Computerbeveiliging - Hoe je bad guys buiten de deur houdt

Onterechte (?) waarschuwingen door McAfee

24-08-2013, 13:44 door webuplease, 19 reacties
Wat moet je doen als een bepaalde schone site onterechte bedreigingswaarschuwingen krijgt van McAfee? Ik heb de html-site (die ik zelf gemaakt heb) gescand met Avast: geen problemen. Als je echter op Google zoekt naar teunissenmode en je hebt McAfee geinstalleerd, krijg je voor elke pagina een waarschuwing. Heeft dat misschien te maken met het gebruik van html-bestanden die met WOW-slider zijn aangemaakt en die onderdeel van de pagina's uitmaken?
De eigenaar van de site is natuurlijk niet blij met die waarschuwingen.
Reacties (19)
24-08-2013, 17:32 door Spiff has left the building - Bijgewerkt: 24-08-2013, 18:52
@ webuplease, 13:44 uur,

Bedoel je de McAfee SiteAdvisor waarschuwing?
Zie: http://www.siteadvisor.com/sites/www.teunissenmode.nl/
"Websitecategorie: Schadelijke downloads"

Het blijkt niet alleen McAfee SiteAdvisor te zijn die een bedreiging ziet in die website.
Bij scannen van de URL door middel van VirusTotal melden ook Bitdefender en Fortinet een bedreiging, zie:
https://www.virustotal.com/nl/url/96c09cde090e98aa457437b6f2f308acc1e2fcb31e587bd44dd376de6868fb0a/analysis/1377357828/

In de Aanvullende informatie van die VirusTotal analyse:
"BitDefender domain information:
The URL domain/host was seen to host badware at some point in time"

Is de betreffende URL mogelijk eerder door een ándere "teunissenmode" gebruikt?
De kans bestaat dat die eerdere site niet deugde en dat de URL daarom nu nog steeds geblacklist is.

Maar uiteraard bestaat er ook een kans dat er iets niet helemaal deugt aan de opmaak van de huidige site.
24-08-2013, 20:28 door webuplease
Hallo Spiff,

Dank je wel voor je commentaar. De situatie is, dat ik de site heb gemaakt (met Dreamweaver) en dat iemand van Teunissen Mode de site (de teksten) af en toe aanpast m.b.v. Contribute. Er zitten volgens mij geen gekke dingen in de site. Het is allemaal gewone html-code. Voor de voorstelling aan de rechterzijde maak ik gebruik van html-bestanden die automatisch met WOW-slider worden gegenereerd. Die html-code voer ik in in de betreffende pagina's. Ik heb gezocht naar verdachte code in de documenten, maar heb die niet gevonden. Maar misschien zie ik iets over het hoofd?

Kun jij iets vreemds aan de code ontdekken?

Alvast dank voor je moeite.

Groet,

Joost
24-08-2013, 21:18 door Spiff has left the building
Door webuplease:
Kun jij iets vreemds aan de code ontdekken?
Ik heb niet de vaardigheden om dat goed te kunnen beoordelen.
Iemand anders misschien?

Vanwege de BitDefender domain information in de Aanvullende informatie van de VirusTotal analyse, die vermeldt:
"The URL domain/host was seen to host badware at some point in time",
(nogmaals) de vraag:
Is die betreffende teunissenmode.nl URL helemaal nieuw, of was er eerder al een teunissenmode.nl site? Dat kan een eerdere versie van die site van die zaak zijn geweest, misschien opgemaakt door iemand anders, of zelfs een site van een geheel andere teunissenmode waarvan de URL is vrijgekomen en hergebruikt.
Heb je enig idee?
Zou www.teunissenmode.nl in het recente verleden zijn gebruikt voor een site die niet deugde, dan zou dat kunnen verklaren dat die URL nu nog steeds is geblacklist, als resultaat van de status van de vorige versie van die site.

Overigens kun je bij McAfee SiteAdvisor een nieuwe beoordeling aanvragen. (Houd er wel rekening mee dat het lang kan duren voordat dat invloed heeft op de SiteAdvisor weergave.)
Misschien is het ook mogelijk een nieuwe beoordeling aan te vragen bij Bitdefender en bij Fortinet?
Maar daarvoor is het uiteraard wel verstandig eerst zeker te weten dat de code van de site nu werkelijk schoon is. Ik hoop dat iemand anders dat voor je kan beoordelen.
24-08-2013, 21:43 door webuplease
Wederom dank voor je antwoord en voor je tips. De site is al een aantal jaren oud, dus daar kan het volgens mij niet aan liggen. Wel is het zo dat er recentelijk een melding was van een ondeugdelijk jpg.bestandje. Dat bestandje heb ik uiteraard verwijderd. Misschien ligt daar de oorzaak.
Ik zal een nieuwe beoordeling aanvragen, zodat de blacklist geschoond kan worden. Ik zal mijn provider hierover benaderen.

Is er nog iemand anders die wil reageren op dit bericht?
24-08-2013, 22:20 door Spiff has left the building
Door webuplease:
Ik zal een nieuwe beoordeling aanvragen, zodat de blacklist geschoond kan worden.
Ik zal mijn provider hierover benaderen.
Um, ik denk niet dat de provider daarmee iets van doen heeft, toch?
De site-eigenaar, of jij daarvoor, kan een McAfee SiteAdvisor herbeoordeling aanvragen,
en mogelijk geldt hetzelfde bij Bitdefender en Fortinet.
25-08-2013, 14:25 door Spiff has left the building
Door webuplease:
Is er nog iemand anders die wil reageren op dit bericht?
Ik hoop het voor je.
Maar sinds het vernieuwen van de site op 6 augustus is het niet meer zo druk op het Security.nl forum.
De zomervakantie zal zeker meespelen, maar ook het feit dat anders dan eerder het totaaloverzicht van de recent actieve forum-topics niet meer op de frontpage staat, dat zal zeker een rol spelen, en ook het ontbreken van de optie om e-mail notificaties te kunnen ontvangen dat helpt niet mee.
Het forum-overzicht komt binnenkort weer terug op de frontpage, zo is door de redactie beloofd. Dat zal een verbetering zijn. Of dat forum-overzicht op de frontpage dan ook weer wordt gerangschikt op recente activiteit, zoals voorheen, daarover is nog niets medegedeeld. En ook over de vraag of feature requests zoals het herstellen van de notificatie-optie worden ingewilligd, ook daarover is tot op heden nog steeds niets medegedeeld.
Hoe dan ook, momenteel is de respons op het forum beperkt. Hopelijk wordt dat weer beter wanneer de redactie eerdere functionaliteit herstelt.
27-08-2013, 23:51 door Bitwiper
Door webuplease:Is er nog iemand anders die wil reageren op dit bericht?
Beetje laat, maar wie weet nog relevant.

Volgens http://ip.robtex.com/217.170.4.22.html draaien er minstens 100 andere "servers" (web, maar ook mail en ftp zo te zien) op het IP-adres dat bij www.teunissenmode.nl hoort. Als maar 1 van die sites de afgelopen tijd iets naars heeft verspreid, belandt het (gedeelde) IP-adres vaak op 1 of meer blacklists, zoals bijv. door McAfee (SiteAdvisor) worden beheerd.

Een belangrijk nadeel van shared hosting is dat als er maar 1 foute eigenaar tussen zit, of iemand die onzorgvuldig met wachtwoorden omspringt, de kans aanzienlijk is dat zo'n IP-adres op één of meer blaclists belandt. Dit is een van de grootste nadelen van shared hosting...
28-08-2013, 11:44 door Spiff has left the building
Dankjewel voor je reactie van gisteren 23:51 uur, Bitwiper.
Ik hoop dat webuplease er wat aan heeft.

Voor mij was het in ieder geval zeer verhelderend.
Ik was uit het oog verloren dat een site het IP-adres kan delen met een andere site, en ik was niet bekend met het fenomeen dat bij shared hosting het adres gedeeld kan worden met ánderen, ik dacht dat enkel gedeeld werd met andere adressen van eenzelfde bedrijf. Nogal een eye opener voor me dus. En dat dan ook nog gedeeld wordt met een paar honderd anderen, dat is helemaal verbluffend.
"There are more than two hundred host names that point to the IP number 217.170.4.22."

Dat wat je aangaf, Bitwiper, "Een belangrijk nadeel van shared hosting is dat als er maar 1 foute eigenaar tussen zit, of iemand die onzorgvuldig met wachtwoorden omspringt, de kans aanzienlijk is dat zo'n IP-adres op één of meer blacklists belandt." dat lijkt me niet op te lossen door de beheerder van één van de gehoste sites, zoals webuplease voor teunissenmode. Je hebt immers geen controle over hoe de anderen waarmee je het IP-adres deelt hun sites beheren.
Als het niet al te duur is om een eigen, niet shared, adres te huren, dan is dat wellicht een stuk prettiger dan het delen van een adres.
02-09-2013, 13:19 door webuplease
Heren (ik neem tenminste aan dat jullie heren zijn...), hartelijk dank.

Joost Walter, webuplease
02-09-2013, 13:23 door webuplease
Hallo Bitwiper en Spiff,

Ik kom er nog even op terug. Mijn eigen site is ook onderdeel van die shared server, evenals andere door mij gemaakt sites. Die leveren geen van alle problemen op. Volgens mijn provider zit het probleem dus echt bij McAfee. Daar moeten ze de blacklist aanpassen. En die reageren dus niet.
Ik heb de Consumentenbond ook om advies gevraagd. Ben benieuwd wat die te melden hebben.
Een niet shared server is overigens te kostbaar, dus we moeten roeien met de riemen die we hebben ...

Groet

Webuplease
02-09-2013, 13:49 door Anoniem
Door webuplease:Ik heb de Consumentenbond ook om advies gevraagd. Ben benieuwd wat die te melden hebben.

Die zullen niet meer te melden hebben dan dat het de consumentenbond is en dus niet voor bedrijven als Teunissen Mode en Webuplease. Je kunt dan beter bij een vereniging voor webontwikkelaars te rade gaan.

Peter
02-09-2013, 15:18 door Spiff has left the building
Door webuplease:
Heren (ik neem tenminste aan dat jullie heren zijn...)
Dat mag best, hoor, maar je kunt dat uiteraard niet met zekerheid aannemen.
Op IT en andere tech sites zal de verhouding man/vrouw veelal meer aan de mannetjes-kant liggen, dus met gokken op man heb je een groter kans dan met gokken op vrouw, maar nicknames zeggen in principe niets over man dan wel vrouw.
Ikzelf probeer daarom altijd beide mogelijkheden maar in het oog te houden, en zo veel mogelijk sekse-neutraal te formuleren.

Een paar jaar geleden maakte Bitwiper een opmerking waarmee die niet uitsloot een vrouw te kunnen zijn :-)
https://www.security.nl/posting/34195/
02-09-2013, 15:25 door Spiff has left the building
Door webuplease, 13:23 uur:
Volgens mijn provider zit het probleem dus echt bij McAfee. Daar moeten ze de blacklist aanpassen.
Vergeet niet dat niet alleen McAfee SiteAdvisor maar ook Bitdefender nog steeds een bedreiging ziet in die site:
https://www.virustotal.com/nl/url/96c09cde090e98aa457437b6f2f308acc1e2fcb31e587bd44dd376de6868fb0a/analysis/1378128083/
02-09-2013, 15:26 door Anoniem
Ik dacht ik kijk even wat er dan met die site mis is en meteen de index pagina (startpagina) bevat al een blunder:
achter de </body></html> van de eigenlijke pagina zit nog een stuk geplakt met een paar divs en scripts erin.

Dit wijst vaak op malware besmetting. Ik kan me voorstellen dat security scanners hier op aanslaan.
Zorg er voor dat deze spullen binnen de body komen.
Waarschijnlijk speelt dat probleem op je hele site.
03-09-2013, 01:49 door mvh69
Door webuplease: Wederom dank voor je antwoord en voor je tips. De site is al een aantal jaren oud, dus daar kan het volgens mij niet aan liggen. Wel is het zo dat er recentelijk een melding was van een ondeugdelijk jpg.bestandje. Dat bestandje heb ik uiteraard verwijderd. Misschien ligt daar de oorzaak.
Ik zal een nieuwe beoordeling aanvragen, zodat de blacklist geschoond kan worden. Ik zal mijn provider hierover benaderen.

Is er nog iemand anders die wil reageren op dit bericht?

Dat ondeugdelijke jpeg bestandje dat je verwijdert hebt zou heel goed op een infectie kunnen wijzen zoals je in dit artikel kunt lezen : https://www.security.nl/posting/41910/Malware+verstopt+in+EXIF-header+van+JPEG-afbeelding

suc6
03-09-2013, 09:03 door Briolet - Bijgewerkt: 03-09-2013, 09:08
Ik lees dat Bitwiper het heeft over > 100 en jij schrijft:
Door Spiff: En dat dan ook nog gedeeld wordt met een paar honderd anderen, dat is helemaal verbluffend.
"There are more than two hundred host names that point to the IP number 217.170.4.22.".
Ik kijk nu 6 dagen later in die link en lees "about 95". Dan vraag ik me af waar die verschillen in zitten. Ik kan me eigenlijk niet voorstelen dat het aantal gehoste sites op dat IP zo snel afneemt. Of zijn ze alle sites aan het omzetten naar een ander IP vanwege de onbetrouwbaarheidswaarschuwingen, waar ook alle andere site eigenaren last van moeten hebben?
03-09-2013, 09:49 door Anoniem
Door Briolet: Ik lees dat Bitwiper het heeft over > 100 en jij schrijft:
Door Spiff: En dat dan ook nog gedeeld wordt met een paar honderd anderen, dat is helemaal verbluffend.
"There are more than two hundred host names that point to the IP number 217.170.4.22.".
Ik kijk nu 6 dagen later in die link en lees "about 95". Dan vraag ik me af waar die verschillen in zitten. Ik kan me eigenlijk niet voorstelen dat het aantal gehoste sites op dat IP zo snel afneemt. Of zijn ze alle sites aan het omzetten naar een ander IP vanwege de onbetrouwbaarheidswaarschuwingen, waar ook alle andere site eigenaren last van moeten hebben?
Het verschil is dat jij een andere regel leest. Als je even doorleest dan zie je die andere getallen ook staan.
Ik denk dat de robtex.com pagina een toplevel domein gelijk stelt aan een site en dat is niet hetzelfde als een hostnaam.
Bijvoorbeeld www.sitenaam.nl en sitenaam.nl (plus wellicht ftp.sitenaam.nl en mail.sitenaam.nl) worden allemaal als 1
site geteld, maar wel als meerdere hostnamen.

Het is natuurlijk een keuze van de hoster hoeveel sites ze op 1 IP adres draaien. Dat is een configuratiekwestie, en
als ze hun zaakjes een beetje voor elkaar hebben kunnen ze dit simpel anders indelen. Bijv een site of een groep
sites naar een ander IP verhuizen.
18-09-2013, 13:47 door webuplease
En zomaar uit het niets (na ruim drie weken wachten) komt er een antwoord van McAfee dat de klacht in behandeling wordt genomen. De volgende dag wordt de site niet meer als riskant aangemerkt. Geen uitleg, geen excuses, nada noppes.

Maar Teunissen Mode is blij.
18-09-2013, 14:38 door Spiff has left the building - Bijgewerkt: 18-09-2013, 14:39
Door webuplease:
En zomaar uit het niets (na ruim drie weken wachten) komt er een antwoord van McAfee dat de klacht in behandeling wordt genomen. De volgende dag wordt de site niet meer als riskant aangemerkt.
Leuk voor de McAfee SiteAdvisor gebruikers, en voor Teunissen Mode als die daar al tevreden mee is,
maar volgens VirusTotal en volgens URLVoid blijft Bitdefender nog steeds een bedreiging zien:
https://www.virustotal.com/nl/url/96c09cde090e98aa457437b6f2f308acc1e2fcb31e587bd44dd376de6868fb0a/analysis/1379505638/
http://www.urlvoid.com/scan/teunissenmode.nl/
Bitdefenders eigen "TrafficLight" meldt echter "We haven't seen any suspicious activity from this website"
http://trafficlight.bitdefender.com/info?url=http://teunissenmode.nl
maar dat voorkomt blijkbaar niet uit dat ándere Bitdefender componenten (zoals gebruikt door VirusTotal en URLVoid) daar een andere kijk op hebben.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.