Computerbeveiliging - Hoe je bad guys buiten de deur houdt

FC Groningen website volgens Firefox aanvalspagina

07-10-2015, 18:58 door Anoniem, 27 reacties
Wie de homepagina van FC Groningen bezoekt zal nog niets merken, maar elke link op de pagina wordt door
Firefox geblokkeerd met de tekst dat het hier om een aanvalspagina gaat.
Tijdstip: 18:57
Reacties (27)
07-10-2015, 19:11 door Rolfieo
Door Anoniem: Wie de homepagina van FC Groningen bezoekt zal nog niets merken, maar elke link op de pagina wordt door
Firefox geblokkeerd met de tekst dat het hier om een aanvalspagina gaat.
Tijdstip: 18:57
Net getest met chrome, alles werkt gewoon goed.
Net getest met Firefox, alles werkt gewoon goed.
07-10-2015, 19:57 door Anoniem
ik heb het zojuist ook even geprobeerd , en inderdaad de waarschuwing ook gekregen op Firefox. 19:55
07-10-2015, 20:04 door Anoniem
Nu 20:00 is http://www.fcgroningen.nl/home/ nog steeds besmet met een aanvalpagina volgens Firefox.
De vraag is welke beveiligingsinstellingen dit veroorzaken.
ABP/Better Privacy/NoScript/ Ghostery uitgeschakeld en Firefox herstart
resultaat op http://www.fcgroningen.nl/home/, en nog steeds zelfde melding.
Firefox 41.0.1

Opvallend is dat [http://www.fcgroningen.nl/] niet is geblokkeerd, maar [http://www.fcgroningen.nl/home] en alle links
verder ook zijn geblokkeerd.
07-10-2015, 20:15 door Anoniem
Waarschuwing Dagblad van het Noorden voor virus op website FC Groningen

http://www.dvhn.nl/nieuws/groningen/website-fc-groningen-onbereikbaar-door-virus-13132303.html
07-10-2015, 21:01 door Anoniem
Inderdaad

* Virustotal geeft inderdaad aan dat diverse volglinks als 'supporters' en 'nieuws' reported zijn als malware site door Fortinet en Google Safebrowsing.

Google safebrowsing wordt inderdaad door Firefox en andere browsers gebruikt om voor malware domeinen te waarschuwen (mits je niet vanuit een zeker misplaatst technisch idee dat hebt uitgeschakeld in je about:config).
Bij mij ging de Firefox waarschuwing niet af omdat ik o.a. van een Easylist ABP filter gebruik maakte bij het bezoeken van die website.
Onder blockable items kun je zien dat Groningen gebruik maakt van advertenties via het OpenX. advertising netwerk.

* Adblocker

Geeft bijvoorbeeld aanwijzende code-varianten (wel wat spaties toegevoegd ;) in de trant van :

http://openx.fcgroningen. nl/www/delivery/ajs.php?zoneid=143&cb=78190541874&loc=http%3A//www.fcgroningen. nl/home/nieuws/&referer=http%3A//www.fcgroningen. nl/
...
http:// openx.fcgroningen. nl/www/delivery/avw.php?zoneid=143&n=d302f99
...

Laten we er bij wijze van spreken maar een fles tegenaan wedden dat het weer om malware gaat die via een advertising netwerk wordt geserveerd?
OpenX is een bekende op dat (malware serveer) gebied.


* Ghostery houdt deze usual suspect ook tegen overigens

Zelfde laken een tracking source url pak
Detected tracker source URLs:

http:// openx.fcgroningen. nl/www/delivery/ajs.php?zoneid=143&cb=78190541874&loc=http%3A//www.fcgroningen. nl/home/nieuws/&referer=http%3A//www.fcgroningen. nl/
http:// openx.fcgroningen. nl/www/delivery/avw.php?zoneid=143&n=d302f99
...


* Houdt zekerheidshalve maar het volgende geblokkeerd als je Groningen supporter bent (of nieuwsgierig naar de website) :

- Flashplugin
- iFrames
- In geval van een adblocker hou dan de blokkade op "openx." maar actief
- In geval van Ghostery, lekker laten blokkerenn en niet whitelisten


Wordt vervolgd :(
08-10-2015, 07:48 door Anoniem
Met alle respect. Maar FC Groningen? Dat is toch voetbal, een virus op zichzelf?
08-10-2015, 08:45 door Anoniem
Volgens het bericht in het Dagblad van het Noorden is de website al sinds woensdagmorgen omstreeks 11:00 uur aangemerkt door Google als onveilig. We zijn inmiddels donderdagmorgen en de website is nog steeds besmet.
Op de website van de supportersvereniging is ook nog geen waarschuwing te zien, wat je toch minimaal zou mogen verwachten. Ook op de sociale media van FC Groningen geen enkele waarschuwing te vinden.
08-10-2015, 12:13 door Ron625
De website is dan ook door iemand in elkaar gezet met een minimale kennis van HTML, het barst werkelijk van de syntax fouten ........
08-10-2015, 16:17 door Anoniem
Door Ron625: De website is dan ook door iemand in elkaar gezet met een minimale kennis van HTML, het barst werkelijk van de syntax fouten ........

Niet om het een of ander, maar ik ga ervan uit dat FC Groningen haar website toch laat onderhouden door een professioneel bedrijf. Als leek kan ik je oordeel niet beoordelen, maar als je gelijk hebt, dan is dit een grote schande.
Overigens is de website nog steeds niet schoon, belachelijk dus.
Op de sociale media slechts één mededeling van Nijland, dat er iets met de website niet in orde is, maar blij erbij vermeld, dat de kaartverkoop WEL mogelijk is. Het is maar net waar je prioriteit ligt.
Inmiddels zullen er toch wel de nodige bezoekers van de website van FC Groningen besmet zijn met malware of ander rotzooi.
08-10-2015, 16:43 door Anoniem
Ze gebruiken advertentie-software dat al 4,5 niet geupdate is. Open-X heet inmiddels niet eens meer Open-X, maar Revive Ad-server. De gebruikte versie 2.8.7 stikt van de vulnerabilities. Zwaar onverantwoord!
09-10-2015, 13:19 door Ron625
Door Anoniem:
Door Ron625: De website is dan ook door iemand in elkaar gezet met een minimale kennis van HTML, het barst werkelijk van de syntax fouten ........
Als leek kan ik je oordeel niet beoordelen, maar als je gelijk hebt, dan is dit een grote schande.
Op de website van het W3C: https://validator.w3.org/ kan je de url invoeren die getest moet worden op de juiste HTML syntax.
09-10-2015, 16:14 door Anoniem
Door Ron625:
Door Anoniem:
Door Ron625: De website is dan ook door iemand in elkaar gezet met een minimale kennis van HTML, het barst werkelijk van de syntax fouten ........
Als leek kan ik je oordeel niet beoordelen, maar als je gelijk hebt, dan is dit een grote schande.
Op de website van het W3C: https://validator.w3.org/ kan je de url invoeren die getest moet worden op de juiste HTML syntax.

Bedankt voor de verwijzing naar de W3C website.
Overigens is de website nog steeds besmet, of kan het zijn dat de fouten die erin worden geconstateerd de meldingen van een besmetting o.a. door Google veroorzaken.
09-10-2015, 17:41 door Anoniem
Door Ron625:
Door Anoniem:
Door Ron625: De website is dan ook door iemand in elkaar gezet met een minimale kennis van HTML, het barst werkelijk van de syntax fouten ........
Als leek kan ik je oordeel niet beoordelen, maar als je gelijk hebt, dan is dit een grote schande.
Op de website van het W3C: https://validator.w3.org/ kan je de url invoeren die getest moet worden op de juiste HTML syntax.

Superbedankt voor je inzichtelijke bijdrage, deed iedereen dat maar zo hier!

Nou, ja,..
wat HTML syntax precies is en waar het dan voor staat werd me niet duidelijk.
Dat wil zeggen, niet binnen de context van een malware alert door google safebrowsing.

'Gelukkig' hielp de tip van de validator link me wel verder daar waar google safe browsing mij nog niet kon waarschuwen!
Poehee, schrikken. Toen ik security.nl by de validator invulde kreeg ik allemaal syntax waarschuwingen!
Teken dus dat het om een malware domein gaat!

Wie heeft security.nl al gewaarschuwd dat de site met malware besmet is?
(besmet volgens de bijdragen van ene '181514FBE' dan, vermoed dat het meevalt)

[/sardonie] : Aan topics storen met 'interessante' maar niet ter zake doend lijkende opmerkingen omdat je ze niet onderbouwt heeft bijna niemand wat.
10-10-2015, 00:48 door Anoniem
Door Anoniem: De vraag is welke beveiligingsinstellingen dit veroorzaken.
Hint: het antwoord op je vraag wordt je door Mozilla op een presenteerblaadje aangeboden. Klik in de waarschuwing op "Waarom werd deze pagina geblokkerd?", lees de tekst en er gaat een wereld aan inzicht voor je open.
10-10-2015, 01:29 door Anoniem
Nu 10 oktober 2015 is -http://www.fcgroningen.nl/home/ nog steeds geblokkeerd door Google safebrowsing
als zijnde besmet met malware.

Zoals onderaan in mijn rapportje vermeld draait deze website op verouderde software -
dit is altijd een beveiligingsrisico. Updaten en upgraden die handel.

Fortinet geeft twee alerts voor malware, zie hier: https://urlquery.net/report.php?id=1444431160769
Content-Type: text/html; charset=iso-8859-1 moved permanently.IP 46.19.34.126

Bij Tilaa B.V. moet men dus in het rack.
Statically assigned space: url=http://46.19.34.126

Bij probleempjes als deze altijd een DNS scannetje doen, hoor.
DNS waarschuwing voor www.fcgroningen.nl geeft fout: delegatie niet aangetroffen bij parent.
Delegatie voor domein zonder www is OK
zie: http://dnscheck.sidn.nl/?time=1444431650&id=1832015&view=basic&test=standard

Externe links die dienen te worden gecheckt volgens mij OK zijn,
maar wel draaiend op verouderde software; updaten dus!
-http://www.flogs.com/c/fc_groningen/106 --> ''
HTTP Server: nginx 1.1.19
Operating System: Ubuntu 12.04 LTS (Precise Pangolin)
PHP Version: 5.3.10-1ubuntu3.11 (Outdated)
-http://fcgroningen.bmyteam.com/ --> ''
HTTP Server: nginx 1.0.15 (Outdated)
PHP Version: 5.5.27
-http://www.buyways.nl/ --> 'buyways'

Tot zover mijn snel "cold reconnaissance" scan rapportje, succes ermee voor
de website stafleden en natuurlijk de hoster van een en ander.
Een beetje pro-actief belied doet wonderen en beschermt vele bezoekers.

website snuffel
10-10-2015, 10:44 door Anoniem
Door Anoniem:
Door Anoniem: De vraag is welke beveiligingsinstellingen dit veroorzaken.
Hint: het antwoord op je vraag wordt je door Mozilla op een presenteerblaadje aangeboden. Klik in de waarschuwing op "Waarom werd deze pagina geblokkerd?", lees de tekst en er gaat een wereld aan inzicht voor je open.
Als je dan denigrerend naar anderen toe wilt zijn, zorg dan wel dat je zelf weet waar je het over hebt, in het vervolg.

OT:
Via de blokkeer-pagina in FF kun je enkel een link volgen naar een pagina van Mozilla. Die pagina geeft geen specifiek beeld van het probleem, maar louter een algemene pagina met informatie over het filter van Google Safebrowsing voor Mozilla FF, te weten: https://support.mozilla.org/nl/kb/hoe-werkt-ingebouwde-bescherming-phishing-malware?as=u&utm_source=inproduct

Mocht je willen weten wat er precies speelt bij de website van FC Groningen:
https://www.google.com/safebrowsing/diagnostic?site=fcgroningen.nl

Wat me daarbij opvalt, is dat de website van FC Groningen wél geblokkeerd wordt, maar Google.com niet? Want zie:
https://www.google.com/safebrowsing/diagnostic?site=google.com

Van de 5578279 pagina's die we in de afgelopen 90 dagen op de site hebben getest, resulteerde(n) 1864 pagina('s) in het downloaden en installeren van schadelijke software zonder toestemming van de gebruiker. Google heeft deze site het laatst bezocht op 2015-10-09 en het laatst verdachte inhoud op deze site aangetroffen op 2015-10-09.

Schadelijke software omvat 2202 trojan(s), 1500 exploit(s), 444 virus. Geslaagde infectie resulteerde in gemiddeld 2 nieuw(e) proces(sen) op het doelsysteem.

NB: https://www.virustotal.com/nl/url/b74a1b2cd3e128020c6f5efc34574ae7a7c45ac626735544dd069af0f1f3a364/analysis/1444466249/ Daaruit valt op te maken dat Google de site fcgroningen.nl niet langer als verdacht aanmerkt.

NB2: Iemand fcgroningen.org opgevallen?
10-10-2015, 19:25 door Anoniem
Door Anoniem:
Door Anoniem:
Door Anoniem: De vraag is welke beveiligingsinstellingen dit veroorzaken.
Hint: het antwoord op je vraag wordt je door Mozilla op een presenteerblaadje aangeboden. Klik in de waarschuwing op "Waarom werd deze pagina geblokkerd?", lees de tekst en er gaat een wereld aan inzicht voor je open.
Als je dan denigrerend naar anderen toe wilt zijn, zorg dan wel dat je zelf weet waar je het over hebt, in het vervolg.

OT:
Via de blokkeer-pagina in FF kun je enkel een link volgen naar een pagina van Mozilla. Die pagina geeft geen specifiek beeld van het probleem, maar louter een algemene pagina met informatie over het filter van Google Safebrowsing voor Mozilla FF, te weten: https://support.mozilla.org/nl/kb/hoe-werkt-ingebouwde-bescherming-phishing-malware?as=u&utm_source=inproduct

Mocht je willen weten wat er precies speelt bij de website van FC Groningen:
https://www.google.com/safebrowsing/diagnostic?site=fcgroningen.nl

Wat me daarbij opvalt, is dat de website van FC Groningen wél geblokkeerd wordt, maar Google.com niet? Want zie:
https://www.google.com/safebrowsing/diagnostic?site=google.com

Van de 5578279 pagina's die we in de afgelopen 90 dagen op de site hebben getest, resulteerde(n) 1864 pagina('s) in het downloaden en installeren van schadelijke software zonder toestemming van de gebruiker. Google heeft deze site het laatst bezocht op 2015-10-09 en het laatst verdachte inhoud op deze site aangetroffen op 2015-10-09.

Schadelijke software omvat 2202 trojan(s), 1500 exploit(s), 444 virus. Geslaagde infectie resulteerde in gemiddeld 2 nieuw(e) proces(sen) op het doelsysteem.

NB: https://www.virustotal.com/nl/url/b74a1b2cd3e128020c6f5efc34574ae7a7c45ac626735544dd069af0f1f3a364/analysis/1444466249/ Daaruit valt op te maken dat Google de site fcgroningen.nl niet langer als verdacht aanmerkt.

NB2: Iemand fcgroningen.org opgevallen?

Om met de laatste te beginnen, fcgroningen.org is ook besmet, en het is inmiddels zaterdagavond, en dus vanaf woensdagmorgen omstreeks 12:00 uur is de website van FC Groningen al besmet met malware.
Ook het legen van het cache van Firefox zojuist verandert daar niks aan.
De diagnostische pagina van fcgroningen.nl hierboven geeft geen malware besmetting aan, maar dat heeft die pagina ook helemaal nog niet gedaan, maar de links naar "Home, Nieuws, Teams, etc" die geven een besmetting aan.
11-10-2015, 09:26 door Anoniem
Het is inmiddels zondagmorgen 11 oktober en sinds woensdag 7 oktober geven Google en browser Firefox aan, dat de subpagina's van de website van FC Groningen besmet zijn met malware.
Uit links naar een diagnostische website zou moeten blijken dat er geen sprake is van malware besmetting, maar die diagnose betreft de hoofdpagina, en die is voor alle browsers gewoon zichtbaar, en duidelijk niet besmet.
Ook de analyse van de vele syntaxis fouten in de website is opgevoerd als potentiële veroorzaker.
Dat laatste kan worden uitgesloten, want die diagnose toegepast op veel willekeurige websites levert overal veel fouten in de programmering op.

Fierefox 41.0.1 geeft nog steeds aan dat de subpagina's van de website zijn besmet, en weigert toegang.
Ook Google geeft nog steeds aan de de subpagina's besmet zijn met malware.
In Explorer 11 daarentegen zijn de subpagina's gewoon zichtbaar
Van beide browsers is het ook cache leeggemaakt, zodat de website niet daaruit wordt geladen.


Wat hier dus gebeurt, is dat de gewone en dus ondeskundige gebruiker dus niet kan vertrouwen op deze waarschuwingen.
Nu zou ik wel eens een duidelijke deskundige uitleg willen krijgen, hoe een en ander mogelijk is.
11-10-2015, 10:57 door Anoniem

Wat hier dus gebeurt, is dat de gewone en dus ondeskundige gebruiker dus niet kan vertrouwen op deze waarschuwingen.
Nu zou ik wel eens een duidelijke deskundige uitleg willen krijgen, hoe een en ander mogelijk is.
Juist de ondeskundige gebruiker moet vertrouwen op deze waarschuwingen.
Heeft IE 11 deze extra controle niet en laat het dus wel zien ?

Net even geprobeerd met Firefox, website is weer toegankelijk en is dus weer verdwenen
van de besmette websites lijst.
11-10-2015, 14:44 door Anoniem
Door Anoniem:

Wat hier dus gebeurt, is dat de gewone en dus ondeskundige gebruiker dus niet kan vertrouwen op deze waarschuwingen.
Nu zou ik wel eens een duidelijke deskundige uitleg willen krijgen, hoe een en ander mogelijk is.
Juist de ondeskundige gebruiker moet vertrouwen op deze waarschuwingen.
Heeft IE 11 deze extra controle niet en laat het dus wel zien ?

Net even geprobeerd met Firefox, website is weer toegankelijk en is dus weer verdwenen
van de besmette websites lijst.

Het is dezelfde ondeskundige gebruiker die nog steeds de meldingen dat de website besmet is krijgt te zien.
www.fcgroningen.nl is niet besmet, maar www.fcgroningen.nl/home is wel besmet.
Ten eerste het cache is leeggemaakt, dus daar kan het niet aan liggen.
Ook de add-ons zoals Ghostery, NoScript, en ABP spelen daar geen enkele rol in.

Ja; Explorer 11 laat alle webpagina's van FC Groningen gewoon zien.

Op Google laten de subpagina's nog steeds een melding zien, "Deze site kan schade toebrengen aan uw computer."
De zoekmelding, " fc groningen nl home nieuws" op Google, laat zowel in Firefox als Explorer de bovenstaande waarschuwing zien.

Hier klopt natuurlijk iets niet, en de vraag is welke deskundige hier heeft daar een antwoord op.
12-10-2015, 07:27 door Anoniem
Het is simpel, de pagina www.fcgroningen.nl/home staat nog steeds als verdacht te boek.
En dus geeft Firefox een waarschuwing. Het werkt zoals het de bedoeling is.

https://www.google.com/safebrowsing/diagnostic?site=fcgroningen.nl/home
12-10-2015, 10:00 door Anoniem
Inmiddels is het maandag 12 Oktober, en ik heb de url van de hier genoemde website, ingevoerd bij Google diagnostic website. Onderstaande url zal als uitkomst moeten hebben:
"Deze site wordt momenteel niet vermeld als verdacht."

https://www.google.com/safebrowsing/diagnostic?site=fcgroningen.nl/

Vervolgens dezelfde url aanvullen met het woord "home" en ik krijg de volgende tekst.
Site is vermeld als verdacht - het bezoeken van deze website kan schade aan uw computer veroorzaken

https://www.google.com/safebrowsing/diagnostic?site=fcgroningen.nl/home/

Als er nu bezoekers zijn, die ten aanzien van de tweede url te lezen krijgen, dat de website niet verdacht is, dan kan ik niet anders concluderen, dat er iets structureel mis is met het gehele waarschuwing systeem.
Deze waarschuwingen kunnen immers niet IP adres gerelateerd zijn, maar moeten overal dezelfde uitslag geven.

Wie echt een onderbouwde verklaring hiervoor kan geven is welkom.
12-10-2015, 12:28 door Anoniem
Wat moet er verklaard worden ?
De pagina's onder /home zijn besmet en de pagina's die in de root op fcgroningen.nl staan niet.
Mogelijk dat ze niet meer besmet zijn, maar heeft de webmaster verzuimd om die
pagina's wederom door google te laten scannen.
Dat kan je ook lezen onderaan de pagina van google safebrowsing.
De webmaster moet een nieuwe recensie aanvragen voor de besmet gemarkeerde pagina's.
Wil je meer weten dan moet je bij de webmaster van fcgroningen.nl zijn.
12-10-2015, 13:12 door Anoniem
Door Anoniem: Wat moet er verklaard worden ?
De pagina's onder /home zijn besmet en de pagina's die in de root op fcgroningen.nl staan niet.
Mogelijk dat ze niet meer besmet zijn, maar heeft de webmaster verzuimd om die
pagina's wederom door google te laten scannen.
Dat kan je ook lezen onderaan de pagina van google safebrowsing.
De webmaster moet een nieuwe recensie aanvragen voor de besmet gemarkeerde pagina's.
Wil je meer weten dan moet je bij de webmaster van fcgroningen.nl zijn.

Duidelijke taal, als Google je aanmerkt als verdacht, moet je google verzoeken om herziening van die beschuldiging, hetgeen overigens de verplichting oplegt je te registreren bij google.
Opvallend in uw verhaal, is het ontbreken van uw eigen waarneming.
Er zijn namelijk gebruikers die aangeven geen melding van een verdachte website van Fc groningen te krijgen.
Ook blijkt dat Explorer die meldingen niet meer geeft, maar ik denk dat u ten aanzien van de oplossing wel de spijker op de kop slaat, en Fc Groningen zelf actie moet ondernemen.
12-10-2015, 15:56 door Anoniem
Internet Explorer doet niet mee aan het google safebrowsing verhaal.
Firefox en Chrome wel.
Gebruikers die geen melding krijgen gebruiken dus Internet Explorer of
hebben de safebrowsing in Firefox of Chrome uitgeschakeld of niet ingeschakeld.

Eigen waarneming : had ik al aangegeven, maar goed als Anoniem kan het van iedereen afkomen.
Geprobeerd met Firefox, geen melding.
12-10-2015, 18:39 door Anoniem
Door Anoniem: Internet Explorer doet niet mee aan het google safebrowsing verhaal.
Firefox en Chrome wel.
Gebruikers die geen melding krijgen gebruiken dus Internet Explorer of
hebben de safebrowsing in Firefox of Chrome uitgeschakeld of niet ingeschakeld.

Eigen waarneming : had ik al aangegeven, maar goed als Anoniem kan het van iedereen afkomen.
Geprobeerd met Firefox, geen melding.

Explorer gebruikt SmartScreen filter en die geeft aan dat de FC Groningen website geheel veilig is.
Volgens uw eigen waarneming met Firefox, zou dus de diagnose op onderstaande website de melding weergeven dat de site niet verdacht is, terwijl bij mij de melding word weergegeven dat de site wel verdacht is.
https://www.google.com/safebrowsing/diagnostic?site=fcgroningen.nl/home/

Er zit een duidelijke discrepantie in uw verhaal.
Om 12:28 schrijft anoniem: De pagina's onder /home zijn besmet en de pagina's die in de root op fcgroningen.nl staan niet.
Om 15:56 schrijft anoniem: Geprobeerd met Firefox, geen melding.

Ik sluit deze discussie, op grond van het vermoeden dat een Trol de zaak aan het verzieken is.
02-02-2016, 13:55 door Anoniem
Volgens avira zijn sommige pagina's nog steeds besmet, iemand enig idee of dit ook echt zo is?
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.