Vreemde scripts in (root) van webserver
Hieronder vind u een link terug waar ik een script heb geuploaded die ik kon terug vinden in de root van mijn website server. Er zijn in totaal 4 bestanden op mijn server geplaatst geweest, en niet allemaal in de root.
Plaatscode 142713 (ww: keverineke)
Ook werden de extenties van de html pagina van het fotoalbum map veranderd van "index.html" naar "index.html.bak.bak" waardoor het foto album die in een iframe staat niet werd weergegeven en in de plaats daarvan een "500" error kreeg natuurlijk.
Zou dit ge injecteerd geweest zijn of heeft iemand daarvoor de server moeten betreden?
Mvg,
keverineke.
Gewijzigd op 19/05/2018 18:32:08 door Keven Vanovertveldt
En wat bewijst de algemene log-file?
Voor de veiligheid je script offline halen, dan bewijzen zoeken, lek dichten.
En dan concluderen of je echt gehacked bent.
Zo ja, dan zou ik een re-install van de server zeker overwegen.
Oh ja, er zit een wachtwoord achter je link!
Gewijzigd op 19/05/2018 18:17:42 door - Ariën -
Oh ja, het ww is "keverineke"
Zet je eval eens om in een print() dan kan je meteen zien wat er gebeurt.
Gewijzigd op 19/05/2018 18:37:28 door - Ariën -
Kijk even goed of jij nergens een bestand hebt staan, zoals een php manager, of een file-uploader die niet goed beveiligd is. Kijk goed in de log wanneer en welk ip-adres is gebruikt. Ik heb het een keer gehad. Toen bleek dat een uploader, als test, in een directory stond. En daar wist een robot gebruik van te maken. Kortom goed jouw veiligheid controleren en overal nieuwe wachtwoorden op zetten. Tevens het ip-adres van de 'gebruiker' gaan blocken!
- Ariën - op 19/05/2018 18:36:24:
Dit ziet er echt niet normaal uit! Vooral het feit dat de code obfuscated is, en in een stukken is gehakt, met rare bestandsnamen.
Zet je eval eens om in een print() dan kan je meteen zien wat er gebeurt.
Zet je eval eens om in een print() dan kan je meteen zien wat er gebeurt.
Het laatste begrijp ik niet :)
Ik vraag ondertussen de log files op, ik host op one.com
En Gebruik FileZilla als uploader, voor de rest niets.
Vraag me af hoe ze erop komen, en als ze dat effectief gedaan hebben.
Want ik vind het vreemd dat het "maar" enkel het foto album is.
Anders zouden ze toch meer omzeep helpen.. ?
Keven Vanovertveldt op 19/05/2018 18:48:50:
Het laatste begrijp ik niet :)
- Ariën - op 19/05/2018 18:36:24:
Dit ziet er echt niet normaal uit! Vooral het feit dat de code obfuscated is, en in een stukken is gehakt, met rare bestandsnamen.
Zet je eval eens om in een print() dan kan je meteen zien wat er gebeurt.
Zet je eval eens om in een print() dan kan je meteen zien wat er gebeurt.
Het laatste begrijp ik niet :)
Gewoon eval vervangen door print of echo
Gewijzigd op 19/05/2018 19:13:53 door Keven Vanovertveldt
Daarom altijd veiligstellen voor research. Eerste belangrijkste punt bij digitaal opsporingswerk.
Je moet dit per e-mail aanvragen, dus moet ik wss minimum tot dinsdag wachten!!!
Ik heb dus alles verwijderd omdat het terug zou werken, van als ik de log files heb (wss volgende week)
zal ik hierop terugkomen op phphulp.
Ik heb back-up van deze bestanden op hdd.
Keven Vanovertveldt op 19/05/2018 19:24:11:
Jammer genoeg kan je bij One.com niet meteen aan de log files :O #2018
Je moet dit per e-mail aanvragen, dus moet ik wss minimum tot dinsdag wachten!!!
Je moet dit per e-mail aanvragen, dus moet ik wss minimum tot dinsdag wachten!!!
Slechte hosting dus. He wilt zelf toch altijd weten wat er in je error-log staat?
Ik zou de hosting liever vragen hoe je er zelf bij komt, en anders lekker gewoon overstappen. Je moet niet voor elk wissewasje van hun afhankelijk zijn.
Quote:
Ik heb dus alles verwijderd omdat het terug zou werken, van als ik de log files heb (wss volgende week)
zal ik hierop terugkomen op phphulp.
Ik heb back-up van deze bestanden op hdd.
zal ik hierop terugkomen op phphulp.
Ik heb back-up van deze bestanden op hdd.
Mooi zo! Vervang die eval functie eens door echo of print, en je ziet welke code er wordt geprobeerd uit te voeren. Dan weet je in ieder geval wat de schade zal zijn. Ikzelf zou toch aanraden om je hostingpakket opnieuw aan te laten maken, of helemaal leeg te halen.
Het zou triest zijn als er misschien nu een phishingsite of ander malafide script wordt gehost op een moeilijk vindbare plek.
Gewijzigd op 19/05/2018 19:27:38 door - Ariën -