login  Naam:   Wachtwoord: 
Registreer je!
 Forum

Weer rare bestanden

Offline kenzo - 14/11/2009 10:07 (laatste wijziging 14/11/2009 10:28)
Avatar van kenzoPHP beginner Hallo,

(Zie dit topic voor mijn vorig probleem)

Ik heb een paar dagen gecontroleerd en geen rare bestanden gevonden...

totdat ik er net even aan dacht om te kijken en tot mijn verbazing weer een raar bestand zag (cfg.php)...

Nu komt het volgende probleem... Wat kan het nu zijn?
heb alles met XSS proberen op te lossen...


Vriendelijk bedankt

12 antwoorden

Gesponsorde links
Offline Koen - 14/11/2009 11:56
Avatar van Koen PHP expert Zoals ik al zei is XSS hier het probleem niet. Ik heb je toch al verteld over remote code execution?
Zonder code kunnen we je niet verderhelpen.
Offline kenzo - 14/11/2009 12:09
Avatar van kenzo PHP beginner jaja, maar welke code moet ik geven?

de hele site  ... 
Offline prienstra - 14/11/2009 23:28
Avatar van prienstra MySQL interesse Ik zei het toch! Je ftp gegevens zijn in verkeerde handen. Wijzig je ftp wachtwoord. Zoals eerder geschreven heb ik hetzelfd ook al 2 keer gehad.
Offline Koen - 15/11/2009 11:14
Avatar van Koen PHP expert
prienstra schreef:
Ik zei het toch! Je ftp gegevens zijn in verkeerde handen. Wijzig je ftp wachtwoord. Zoals eerder geschreven heb ik hetzelfd ook al 2 keer gehad.

Niet persé. Remote code execution of RFI lijkt me het meest logische op dit ogenblik.
Offline prienstra - 15/11/2009 11:34
Avatar van prienstra MySQL interesse Ik heb precies hetzelfde enkele weken geleden gehad. Wachtwoorden veranderd en nergens meer last van gehad.

Zoals in de vorig topic geschreven, heb ik het zelfs gehad op een eigen ontwikkel server die nergens bekend is. Op heel het internet is er geen enkele link naar. Toch had ik daar ook opeens van die rare bestanden en aangepaste files.
Offline TotempaaltJ - 15/11/2009 17:54
Avatar van TotempaaltJ PHP interesse
prienstra schreef:
Zoals in de vorig topic geschreven, heb ik het zelfs gehad op een eigen ontwikkel server die nergens bekend is. Op heel het internet is er geen enkele link naar.

Misschien nam een scriptje een random ip-adres?
Offline prienstra - 15/11/2009 20:28
Avatar van prienstra MySQL interesse ik heb 4 website's op + 1 testsite op de server. Alle website + de server stonden die gekke bestanden.

Erg toevallig als het random was.
Offline Dani - 18/11/2009 09:29
Avatar van Dani PHP gevorderde
prienstra schreef:
Ik heb precies hetzelfde enkele weken geleden gehad. Wachtwoorden veranderd en nergens meer last van gehad.

Zoals in de vorig topic geschreven, heb ik het zelfs gehad op een eigen ontwikkel server die nergens bekend is. Op heel het internet is er geen enkele link naar. Toch had ik daar ook opeens van die rare bestanden en aangepaste files.


Kijk eens in je logs ;)
Je zal zien dat mensen dagelijks proberen via ssh of andere op je server te geraken.
Dat zijn mensen die gewoon sequentieel of random alle ip adressen uitproberen (meestal gaan zij ip reeksen van datacenters gebruiken) en hopen dan ergens een server tevinden met domme wachtwoorden.
Offline prienstra - 18/11/2009 10:02
Avatar van prienstra MySQL interesse Dat klopt. Dit is inderdaad zo. Maar het probleem waar de TS mee zit, heeft hier niks mee te maken.

De TS heeft met dit probleem te maken:
http://www.tech...-the-loose/
Offline ArieMedia - 18/11/2009 10:21
Avatar van ArieMedia Gouden medaille

PHP ver gevorderde
Lees dit anders even.

3 oorzaken staan hier aangegeven:
remote code execution.

Ga deze langs en dicht je lekken.
Offline jc2 - 18/11/2009 15:55 (laatste wijziging 18/11/2009 15:56)
Avatar van jc2 PHP interesse Ik heb recentelijk een email ontvangen van mijn hostingprovider waarin ik word gewaarschuwd voor dergelijke dingen. Dit kan het dus ook zijn:

Citaat:
Geachte relatie,

Steeds vaker zien we dat een site gehacked is doordat de FTP wachtwoorden zijn achterhaald door het zogenaamde Gumlar virus.

Op deze site kunt u hier meer informatie over lezen.

http://webwerel...cker-.html

Let op! Er is grote kans dat dit ook bij u is gebeurd. We adviseren dan ook dat u uw wachtwoorden aanpast van uw website. Van DirectAdmin en uw FTP. We zien het nu dagelijks meerdere keren voorbij komen!

Ik zou adviseren een goede virus scanner te gebruiken zoals Nod32 ( www.nod32.nl )

Heeft u vragen, stel deze dan hier.

Vragen via de email kunnen we helaas niet beantwoorden over dit onderwerp.

Met vriendelijke groet,
*******
Offline prienstra - 19/11/2009 08:01 (laatste wijziging 19/11/2009 08:29)
Avatar van prienstra MySQL interesse Ja dat vermoed ik inderdaad ook. Ik heb hier ook last van gehad.
Gesponsorde links
Dit onderwerp is gesloten.
Actieve forumberichten
© 2002-2024 Sitemasters.be - Regels - Laadtijd: 0.319s