Ham.se utsatt för hackerattack

SA7LOO

Well-Known Member
Ah! Kolla råkoden efter du laddat sidan med Googles sökträffar. Möjligt att koden görs om. Ev att träffar dirigeras om till en server som ger länkar, eller att länkarna finns direkt i koden.
 

sm5phu

Well-Known Member
Ah! Kolla råkoden efter du laddat sidan med Googles sökträffar. Möjligt att koden görs om. Ev att träffar dirigeras om till en server som ger länkar, eller att länkarna finns direkt i koden.
Ligger problemet i så fall hos mig, eller inte hos mig?
Ligger problemet i så fall hos ham.se eller inte hos ham.se?
Eller ligger det rent av hos Google? (knappast...)

73,
Jonas/SM5PHU
 

SA7LOO

Well-Known Member
Det låter som att problemet ligger hos dig. Någon enstaka träff i online-verktyg för att scanna sajter behöver inte betyda något. Kan vara false positives också.

Jag hade nog ominstallerat. Därefter inaktiverat script och flash i webbläsare samt installerat adblock.

73, Hans
 

SM2OWW

Hm...
Om kollar på bifogad bild så ser man vad mitt virusskydd blockar.

View attachment 4000

Söker man i HTMLen för den sidan som jag gick in på så återfinns följande: (Jag har bytt ut . till - i URLen < och > till §)

§script type="text/javascript" src="http://www-ham-se/misc.php?v=421&amp;js=js"§§/script§

Så, Avast anser att det är något galet med detta som finns i HTMLen på ham.se
 

SM2OWW

Hm...
Om kollar på bifogad bild så ser man vad mitt virusskydd blockar.

View attachment 4000

Söker man i HTMLen för den sidan som jag gick in på så återfinns följande: (Jag har bytt ut . till - i URLen < och > till §)

§script type="text/javascript" src="http://www-ham-se/misc.php?v=421&js=js"§§/script§

Så, Avast anser att det är något galet med detta som finns i HTMLen på ham.se

----
EDIT: Detta när jag gör sökning på Google enligt tidigare inlägg och väljer första sökträffen.
 
Last edited:

SA7LOO

Well-Known Member
Du kan annars testa om det beror på DNS:en genom att byta till Google DNS: 8.8.8.8 | 8.8.4.4
 

SA7LOO

Well-Known Member
Om kollar på bifogad bild så ser man vad mitt virusskydd blockar.

View attachment 4000

Söker man i HTMLen för den sidan som jag gick in på så återfinns följande: (Jag har bytt ut . till - i URLen < och > till §)

§script type="text/javascript" src="http://www-ham-se/misc.php?v=421&js=js"§§/script§

Så, Avast anser att det är något galet med detta som finns i HTMLen på ham.se

----
EDIT: Detta när jag gör sökning på Google enligt tidigare inlägg och väljer första sökträffen.

Iofs sant. Tror ham.se kör vBulletin. Detta gränssnitt tycks vara en mod (SEO by vBSEO). Har bara pysslat med phpBB, så dålig koll.

Nog bättre att fråga någon webmaster om systemet är uppdaterat och om denne kan kolla upp detta närmre.

Det var enbart på ham.se du får dessa varningar?
 

SM0KBW

Well-Known Member
Nej, det gör det inte.

Jag gjorde just den här sökningen:
https://www.google.se/?gfe_rd=cr&ei=Uw3ZVKK5DeOO8Qef-IGgAQ&gws_rd=ssl#q=site:ham.se+antennavst%C3%A4mningsenhet

Länken överst i resultatlistan ser ut att peka på ham.se, men när jag klickar på den hamnar jag här:
Adult Dating and One Night Stands - AdultFriendFinder

Första gången. Om jag gör om samma sak en gång till blir det rätt. Gång på gång på gång blir det rätt. Tills jag startar om min browser och gör ett nytt "första försök". Då kan jag återigen hamna på någon skum sida.

73,
Jonas/SM5PHU


Jag kommer direkt till ham.se och tråden om avstämmaren, även med nystartad browser,

Kör win7 prof; firefox 35.0.1; Avira är mitt antivirusskydd.
 
Last edited:

sm5phu

Well-Known Member
Det låter som att problemet ligger hos dig. [...]
Jag hade nog ominstallerat.
Driver du med mig?

Som jag redan har försökt förklara, kan jag återskapa felet på flera olika hårdvaruplattformar, flera olika operativsystem, flera olka internetleverantörer. Var ska jag börja ominstallera?

73,
Jonas/SM5PHU
 

SA7LOO

Well-Known Member
Driver du med mig?

Som jag redan har försökt förklara, kan jag återskapa felet på flera olika hårdvaruplattformar, flera olika operativsystem, flera olka internetleverantörer. Var ska jag börja ominstallera?

73,
Jonas/SM5PHU

Intressant. Rest mig upp från soffan nu. Sorry för oinformerade inlägg.

Samma resultat för mig. Min maskin är definitivt inte infekterad. Ska felsöka lite mer.

Såhär ser sidan ut efter avstämmar-träffen ut för mig i Linux:
Screenshot from 2015-02-09 21:42:27.png
 

SA7LOO

Well-Known Member
sm4phu: du har rätt. Bollat detta med några med betydligt bättre koll än vad jag har. Felet ligger definitivt hos ham.se.

Antagligen någon gömd java-app på index-sidan som skickar ut injekterad js-kod.

Någon webmaster i tråden som kan hoppa in? Detta bör fixas så snart som möjligt.
 
Last edited:

sm5phu

Well-Known Member
Nu börjar det likna något :)

Jag har gjort en annan iakttagelse: Jag loggade ut från Google Plus, och efter att jag gjorde det har jag inte lyckats återskapa felet. Inte än, åtminstone.

73,
Jonas/SM5PHU
 

SM0KBW

Well-Known Member
Testade med Chrome & IE. Första googlingen gav redirektion - men bara första gången.
Inte ens omstart av datorn återställde "ompekningen" utan jag hamnar rätt vid googling
av ham.se, via din länk.

Skumt!
 

SA7LOO

Well-Known Member
Nu börjar det likna något :)

Jag har gjort en annan iakttagelse: Jag loggade ut från Google Plus, och efter att jag gjorde det har jag inte lyckats återskapa felet. Inte än, åtminstone.

73,
Jonas/SM5PHU

Jag lyckades logga in utan att ange lösenord. Klickade nog backspace lite för snabbt. Trodde jag såg fel först, men icke. Nog servern som inte hann ändra i en cookie. Oavsett vilket behöver systemet ses över. Korrupt js-kod är bara det väldigt illa.
 

SM0KBW

Well-Known Member
Nu börjar det likna något :)

Jag har gjort en annan iakttagelse: Jag loggade ut från Google Plus, och efter att jag gjorde det har jag inte lyckats återskapa felet. Inte än, åtminstone.

73,
Jonas/SM5PHU

Är aldrig inloggad på G+!
 

SA7LOO

Well-Known Member
Fått lite mer input nu. Finns en uppenbar risk att servern även används till DDoS-attacker. Lär krävas många timmar för att fixa detta. Ominstallation definitivt. Bör fixas omgående då det finns en uppenbar risk att fler än bara amatörer är drabbade.

Om jag själv får gissa lär det väl ha slarvats med uppdateringar vilket föranlett detta.
 

SA5A

Well-Known Member
Javisst är det något på ham.se. Jag brukar vanligtvis använda en favoritlänk och då ser man inga problem. Nu har jag testat med min iPad och min minimac. Oavsett om jag söker med Bing eller Google, och oavsett om jag använder Safari eller Chrome som webbläsare händer det där ni beskrivit. Jag sökte på sm5phu och som fjärde länkförslag var det till hans info på ham.se. Klick på den så kommer det upp reklam i och med att man länkas till olika sajter. Men det händer bara första gången, precis som beskrivits. Dock behöver man alltså inte försöka gå in till ham.se förstasida, utan det duger lika bra med någon annan sida på ham.se
Sture
 

SM3ZBB

Grumpy ol´man
Efter omstarten eller vad det var fick jag för första gången meddelande från mitt virusprogram om att en trojan blockerades. Gick in på Ham via artikellänk på Google.
 
Top