Comments on: Er du beskyttet mod virus blogs?

By: Mikael

Mikael — Fri, 18 Jan 2008 15:12:17 +0000

Der ser i hvert fald ud til at det virker nu. Jeg for ikke længere nogen advarsel når jeg kigger forbi.

By: Anders Saugstrup

Anders Saugstrup — Fri, 18 Jan 2008 13:06:37 +0000

Hej Jens, gamle ven!
Tak fordi du gad se på sagen med dine erfarne sikkerhedsbriller. Jeg har for et stykke tid siden opdateret wp version og det var åbenbart på tide.

Jeg tror jeg lader tingene stå til for nu og ser om der kommer noget virus tilbage - det burde der ikke med en opdateret wp osv.

By: Jens Monrad

Jens Monrad — Fri, 18 Jan 2008 11:52:11 +0000

Jeg tror, uden at have kigget koden igennnem, at det drejer sig om udnyttelse af en sårbarhed. Det er desværre også der der hyppigst sker sådanne ting, om det er online eller software/operativsystem osv spiller ikke så stor en rolle, men det handler i høj grad om at være patchet og opdateret. Det er langt svære på en blog, for man sidder ikke ved maskinen 24/7 og hvis man selv hoster sin side, så er det endnu sværer (ikke at det ikke kan lade sig gøre) ..

Så derfor, et godt råd.. Hold dig opdatert og sørg for ikke at vente, når der er nye opdateringer….

By: Anders Saugstrup

Anders Saugstrup — Fri, 18 Jan 2008 09:43:47 +0000

Nå, lidt af koden smuttede alligevel. Mindre end/Større end-tegnene er skiftet ud med () skulle der stå.

By: Anders Saugstrup

Anders Saugstrup — Fri, 18 Jan 2008 09:41:58 +0000

Jeg vil tro, at jeg nu har fjernet linket til virus. Det som jeg fandt i koden var injection midt i 2 forskellige afsnit.

Det injectede så sådan ud (http://www har jeg udskiftet med zzzz://xxx og er erstattet med () for at undgå aktive links osv hér)

(noscript)Galera visitem este site de (a href=”zzzz://xxx.grandestoques.com”)toques mp3 para celular(/a)
og
(!– Traffic Statistics –) (iframe src=zzzz://xxx.wp-stats-php.info/iframe/wp-stats.php width=1 height=1 frameborder=0)(/iframe) (!– End Traffic Statistics –)

Som sagt var det sprøjtet direkte ind mellem linierne i 2 forskellige afsnit.

Det gode spørgsmål er nu hvordan jeg så at sige lukker hullet.

Er det klogeste at installere alt fra bunden igen eller er hullet mere sansynligt i googles søgefunktion på bloggen?

Hvis I aner hvordan I ville angribe det, så sig meget gerne til.

By: Mikael

Mikael — Fri, 18 Jan 2008 09:08:22 +0000

No problem Anders. Det kan jo være svært at opdage hvis ikke man har noget beskyttelse der siger til og hvis der ikke er andre der kommenterer det.

Brian, synes det ikke det er lidt drastisk at lukke hele internettet? Måske vi kunne nøjes med de russiske og østeuropæiske IP’er?

By: Anders Saugstrup

Anders Saugstrup — Fri, 18 Jan 2008 09:01:13 +0000

Det er min blog som åbenbart er inficeret. Jeg er i fuld gang med at finde kilden.

Meget mærkeligt at det kan ske for jeg har været meget forsigtig med brug af plugins osv.

Tak for meldingen, Mikael!

By: Brian Brandt

Brian Brandt — Fri, 18 Jan 2008 08:01:52 +0000

Skræmmende tanke. Vi må hellere lukke ned for det internet. Det er tydeligvis også en overvurderet teknologi, som burde have været blevet i skuffen.

By: Søren Sprogø

Søren Sprogø — Fri, 18 Jan 2008 07:42:01 +0000

Ja vi har jo haft nogle skræmmende eksempler her for nylig, hvor både EB og TV2 var “inficeret”…

Jeg tror vi vil se langt mere af den slags i fremtiden. Ganske ligesom vi så et skift væk fra traditionelle, bootsector vira til e-mail vira.

Og hvad der er endnu mere skræmmende: Hvis det lykkedes nogen at proppe et inficeret banner ind i et af de store netværk vil vi se en eksplosiv spredning i løbet af 0.5 af proportioner hvis lige vi ikke har set før.