In.cgi – blogs og maliciøse varer eller?
14. marts 2009Efter at have opgraderet WordPress til den seneste udgave på grund nedbrud – eller hvad man nu skal kalde det, når bloggen ikke vil vise sig på skærmen – så dukkede der lige pludselig et lille cgi-skrift op, når jeg gik ind på forsiden. Men kun i Ubuntu. Jeg ignorerede skriftet. På pop-op-vinduet kunne jeg se, at skriftet stammede fra en webadresse med endelsen cn, der er et foretrukket domæne-suffix i Kina. Jeg gik ind på siden, men der var et login, som spærrede for yderligere research. Efter en dags tid forsvand cgi-skriftet så af sig selv. Har nogen forsøgt sig med noget på bloggen?
Opdatering: Jeg har forsøgt med en række tiltag (sikkerhedsskanning, test af “dårlig naboskabs”-links m.m.) og håber, det hjælper. Hvis I kan bidrage med beskrivelser af problemer i oplever ved at besøge min blog så skriv. Til kamp mod det onde!
Opdatering 2: Fjernelsen af kineserierne har åbenbart også haft en positiv betydning for mængden af spam, der siden i går er faldet en del…
14. marts 2009 kl. 10:47
Hmm.. da jeg lige nu opsøgte din forside, gav min Avast Antivirus en advarsel om en malware webside “clickcouner.cn”. Se mit skærmprint af advarslen her: http://nykobingfalster.net/capac.jpg
Når jeg opsøger clickcouner.cn (jo, det er stavet rigtigt), blokerer min Avast (heldigvis) for visning af siden.
Har du mon et eller andet WordPress-plugin, eller har du selv lavet noget html-kode til en “clickcouner.cn”-ting?
14. marts 2009 kl. 11:04
Jeg fik i går for første gang på job en trojaner/spyware, som ifølge IT-administratoreren krævede en geninstallering.
Det var kort efter at jeg havde været pÃ¥ CAPAC – jeg kan dog ikke sige med sikkerhed at det var derfra den kom. Men jeg havde ikke modtageteller downloadet nogen filer, eller besøgt skumle websites.
14. marts 2009 kl. 16:28
Allerneders pÃ¥ hovedsiden , efter koden for tag-cloud’en, stÃ¥r der en iframe, som bl.a. henviser hertil:
src=”http://namebuyline.cn/in.cgi?income
src=”http://filmlifemusicsite.cn/in.cgi?cocacola95
Du kan og bør checke WordPress-template’n for din hovedside og se, om det skulle have sneget sig ind her, helt i bunden. Det er kun pÃ¥ hovedsiden.
MÃ¥ske noget malware har smuglet sig ind her gennem en sÃ¥rbarhed? I sÃ¥ fald skal den pÃ¥gældende kode bare fjernes …
14. marts 2009 kl. 16:34
@Carsten Agger: Tak Carsten, jeg tjekker straks.
Når du skriver hovedsiden, hvilken en tænker du så på?