men jeg er glad for i var der til at gennemskue det
Jeg prøver at fjerne det og mon ikke det så kører igen.

Men det stykke kode har ligget der i årevis. Hvorfor er den begynder den først nu at viderestille?

[lath]

Tak til jer begge.
ja det er jo min side men det mente jeg ikke var relevant da jeg troede problemet lå et andet sted.

pinligt pinligt at det er noget jeg selv engang har copieret derind, men jeg er glad for i var der til at gennemskue det
Jeg prøver at fjerne det og mon ikke det så kører igen.

Men det stykke kode har ligget der i årevis. Hvorfor er den begynder den først nu at viderestille?

En af linierne indlæser et javascript.
Er man ondsindet så køber man det domæne hvor scriptet læses fra, og laver så et nyt javascript med en anden dagsorden.

/Lars

[AJenbo]

Det er generelt en god ide at optimere billeder inden man læggere dem på nettet, særlig mistænkelige billeder da det fjerner skjult data fra filen. Det er ikke noget der foringer billedkvalitet og kan gøres med programmet trimage eller hjemmesiden https://kraken.io/web-interface

Jeg kan se at siden er bygget med frames, der er rigtig mange bagdle ved at bygge en side på den måde, både når det gølder brugervenlighed og ens placering på google. Jeg vil forslå du skriver din side om så den ikke bruger frames, hvis du ønsker samme effekt med scrollbars kan det gøres med CSS og hvis det er for kun at skulle vedligeholde en fil med menuen så kan det gøres ved at inkludere den via php. Faktisk er det lettere end at arbejde med frames:

Kode: Vælg alt

<?php include menu.html; ?>

Hvis du ønsker lidt mere hjælp med processen kan jeg gøre det for dig med forsiden og du kan så gøre det efter med de resterende sider.

[bambinovich]

Hej AJenbo
Det er rigtig venligt af dig at tilbyde din hjælp og det er slet ikke umuligt at jeg vil gøre brug at tilbudet.

Jeg er ingen mester til at rode med hjemmesider og koder og den slags men nogen gange kan jeg godt li selv at prøve mig lidt frem istedet for at købe mig til en side.
fonzy.dk var oprindeligt ikke med frames men på et tidspunkt for mange år siden lavede jeg det om til frames. Jeg kan ikke huske hvorfor.
For nogle år siden lavede jeg så http://www.fonzy.de og prøvede mig lidt frem. Der har jeg "php include menu" på min index side.
Hvis det er det det du mener så laver jeg det om på fonzy.dk når jeg lige får lidt tid til at kigge på det igen.

Vh Martin

[AJenbo]

For nogle år siden lavede jeg så http://www.fonzy.de og prøvede mig lidt frem. Der har jeg "php include menu" på min index side.
Hvis det er det det du mener så laver jeg det om på fonzy.dk når jeg lige får lidt tid til at kigge på det igen.

Ja det er det jeg mener.

På den side har du dog lavet en <html> <head> og <body> i din menu fil, når php inkludere en fil bliver det lige som hvis du selv havede kopieret koden fra den ene fil ind i den anden, hvilket resultere i at du har disse defineret dobbelt hvilket kan skabe nogle problemer.

Det kunne også være en ide at se på at have en ekstern css fil hvor du definere sidens udsende så det kan blive konsistent og lettere at håndtere.

En sidste kommentar er at det virker lidt tilfældigt om du skriver HTML tags med store eller små bogstaver, det er lidt en uskik og bør altid være små bogstaver.

Det ville nok også være en fordel om du testede din kode med http://validator.w3.org/