My website infected?

Hi,

I’ve been using Avast for years, without any problems. I recently moved my website to a different host, Byethost. When I visit my website, Avast displays a ‘threat detected’ warning, saying something about an infected script [trj]. After a few minutes, another 12 popups appear, displaying URL:mal. I’ve never had any problems with my website before, and I just moved my website. I run the lastest Wordpress version. I’ve used multiple online website scans, and they all come back negative for any viruses.
http://urlquery.net/report.php?id=1419283508358

I’ve just enabled Cloudflare, so my website might not be online for a while, sorry about that.
my url is hxxp://gijsthee.nl/

Let me know if you need more information about things.

  • Gijs

PS: I just found out I can’t reach hxxp://cpanel.byethost12.com/ either because of URL:mal, is it a byethost problem?

html scan
https://www.virustotal.com/en/file/015fd19a44892010da6a5126934241acff218cda4225f6fa572ed907ab9b1302/analysis/1419286241/

URL blacklist check
https://www.virustotal.com/en/url/0e1c4da4aef1d531b12dfcaef5198f77add822a3a08d987077d6fe17fa1c0f99/analysis/1419286284/

IP history …show many domains on same IP and many are blacklisted
https://www.virustotal.com/en/ip-address/185.27.134.167/information/

IPvoid http://www.urlvoid.com/ip/185.27.134.167

We have found in our database of already analyzed websites that [b]there are 88 websites hosted[/b] in the same web server with IP address 185.27.134.167. Remember that it is not good to have too many websites located in the same web server because if a website gets infected by malware, it can easily affect the online reputation of the IP address and also of all the other websites.

Beste Gijs,

Netcraft scan geeft een risico van 1 op een schaal van 10: http://toolbar.netcraft.com/site_report/?url=gijsthee.nl
Kijk even naar de WP versie waar dit op draait: Wordpress Version 3.8 for: htxp://gijsthee.nl/wp-includes/js/wp-ajax-response.js
WordPress theme: htxp://gijsthee.byethost12.com/wp-content/themes/tdpersona/ Is de code vatbaar voor exploits.
Naamserver problemen en andere waarschuwingen: http://dnscheck.iis.se/?time=1419287629&id=4443477&view=basic&test=standard
Ik krijg hier gijsthee dot nl,185.27.134.167,ns2.byet dot org,Parked/expired, (http://www.urlvoid.com/ip/185.27.134.167)
Deze situatie verhoogt de veiligheid van je domain op dit IP adres niet bepaald (86 andere websites op een en hetzelfde IP adres)
Van dit IP adres worden ondermeer trojan downloaders verspreid. Daarom vermoed ik dat je ten prooi ben gevallen van een algemeen IP blok, en kun je via virus@avast.com vragen om een uitzondering voor je website domein. Ik ben een vrijwilliger met relevante kennis, maar geen avast team lid en kan de site dus niet de-blokkeren, dat moet een van hen doen (mits er geen andere beletsels zijn kan dit vrij snel).
Is traffic server geupdate? Ik zie ook WP-stat malware of een normale linktracker, is dit OK?

 st_go({v:'ext',j:'1:3.3',blog:'////81234909',post:'0',tz:'0'});
	var load_cmc =//// function(){linktracker_init(/////812349/////09,0,2);};
	if ( typeof addLoad////Event != 'undefined' ) addLoadEvent(load_cmc);
	else load_cmc(); 

Bovenstaande code wordt nu automatisch gegenereerd door WP/Stats, dus veilig.
Verder geen opmerkingen.

polonus
(vrijwiilig website beveiligingsanalyst en website error-hunter)

Wat betreft de vraag over cpanel., er zijn waarchuwingen wat betreft, zie: https://asafaweb.com/Scan?Url=cpanel.byethost12.com
Een redirect kwestie: Code: 302, htxp://panel.byethost.com
Redirect naar externe server! En dit wordt door avast geblokkeerd, als een onveilige site dus., wellicht vanwege PHISH-ing.
https://www.mywot.com/en/scorecard/byethost12.com?utm_source=addon&utm_content=popup
Sommige beschouwen het als een “fake site”. Wat de veiligheid betreft zegt volgende link wel genoeg, dunkt me. Zie: http://bugmenot.com/view/musika.byethost12.com etc. (als zoiets niet geblokkeerd wordt daar, dan telt beveiliging niet zo zeer en weten ze niet goed waarmee ze bezig zijn). Ik hoop dat zulke log-ins in ieder geval niet meer open staan, anders ben je gezien bij iemand die ze ontdekt.

polonus

Oké, wat ik uit bovenstaande reacties opmaak is dat mijn website zelf niet geinfecteerd is, maar dat er wel geinfecteerde websites op de webserver aanwezig zijn.
Duidelijk, dan ga ik ondertussen maar weer op zoek naar een andere (gratis/goedkope) webhost. Als iemand nog tips heeft, zijn die natuurlijk welkom.

Bedankt voor jullie reacties!

Ha Gijs,

Bij het checken kan je wel even nakijken of er sprake is van wat fundamentele hosting beveiliging, via scans op http://www.dnsinspect.com/ en naar hun header security, via: http://cyh.herokuapp.com/cyh Geven ze details weg over de server configuratie of draaien ze oude brakke boel, zoals versie nummer etc. dan gelijk wegwezen. Exessieve header proliferatie is het eerste houvast voor hackers om te zien of de boel wel goed geupdate en gepatched is. Bij afraid dot org als naamservers ook gelijk wegzijn of 1000 webdomeinen onder 1 en hetzelde IP-adres -niet aan beginnen. WP kernel code is meestal veilig, maar pas op met plug-ins en thema’s van derden. Sucuri de boel laten bijhouden of hier de site laten monitoren http://www.websicherheit.at/en/website-security-check/ ontlast je van een heleboel gedoe, maar kost wat over het hele jaar. Maar ja voor een dubbeltje op de eerste rang zitten, je weet wat dat betekent :wink:
In geval van problemen, je weet ons nu te vinden. :wink:

polonus