Computerbeveiliging
- Hoe je bad guys buiten de deur houdt
Onterechte (?) waarschuwingen door McAfee
24-08-2013, 13:44 door webuplease, 19 reacties
Wat moet je doen als een bepaalde schone site onterechte bedreigingswaarschuwingen krijgt van McAfee? Ik heb de html-site (die ik zelf gemaakt heb) gescand met Avast: geen problemen. Als je echter op Google zoekt naar teunissenmode en je hebt McAfee geinstalleerd, krijg je voor elke pagina een waarschuwing. Heeft dat misschien te maken met het gebruik van html-bestanden die met WOW-slider zijn aangemaakt en die onderdeel van de pagina's uitmaken?
De eigenaar van de site is natuurlijk niet blij met die waarschuwingen.
De eigenaar van de site is natuurlijk niet blij met die waarschuwingen.
Reacties (19)
@ webuplease, 13:44 uur,
Bedoel je de McAfee SiteAdvisor waarschuwing?
Zie: http://www.siteadvisor.com/sites/www.teunissenmode.nl/
"Websitecategorie: Schadelijke downloads"
Het blijkt niet alleen McAfee SiteAdvisor te zijn die een bedreiging ziet in die website.
Bij scannen van de URL door middel van VirusTotal melden ook Bitdefender en Fortinet een bedreiging, zie:
https://www.virustotal.com/nl/url/96c09cde090e98aa457437b6f2f308acc1e2fcb31e587bd44dd376de6868fb0a/analysis/1377357828/
In de Aanvullende informatie van die VirusTotal analyse:
"BitDefender domain information:
The URL domain/host was seen to host badware at some point in time"
Is de betreffende URL mogelijk eerder door een ándere "teunissenmode" gebruikt?
De kans bestaat dat die eerdere site niet deugde en dat de URL daarom nu nog steeds geblacklist is.
Maar uiteraard bestaat er ook een kans dat er iets niet helemaal deugt aan de opmaak van de huidige site.
Bedoel je de McAfee SiteAdvisor waarschuwing?
Zie: http://www.siteadvisor.com/sites/www.teunissenmode.nl/
"Websitecategorie: Schadelijke downloads"
Het blijkt niet alleen McAfee SiteAdvisor te zijn die een bedreiging ziet in die website.
Bij scannen van de URL door middel van VirusTotal melden ook Bitdefender en Fortinet een bedreiging, zie:
https://www.virustotal.com/nl/url/96c09cde090e98aa457437b6f2f308acc1e2fcb31e587bd44dd376de6868fb0a/analysis/1377357828/
In de Aanvullende informatie van die VirusTotal analyse:
"BitDefender domain information:
The URL domain/host was seen to host badware at some point in time"
Is de betreffende URL mogelijk eerder door een ándere "teunissenmode" gebruikt?
De kans bestaat dat die eerdere site niet deugde en dat de URL daarom nu nog steeds geblacklist is.
Maar uiteraard bestaat er ook een kans dat er iets niet helemaal deugt aan de opmaak van de huidige site.
24-08-2013, 20:28 door
webuplease
Hallo Spiff,
Dank je wel voor je commentaar. De situatie is, dat ik de site heb gemaakt (met Dreamweaver) en dat iemand van Teunissen Mode de site (de teksten) af en toe aanpast m.b.v. Contribute. Er zitten volgens mij geen gekke dingen in de site. Het is allemaal gewone html-code. Voor de voorstelling aan de rechterzijde maak ik gebruik van html-bestanden die automatisch met WOW-slider worden gegenereerd. Die html-code voer ik in in de betreffende pagina's. Ik heb gezocht naar verdachte code in de documenten, maar heb die niet gevonden. Maar misschien zie ik iets over het hoofd?
Kun jij iets vreemds aan de code ontdekken?
Alvast dank voor je moeite.
Groet,
Joost
Dank je wel voor je commentaar. De situatie is, dat ik de site heb gemaakt (met Dreamweaver) en dat iemand van Teunissen Mode de site (de teksten) af en toe aanpast m.b.v. Contribute. Er zitten volgens mij geen gekke dingen in de site. Het is allemaal gewone html-code. Voor de voorstelling aan de rechterzijde maak ik gebruik van html-bestanden die automatisch met WOW-slider worden gegenereerd. Die html-code voer ik in in de betreffende pagina's. Ik heb gezocht naar verdachte code in de documenten, maar heb die niet gevonden. Maar misschien zie ik iets over het hoofd?
Kun jij iets vreemds aan de code ontdekken?
Alvast dank voor je moeite.
Groet,
Joost
24-08-2013, 21:18 door
Spiff has left the building
Door webuplease:
Kun jij iets vreemds aan de code ontdekken?
Ik heb niet de vaardigheden om dat goed te kunnen beoordelen.Kun jij iets vreemds aan de code ontdekken?
Iemand anders misschien?
Vanwege de BitDefender domain information in de Aanvullende informatie van de VirusTotal analyse, die vermeldt:
"The URL domain/host was seen to host badware at some point in time",
(nogmaals) de vraag:
Is die betreffende teunissenmode.nl URL helemaal nieuw, of was er eerder al een teunissenmode.nl site? Dat kan een eerdere versie van die site van die zaak zijn geweest, misschien opgemaakt door iemand anders, of zelfs een site van een geheel andere teunissenmode waarvan de URL is vrijgekomen en hergebruikt.
Heb je enig idee?
Zou www.teunissenmode.nl in het recente verleden zijn gebruikt voor een site die niet deugde, dan zou dat kunnen verklaren dat die URL nu nog steeds is geblacklist, als resultaat van de status van de vorige versie van die site.
Overigens kun je bij McAfee SiteAdvisor een nieuwe beoordeling aanvragen. (Houd er wel rekening mee dat het lang kan duren voordat dat invloed heeft op de SiteAdvisor weergave.)
Misschien is het ook mogelijk een nieuwe beoordeling aan te vragen bij Bitdefender en bij Fortinet?
Maar daarvoor is het uiteraard wel verstandig eerst zeker te weten dat de code van de site nu werkelijk schoon is. Ik hoop dat iemand anders dat voor je kan beoordelen.
24-08-2013, 21:43 door
webuplease
Wederom dank voor je antwoord en voor je tips. De site is al een aantal jaren oud, dus daar kan het volgens mij niet aan liggen. Wel is het zo dat er recentelijk een melding was van een ondeugdelijk jpg.bestandje. Dat bestandje heb ik uiteraard verwijderd. Misschien ligt daar de oorzaak.
Ik zal een nieuwe beoordeling aanvragen, zodat de blacklist geschoond kan worden. Ik zal mijn provider hierover benaderen.
Is er nog iemand anders die wil reageren op dit bericht?
Ik zal een nieuwe beoordeling aanvragen, zodat de blacklist geschoond kan worden. Ik zal mijn provider hierover benaderen.
Is er nog iemand anders die wil reageren op dit bericht?
24-08-2013, 22:20 door
Spiff has left the building
Door webuplease:
Ik zal een nieuwe beoordeling aanvragen, zodat de blacklist geschoond kan worden.
Ik zal mijn provider hierover benaderen.
Um, ik denk niet dat de provider daarmee iets van doen heeft, toch?Ik zal een nieuwe beoordeling aanvragen, zodat de blacklist geschoond kan worden.
Ik zal mijn provider hierover benaderen.
De site-eigenaar, of jij daarvoor, kan een McAfee SiteAdvisor herbeoordeling aanvragen,
en mogelijk geldt hetzelfde bij Bitdefender en Fortinet.
25-08-2013, 14:25 door
Spiff has left the building
Door webuplease:
Is er nog iemand anders die wil reageren op dit bericht?
Ik hoop het voor je.Is er nog iemand anders die wil reageren op dit bericht?
Maar sinds het vernieuwen van de site op 6 augustus is het niet meer zo druk op het Security.nl forum.
De zomervakantie zal zeker meespelen, maar ook het feit dat anders dan eerder het totaaloverzicht van de recent actieve forum-topics niet meer op de frontpage staat, dat zal zeker een rol spelen, en ook het ontbreken van de optie om e-mail notificaties te kunnen ontvangen dat helpt niet mee.
Het forum-overzicht komt binnenkort weer terug op de frontpage, zo is door de redactie beloofd. Dat zal een verbetering zijn. Of dat forum-overzicht op de frontpage dan ook weer wordt gerangschikt op recente activiteit, zoals voorheen, daarover is nog niets medegedeeld. En ook over de vraag of feature requests zoals het herstellen van de notificatie-optie worden ingewilligd, ook daarover is tot op heden nog steeds niets medegedeeld.
Hoe dan ook, momenteel is de respons op het forum beperkt. Hopelijk wordt dat weer beter wanneer de redactie eerdere functionaliteit herstelt.
27-08-2013, 23:51 door
Bitwiper
Door webuplease:Is er nog iemand anders die wil reageren op dit bericht?
Beetje laat, maar wie weet nog relevant.Volgens http://ip.robtex.com/217.170.4.22.html draaien er minstens 100 andere "servers" (web, maar ook mail en ftp zo te zien) op het IP-adres dat bij www.teunissenmode.nl hoort. Als maar 1 van die sites de afgelopen tijd iets naars heeft verspreid, belandt het (gedeelde) IP-adres vaak op 1 of meer blacklists, zoals bijv. door McAfee (SiteAdvisor) worden beheerd.
Een belangrijk nadeel van shared hosting is dat als er maar 1 foute eigenaar tussen zit, of iemand die onzorgvuldig met wachtwoorden omspringt, de kans aanzienlijk is dat zo'n IP-adres op één of meer blaclists belandt. Dit is een van de grootste nadelen van shared hosting...
28-08-2013, 11:44 door
Spiff has left the building
Dankjewel voor je reactie van gisteren 23:51 uur, Bitwiper.
Ik hoop dat webuplease er wat aan heeft.
Voor mij was het in ieder geval zeer verhelderend.
Ik was uit het oog verloren dat een site het IP-adres kan delen met een andere site, en ik was niet bekend met het fenomeen dat bij shared hosting het adres gedeeld kan worden met ánderen, ik dacht dat enkel gedeeld werd met andere adressen van eenzelfde bedrijf. Nogal een eye opener voor me dus. En dat dan ook nog gedeeld wordt met een paar honderd anderen, dat is helemaal verbluffend.
"There are more than two hundred host names that point to the IP number 217.170.4.22."
Dat wat je aangaf, Bitwiper, "Een belangrijk nadeel van shared hosting is dat als er maar 1 foute eigenaar tussen zit, of iemand die onzorgvuldig met wachtwoorden omspringt, de kans aanzienlijk is dat zo'n IP-adres op één of meer blacklists belandt." dat lijkt me niet op te lossen door de beheerder van één van de gehoste sites, zoals webuplease voor teunissenmode. Je hebt immers geen controle over hoe de anderen waarmee je het IP-adres deelt hun sites beheren.
Als het niet al te duur is om een eigen, niet shared, adres te huren, dan is dat wellicht een stuk prettiger dan het delen van een adres.
Ik hoop dat webuplease er wat aan heeft.
Voor mij was het in ieder geval zeer verhelderend.
Ik was uit het oog verloren dat een site het IP-adres kan delen met een andere site, en ik was niet bekend met het fenomeen dat bij shared hosting het adres gedeeld kan worden met ánderen, ik dacht dat enkel gedeeld werd met andere adressen van eenzelfde bedrijf. Nogal een eye opener voor me dus. En dat dan ook nog gedeeld wordt met een paar honderd anderen, dat is helemaal verbluffend.
"There are more than two hundred host names that point to the IP number 217.170.4.22."
Dat wat je aangaf, Bitwiper, "Een belangrijk nadeel van shared hosting is dat als er maar 1 foute eigenaar tussen zit, of iemand die onzorgvuldig met wachtwoorden omspringt, de kans aanzienlijk is dat zo'n IP-adres op één of meer blacklists belandt." dat lijkt me niet op te lossen door de beheerder van één van de gehoste sites, zoals webuplease voor teunissenmode. Je hebt immers geen controle over hoe de anderen waarmee je het IP-adres deelt hun sites beheren.
Als het niet al te duur is om een eigen, niet shared, adres te huren, dan is dat wellicht een stuk prettiger dan het delen van een adres.
02-09-2013, 13:19 door
webuplease
Heren (ik neem tenminste aan dat jullie heren zijn...), hartelijk dank.
Joost Walter, webuplease
Joost Walter, webuplease
02-09-2013, 13:23 door
webuplease
Hallo Bitwiper en Spiff,
Ik kom er nog even op terug. Mijn eigen site is ook onderdeel van die shared server, evenals andere door mij gemaakt sites. Die leveren geen van alle problemen op. Volgens mijn provider zit het probleem dus echt bij McAfee. Daar moeten ze de blacklist aanpassen. En die reageren dus niet.
Ik heb de Consumentenbond ook om advies gevraagd. Ben benieuwd wat die te melden hebben.
Een niet shared server is overigens te kostbaar, dus we moeten roeien met de riemen die we hebben ...
Groet
Webuplease
Ik kom er nog even op terug. Mijn eigen site is ook onderdeel van die shared server, evenals andere door mij gemaakt sites. Die leveren geen van alle problemen op. Volgens mijn provider zit het probleem dus echt bij McAfee. Daar moeten ze de blacklist aanpassen. En die reageren dus niet.
Ik heb de Consumentenbond ook om advies gevraagd. Ben benieuwd wat die te melden hebben.
Een niet shared server is overigens te kostbaar, dus we moeten roeien met de riemen die we hebben ...
Groet
Webuplease
Door webuplease:Ik heb de Consumentenbond ook om advies gevraagd. Ben benieuwd wat die te melden hebben.
Die zullen niet meer te melden hebben dan dat het de consumentenbond is en dus niet voor bedrijven als Teunissen Mode en Webuplease. Je kunt dan beter bij een vereniging voor webontwikkelaars te rade gaan.
Peter
02-09-2013, 15:18 door
Spiff has left the building
Door webuplease:
Heren (ik neem tenminste aan dat jullie heren zijn...)
Dat mag best, hoor, maar je kunt dat uiteraard niet met zekerheid aannemen.Heren (ik neem tenminste aan dat jullie heren zijn...)
Op IT en andere tech sites zal de verhouding man/vrouw veelal meer aan de mannetjes-kant liggen, dus met gokken op man heb je een groter kans dan met gokken op vrouw, maar nicknames zeggen in principe niets over man dan wel vrouw.
Ikzelf probeer daarom altijd beide mogelijkheden maar in het oog te houden, en zo veel mogelijk sekse-neutraal te formuleren.
Een paar jaar geleden maakte Bitwiper een opmerking waarmee die niet uitsloot een vrouw te kunnen zijn :-)
https://www.security.nl/posting/34195/
02-09-2013, 15:25 door
Spiff has left the building
Door webuplease, 13:23 uur:
Volgens mijn provider zit het probleem dus echt bij McAfee. Daar moeten ze de blacklist aanpassen.
Vergeet niet dat niet alleen McAfee SiteAdvisor maar ook Bitdefender nog steeds een bedreiging ziet in die site:Volgens mijn provider zit het probleem dus echt bij McAfee. Daar moeten ze de blacklist aanpassen.
https://www.virustotal.com/nl/url/96c09cde090e98aa457437b6f2f308acc1e2fcb31e587bd44dd376de6868fb0a/analysis/1378128083/
Ik dacht ik kijk even wat er dan met die site mis is en meteen de index pagina (startpagina) bevat al een blunder:
achter de </body></html> van de eigenlijke pagina zit nog een stuk geplakt met een paar divs en scripts erin.
Dit wijst vaak op malware besmetting. Ik kan me voorstellen dat security scanners hier op aanslaan.
Zorg er voor dat deze spullen binnen de body komen.
Waarschijnlijk speelt dat probleem op je hele site.
achter de </body></html> van de eigenlijke pagina zit nog een stuk geplakt met een paar divs en scripts erin.
Dit wijst vaak op malware besmetting. Ik kan me voorstellen dat security scanners hier op aanslaan.
Zorg er voor dat deze spullen binnen de body komen.
Waarschijnlijk speelt dat probleem op je hele site.
03-09-2013, 01:49 door
mvh69
Door webuplease: Wederom dank voor je antwoord en voor je tips. De site is al een aantal jaren oud, dus daar kan het volgens mij niet aan liggen. Wel is het zo dat er recentelijk een melding was van een ondeugdelijk jpg.bestandje. Dat bestandje heb ik uiteraard verwijderd. Misschien ligt daar de oorzaak.
Ik zal een nieuwe beoordeling aanvragen, zodat de blacklist geschoond kan worden. Ik zal mijn provider hierover benaderen.
Is er nog iemand anders die wil reageren op dit bericht?
Ik zal een nieuwe beoordeling aanvragen, zodat de blacklist geschoond kan worden. Ik zal mijn provider hierover benaderen.
Is er nog iemand anders die wil reageren op dit bericht?
Dat ondeugdelijke jpeg bestandje dat je verwijdert hebt zou heel goed op een infectie kunnen wijzen zoals je in dit artikel kunt lezen : https://www.security.nl/posting/41910/Malware+verstopt+in+EXIF-header+van+JPEG-afbeelding
suc6
Ik lees dat Bitwiper het heeft over > 100 en jij schrijft:
Door Spiff: En dat dan ook nog gedeeld wordt met een paar honderd anderen, dat is helemaal verbluffend.
"There are more than two hundred host names that point to the IP number 217.170.4.22.".
Ik kijk nu 6 dagen later in die link en lees "about 95". Dan vraag ik me af waar die verschillen in zitten. Ik kan me eigenlijk niet voorstelen dat het aantal gehoste sites op dat IP zo snel afneemt. Of zijn ze alle sites aan het omzetten naar een ander IP vanwege de onbetrouwbaarheidswaarschuwingen, waar ook alle andere site eigenaren last van moeten hebben?"There are more than two hundred host names that point to the IP number 217.170.4.22.".
Door Briolet: Ik lees dat Bitwiper het heeft over > 100 en jij schrijft:
Het verschil is dat jij een andere regel leest. Als je even doorleest dan zie je die andere getallen ook staan.Door Spiff: En dat dan ook nog gedeeld wordt met een paar honderd anderen, dat is helemaal verbluffend.
"There are more than two hundred host names that point to the IP number 217.170.4.22.".
Ik kijk nu 6 dagen later in die link en lees "about 95". Dan vraag ik me af waar die verschillen in zitten. Ik kan me eigenlijk niet voorstelen dat het aantal gehoste sites op dat IP zo snel afneemt. Of zijn ze alle sites aan het omzetten naar een ander IP vanwege de onbetrouwbaarheidswaarschuwingen, waar ook alle andere site eigenaren last van moeten hebben?"There are more than two hundred host names that point to the IP number 217.170.4.22.".
Ik denk dat de robtex.com pagina een toplevel domein gelijk stelt aan een site en dat is niet hetzelfde als een hostnaam.
Bijvoorbeeld www.sitenaam.nl en sitenaam.nl (plus wellicht ftp.sitenaam.nl en mail.sitenaam.nl) worden allemaal als 1
site geteld, maar wel als meerdere hostnamen.
Het is natuurlijk een keuze van de hoster hoeveel sites ze op 1 IP adres draaien. Dat is een configuratiekwestie, en
als ze hun zaakjes een beetje voor elkaar hebben kunnen ze dit simpel anders indelen. Bijv een site of een groep
sites naar een ander IP verhuizen.
18-09-2013, 13:47 door
webuplease
En zomaar uit het niets (na ruim drie weken wachten) komt er een antwoord van McAfee dat de klacht in behandeling wordt genomen. De volgende dag wordt de site niet meer als riskant aangemerkt. Geen uitleg, geen excuses, nada noppes.
Maar Teunissen Mode is blij.
Maar Teunissen Mode is blij.
Door webuplease:
En zomaar uit het niets (na ruim drie weken wachten) komt er een antwoord van McAfee dat de klacht in behandeling wordt genomen. De volgende dag wordt de site niet meer als riskant aangemerkt.
Leuk voor de McAfee SiteAdvisor gebruikers, en voor Teunissen Mode als die daar al tevreden mee is,En zomaar uit het niets (na ruim drie weken wachten) komt er een antwoord van McAfee dat de klacht in behandeling wordt genomen. De volgende dag wordt de site niet meer als riskant aangemerkt.
maar volgens VirusTotal en volgens URLVoid blijft Bitdefender nog steeds een bedreiging zien:
https://www.virustotal.com/nl/url/96c09cde090e98aa457437b6f2f308acc1e2fcb31e587bd44dd376de6868fb0a/analysis/1379505638/
http://www.urlvoid.com/scan/teunissenmode.nl/
Bitdefenders eigen "TrafficLight" meldt echter "We haven't seen any suspicious activity from this website"
http://trafficlight.bitdefender.com/info?url=http://teunissenmode.nl
maar dat voorkomt blijkbaar niet uit dat ándere Bitdefender componenten (zoals gebruikt door VirusTotal en URLVoid) daar een andere kijk op hebben.
Reageren
Deze posting is gelocked. Reageren is niet meer mogelijk.
Toezichthouder informatiebeveiliging Overheid
Rijksinspectie Digitale Infrastructuur (RDI)
Vind je het leuk om als toezichthouder bij te dragen aan de verdere groei in informatie-beveiliging van de overheid en in contact te staan met (belangen) organisaties binnen de overheid? Dan kun je komen bouwen aan toezicht op een veilige en betrouwbare Digitale Infrastructuur in Nederland.
Adviseur Informatiebeveiliging
Je bent een belangrijke speler om invulling te geven aan de gemeentelijke ambities op het gebied van informatiebeveiliging. Deze ambities neem jij op in het Informatie-beveiligingsbeleid Gemeente Zoetermeer. Wil je helpen bij het verbeteren van de informatiebeveiliging in Zoetermeer en het versterken van het cyberbewustzijn binnen onze organisatie? Wacht dan niet en kom ons team informatiebeveiliging versterken!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.