Haarweb Forum  
Bijna 100.000 bezoekers p/mnd! Zie hier

Ga terug   Haarweb Forum > Mededelingen > Mededelingen

Reageren
 
Discussietools Weergave
Oud 5 januari 2010, 21:16   #1
Webmaster
Your friendly webmaster

 
Webmaster's schermafbeelding
 
Geregistreerd: 5 mei 2001
Locatie: HaarWeb City
Berichten: 1.794
Geslacht:
Exclamation Software-update HaarWeb: virusmelding! (update)

Beste leden en bezoekers,

Onze leden hebben melding gemaakt van een virusmelding op het moment dat zij HaarWeb bezochten: Trojaans paard

N.a.v. deze meldingen hebben wij vandaag onderzocht wat hier reden van kan zijn: het bleek dat een groot aantal files op onze server geïnfecteerd was (sinds 3 dagen (afgelopen zaterdag 02-01-2010)) door een virus zoals hier besproken. Met als gevolg dat veel van onze leden en bezoekers geconfronteerd werden met waarschuwingen vanuit hun virusscanner en in het ergste geval een besmette PC.

HaarWeb is vandaag 7 uur uit de lucht geweest om dit te kunnen onderzoeken en herstellen. Alle files op onze server zijn nu hersteld en wij hebben gelijk van de gelegenheid gebruik gemaakt om up te graden naar de meest recente versie van onze forumsoftware (van vBulletin 3.8.0. -> 3.8.4.). HaarWeb is nu helemaal clean en kan zonder verdere problemen weer bezocht worden.

De vraag is nu: hoe heeft dit kunnen gebeuren? In de 8 jaar dat HaarWeb nu bestaat is het nog nooit voorgekomen dat wij gehacked zijn of te kampen hebben gehad met virussen. Welnu, ik ben tot de conclusie gekomen dat de oorzaak mijn eigen PC moet zijn geweest. Een aantal dagen geleden werd ikzelf geconfronteerd met een virus genaamd 'SecurityTool'. Mijn virusscanner gaf dit niet aan, maar ik werd plots geconfronteerd met een 'applicatie' op mijn scherm wat overduidelijk niet op mijn PC thuishoorde.

Wat ik toen gedaan heb, is -blijkt nu achteraf- in mijn ogen de fout geweest: aangezien mijn PC sowieso niet helemaal stabiel meer was heb ik gebruikt gemaakt van de volgende optie in Windows: 'Laatst bekende juiste configuratie gebruiken' om mijn systeem terug te krijgen naar stabiele toestand. Dat lukte: geen enkele vreemde meldingen/applicaties meer op mijn scherm.

Echter... omdat alles weer werkte naar behoren stond ik er niet bij stil dat ik nog een volledige virusscan zou moeten draaien. Ik had de PC wel teruggezet naar een juist werkende toestand... maar naar alle waarschijnlijkheid sluimerde het trojaans paard nog fijn op de achtergrond.

Dus... vandaag een 4 uur durende scan gedraaid op mijn lokale PC en jawel: bingo . Mijn virusscanner gaf niet eerder aan dat ik te kampen had met een sluimerend virus, dus ik was mij van geen kwaad bewust. Het vervelende is nu dat dit nu net een virus betrof wat in staat was zichzelf toegang te verschaffen tot de HaarWeb Server vanaf mijn PC. Het heeft vervolgens een groot aantal bestanden aangetast, met alle gevolgen van dien.

Een deel van onze leden en bezoekers heeft daardoor te maken gehad met bijzonder vervelende gevolgen. De bron van al deze ellende is mijn eigen PC geweest en daarom bied ik hier mijn welgemeende excuses voor aan.

Tjonge, een goed begin van het jaar zeg!


Update 10-01-2010

Dit moet het meest hardnekkige virus zijn wat ik ooit ben tegengekomen, want vandaag bleek dat HaarWeb vanaf ongeveer 13:30 wederom besmet was met een zelfde soort virus!

Het bleek om een nieuwe variant te gaan van het bovenstaande virus. Doordat het om een nieuwe variant gaat (zie het kopje 'UPDATED ON 2010/01/08' op deze website: http://justcoded.com/article/gumblar...s-removal-tool) ... herkende de removal-tool die ik eerder had gebruikt het virus niet ... waardoor het leek of er niets of weinig aan de hand was in eerste instantie. Handmatige check leverde echter een heel ander -zeer vervelend- beeld op: 133 bestanden op de HaarWeb Server bleken besmet. Het is een actueel en bijzonder hardnekkig/vervelend virus waar veel website eigenaren/webmasters mee te kampen hebben de laatste maanden:

Citaat:
Gumblar, in case you were wondering, is the collective name for a family of website compromises which are particularly nasty. Using a variety of routes to infection, Gumblar will install traffic sniffers and backdoors on computers, and exploit stolen FTP data to compromise web servers and sites.

During the course of October it began to put a backdoor botnet to use as a malware host, something very rarely seen as botnets are usually used to distribute and attack rather than host malware. To make matters even more worrisome, Gumblar has been dynamically constructing the hosted malware at the time of access to ensure users are delivered different exploits dependent on factors such as browser type for example. Throw in the use of dynamic obfuscation and you start to understand why Gumblar is proving to be such a troublesome beast. Once a Gumblar family exploit has been successfully installed via a visit to a compromised site, it is able to intercept all web traffic in both directions.

"Gumblar is arguably one of the most insidious threats facing both Web surfers and website operators today" Mary Landesman, senior security researcher at ScanSafe, argues "disturbingly, in early November, we detected that the backdoor left in place on the compromised websites by the Gumblar attackers was being leveraged by other groups of attackers meaning that the sites were under their control. This exacerbates the seriousness of the situation".

Landesman admits that the implications of this evolutionary departure from the norm displayed by Gumblar when it comes to installing PHP backdoors on compromised websites and using them as the actual malware host are rather staggering. "When a typical outbreak of website compromises occur, there are generally only a few actual malware domains involved" Landesman explains, adding "in the case of Gumblar, conservatively there are at least 2,000 backdoored websites serving as actual malware hosts. As a result, there is no single or few points at which to target efforts to shutdown the source of malware".
Bron: http://www.daniweb.com/news/story239735.html#

Meer:
http://webwereld.nl/nieuws/58852/-gu...onficker-.html en ofcourse meer hier.

Direct daarop is HaarWeb offline gehaald, om verdere problemen bij onze bezoekers te voorkomen. Ik kan niet anders dan wederom mijn welgemeende excuses aan te bieden voor de herhaling van deze uiterst vervelende situatie.

Na een complete opschoningsactie van onze lokale computers en server is HaarWeb op dit moment weer veilig te gebruiken.
__________________
Webmaster
HaarWeb oprichter en webmaster
www.haarweb.nl

HaarWeb | De support-site voor en door lotgenoten met haarproblemen in Nederland en België

Huishoudelijk Reglement (Richtlijnen/Privacy/Disclaimer)
Code of Ethics

-----------------------------------------------------------------------
You can be helping many people, but if you are not helping yourself,
you have missed the one person you were born to heal.'

~Alan Cohen
-----------------------------------------------------------------------

Laatst gewijzigd door Webmaster; 10 januari 2010 om 21:27
Webmaster is offline   Met citaat reageren
Oud 5 januari 2010, 21:42   #2
tellmemore
HaarWeb lid
 
Geregistreerd: 26 januari 2005
Berichten: 436
Beste webmaster,

Wat vervelend dat dit je overkomen is! Het overkomt de beste onder ons, ook ik heb recentelijk zoiets gehad en mijn zeer gewaardeerde ESET virusscanner kon dit niet voorkomen. Gelukkig wel alles kunnen desinfecteren.

Online scanners die ik iedereen kan aanrader zijn als jullie vrezen voor besmettingEset online scanner, Panda antivirus
Of gratis antivirus van microsoft of een test versie van panda, eset nod32 of hitmanpro.

Verdachte bestanden kan je uploaden naar virustotal, wordt het gescanned door 40 verschillende scanner.
__________________
Intern
(07.2005 - 4.2011 1/4 Proscar (1.25 mg finasteride) per dag)

Extern
07.2010 Spectral DNC-L
07.2010 Revita Shampoo

Status
NW2: situatie lijkt stabiel tot 2015


tellmemore is offline   Met citaat reageren
Oud 5 januari 2010, 22:02   #3
Limbo
Loser
 
Limbo's schermafbeelding
 
Geregistreerd: 1 januari 2006
Locatie: Limburg
Berichten: 53.317
Geslacht:
Tsja, het schijnt een browse-virus te zijn. Eens kijken of de helpdesk morgen mijn laptop kan schoonvegen.
__________________

ultimo 2005 FUT bij TH (1060 grafts)
ultimo 2022 FUE bij Esteworld (2900 grafts)

vanaf 1-3-2006 aan de fina maar eind 2016 gestopt

WK-Poulkampioen 2018
Limbo is offline   Met citaat reageren
Oud 6 januari 2010, 11:21   #4
agatha
HaarWeb lid
 
agatha's schermafbeelding
 
Geregistreerd: 20 juli 2007
Berichten: 12.340
Geslacht:
Fijn dat ik weer durf in te loggen
agatha is offline   Met citaat reageren
Oud 6 januari 2010, 14:49   #5
Limbo
Loser
 
Limbo's schermafbeelding
 
Geregistreerd: 1 januari 2006
Locatie: Limburg
Berichten: 53.317
Geslacht:
Citaat:
Oorspronkelijk geplaatst door agatha Bekijk bericht
Fijn dat ik weer durf in te loggen
Dat was nog een hels karwei om dat paard er af te krijgen!
__________________

ultimo 2005 FUT bij TH (1060 grafts)
ultimo 2022 FUE bij Esteworld (2900 grafts)

vanaf 1-3-2006 aan de fina maar eind 2016 gestopt

WK-Poulkampioen 2018
Limbo is offline   Met citaat reageren
Oud 9 januari 2010, 23:23   #6
jord-y
HaarWeb lid
 
jord-y's schermafbeelding
 
Geregistreerd: 28 februari 2009
Berichten: 974
Geslacht:
Hallo na velen andere heb ik ook de melding gehad van de !#~#@# trojan horse de mensen die virussen uitvinden moeten ze per direct hun geslachtsdeel eraf hakken gewoonweg triestwil nu wel weten of me pc nu niet besmet is? of hoe kan ik dat zeker weten?
Na het bezoeken van haarweb.nl gaf mijn eset nod32(legale volledige versie) meerdere files aan die besmet waren met de trojan horse en gelijk in quarentine gezet werden en daarna handmatig verwijderd.
Verder kon ik de site half zien,maar werd geblokt door gelukkig al sinds een korte tijd me internet settings stuk strenger ingesteld te hebben
Betekend dit dat mijn pc verder niet beschadigd is?
Alsnog gelukkig dat dit opgelost is
jord-y is offline   Met citaat reageren
Oud 10 januari 2010, 14:35   #7
Limbo
Loser
 
Limbo's schermafbeelding
 
Geregistreerd: 1 januari 2006
Locatie: Limburg
Berichten: 53.317
Geslacht:
Citaat:
Oorspronkelijk geplaatst door jord-y Bekijk bericht
Hallo na velen andere heb ik ook de melding gehad van de !#~#@# trojan horse de mensen die virussen uitvinden moeten ze per direct hun geslachtsdeel eraf hakken gewoonweg triestwil nu wel weten of me pc nu niet besmet is? of hoe kan ik dat zeker weten?
Na het bezoeken van haarweb.nl gaf mijn eset nod32(legale volledige versie) meerdere files aan die besmet waren met de trojan horse en gelijk in quarentine gezet werden en daarna handmatig verwijderd.
Verder kon ik de site half zien,maar werd geblokt door gelukkig al sinds een korte tijd me internet settings stuk strenger ingesteld te hebben
Betekend dit dat mijn pc verder niet beschadigd is?
Alsnog gelukkig dat dit opgelost is
Ik neem idd aan dat er niets aan de hand is. Mijn antivir heeft ook alles in quarantaine gezet, en ik krijg nu ook geen meldingen meer!
__________________

ultimo 2005 FUT bij TH (1060 grafts)
ultimo 2022 FUE bij Esteworld (2900 grafts)

vanaf 1-3-2006 aan de fina maar eind 2016 gestopt

WK-Poulkampioen 2018
Limbo is offline   Met citaat reageren
Oud 10 januari 2010, 18:35   #8
jord-y
HaarWeb lid
 
jord-y's schermafbeelding
 
Geregistreerd: 28 februari 2009
Berichten: 974
Geslacht:
Cool Heel vaag

Ok wel vervelend allemaal dan.
Maar Limbo sinds vandaag heb ik weer een andere aparte probleem
Ik kan als ik www.haarweb.nl in typ niet op de site komen zie hieronder:
Kan wel via google en dan op een link van haarweb binnenkomen erg vaag iemand een idee hoe dit kan komen?

Toegang verboden!

U hebt niet de toestemming om toegang te krijgen tot de gevraagde map. Er is of wel geen index document of de map is beveiligd tegen lezen.
Indien u van oordeel bent dat deze server in fout is, gelieve de webmaster te contacteren.
Error 403

www.limelight-studios.nl
Sun Jan 10 17:33:57 2010
Apache/2
jord-y is offline   Met citaat reageren
Oud 10 januari 2010, 18:59   #9
Limbo
Loser
 
Limbo's schermafbeelding
 
Geregistreerd: 1 januari 2006
Locatie: Limburg
Berichten: 53.317
Geslacht:
Merkwaardig. Ik kan bijv. nu niet quoten en ook geen smileys aanklikken! What's up doc?
__________________

ultimo 2005 FUT bij TH (1060 grafts)
ultimo 2022 FUE bij Esteworld (2900 grafts)

vanaf 1-3-2006 aan de fina maar eind 2016 gestopt

WK-Poulkampioen 2018
Limbo is offline   Met citaat reageren
Oud 10 januari 2010, 19:29   #10
jord-y
HaarWeb lid
 
jord-y's schermafbeelding
 
Geregistreerd: 28 februari 2009
Berichten: 974
Geslacht:
Hmm ok blijkbaar is de site nog niet helemaal herstelt ik wacht het maar even af
jord-y is offline   Met citaat reageren
Oud 10 januari 2010, 22:19   #11
Limbo
Loser
 
Limbo's schermafbeelding
 
Geregistreerd: 1 januari 2006
Locatie: Limburg
Berichten: 53.317
Geslacht:
Ook ik heb het virus weer te pakken. Damn!
__________________

ultimo 2005 FUT bij TH (1060 grafts)
ultimo 2022 FUE bij Esteworld (2900 grafts)

vanaf 1-3-2006 aan de fina maar eind 2016 gestopt

WK-Poulkampioen 2018
Limbo is offline   Met citaat reageren
Oud 10 januari 2010, 22:24   #12
Webmaster
Your friendly webmaster

 
Webmaster's schermafbeelding
 
Geregistreerd: 5 mei 2001
Locatie: HaarWeb City
Berichten: 1.794
Geslacht:
Zie de update in de eerste posting. Tot mijn grote frustratie en ergernis was het vandaag wederom raak.
__________________
Webmaster
HaarWeb oprichter en webmaster
www.haarweb.nl

HaarWeb | De support-site voor en door lotgenoten met haarproblemen in Nederland en België

Huishoudelijk Reglement (Richtlijnen/Privacy/Disclaimer)
Code of Ethics

-----------------------------------------------------------------------
You can be helping many people, but if you are not helping yourself,
you have missed the one person you were born to heal.'

~Alan Cohen
-----------------------------------------------------------------------
Webmaster is offline   Met citaat reageren
Oud 10 januari 2010, 22:26   #13
Limbo
Loser
 
Limbo's schermafbeelding
 
Geregistreerd: 1 januari 2006
Locatie: Limburg
Berichten: 53.317
Geslacht:
Weet je zeker dat haarweb nu paardvrij is? Waarom kreeg ik dan zojuist de hele tijd virusmeldingen??
__________________

ultimo 2005 FUT bij TH (1060 grafts)
ultimo 2022 FUE bij Esteworld (2900 grafts)

vanaf 1-3-2006 aan de fina maar eind 2016 gestopt

WK-Poulkampioen 2018
Limbo is offline   Met citaat reageren
Oud 10 januari 2010, 22:34   #14
Webmaster
Your friendly webmaster

 
Webmaster's schermafbeelding
 
Geregistreerd: 5 mei 2001
Locatie: HaarWeb City
Berichten: 1.794
Geslacht:
Citaat:
Oorspronkelijk geplaatst door Limbo Bekijk bericht
Weet je zeker dat haarweb nu paardvrij is? Waarom kreeg ik dan zojuist de hele tijd virusmeldingen??
Ja, alle files zijn nu double-checked. Wanneer precies krijg je de virusmelding Limbo? Wat gebeurt er als je je browser-cache leegt en daarna HaarWeb bezoekt?
__________________
Webmaster
HaarWeb oprichter en webmaster
www.haarweb.nl

HaarWeb | De support-site voor en door lotgenoten met haarproblemen in Nederland en België

Huishoudelijk Reglement (Richtlijnen/Privacy/Disclaimer)
Code of Ethics

-----------------------------------------------------------------------
You can be helping many people, but if you are not helping yourself,
you have missed the one person you were born to heal.'

~Alan Cohen
-----------------------------------------------------------------------
Webmaster is offline   Met citaat reageren
Oud 10 januari 2010, 22:36   #15
Limbo
Loser
 
Limbo's schermafbeelding
 
Geregistreerd: 1 januari 2006
Locatie: Limburg
Berichten: 53.317
Geslacht:
Citaat:
Oorspronkelijk geplaatst door Webmaster Bekijk bericht
Ja, alle files zijn nu double-checked. Wanneer precies krijg je de virusmelding Limbo? Wat gebeurt er als je je browser-cache leegt en daarna HaarWeb bezoekt?
Zojuist, voor de eerste keer sinds afgelopen woensdag toen mijn paard werd verwijderd door de helpdesk (ik kan het nl. niet zelf omdat het een laptop van de zaak is).
__________________

ultimo 2005 FUT bij TH (1060 grafts)
ultimo 2022 FUE bij Esteworld (2900 grafts)

vanaf 1-3-2006 aan de fina maar eind 2016 gestopt

WK-Poulkampioen 2018
Limbo is offline   Met citaat reageren
Reageren

Discussietools
Weergave

Regels voor berichten
Je mag geen nieuwe discussies starten
Je mag niet reageren op berichten
Je mag geen bijlagen versturen
Je mag niet je berichten bewerken

BB code is Aan
Smileys zijn Aan
[IMG]-code is Aan
HTML-code is Uit

Forumnavigatie

Soortgelijke discussies
Discussie Auteur Forum Reacties Laatste bericht
5 mei 2006 : HaarWeb viert haar 5-jarig bestaan! Webmaster Mededelingen 50 7 januari 2014 19:39


Alle tijden zijn GMT +2. Het is nu 17:54.


Forumsoftware: vBulletin®, versie 3.8.11
Copyright ©2000 - 2024, Jelsoft Enterprises Ltd.
Produced by Limelight Studios. Copyright © 2001-2024 Stichting HaarWeb.