Vreemde scripts in (root) van webserver

Overzicht Reageren

Sponsored by: Vacatures door Monsterboard

Keven Vanovertveldt

Keven Vanovertveldt

19/05/2018 18:11:27
Quote Anchor link
Beste leden,

Hieronder vind u een link terug waar ik een script heb geuploaded die ik kon terug vinden in de root van mijn website server. Er zijn in totaal 4 bestanden op mijn server geplaatst geweest, en niet allemaal in de root.

Plaatscode 142713 (ww: keverineke)

Ook werden de extenties van de html pagina van het fotoalbum map veranderd van "index.html" naar "index.html.bak.bak" waardoor het foto album die in een iframe staat niet werd weergegeven en in de plaats daarvan een "500" error kreeg natuurlijk.

Zou dit ge injecteerd geweest zijn of heeft iemand daarvoor de server moeten betreden?


Mvg,
keverineke.
Gewijzigd op 19/05/2018 18:32:08 door Keven Vanovertveldt
 
PHP hulp

PHP hulp

29/11/2024 15:36:58
 
- Ariën  -
Beheerder

- Ariën -

19/05/2018 18:16:49
Quote Anchor link
En wat zegt de error-log over de 500-error?
En wat bewijst de algemene log-file?

Voor de veiligheid je script offline halen, dan bewijzen zoeken, lek dichten.
En dan concluderen of je echt gehacked bent.

Zo ja, dan zou ik een re-install van de server zeker overwegen.

Oh ja, er zit een wachtwoord achter je link!
Gewijzigd op 19/05/2018 18:17:42 door - Ariën -
 
Keven Vanovertveldt

Keven Vanovertveldt

19/05/2018 18:31:55
Quote Anchor link
Oh ja, het ww is "keverineke"
 
- Ariën  -
Beheerder

- Ariën -

19/05/2018 18:36:24
Quote Anchor link
Dit ziet er echt niet normaal uit! Vooral het feit dat de code obfuscated is, en in een stukken is gehakt, met rare bestandsnamen.


Zet je eval eens om in een print() dan kan je meteen zien wat er gebeurt.
Gewijzigd op 19/05/2018 18:37:28 door - Ariën -
 
Jan te Pas

Jan te Pas

19/05/2018 18:38:53
Quote Anchor link
Kijk even goed of jij nergens een bestand hebt staan, zoals een php manager, of een file-uploader die niet goed beveiligd is. Kijk goed in de log wanneer en welk ip-adres is gebruikt. Ik heb het een keer gehad. Toen bleek dat een uploader, als test, in een directory stond. En daar wist een robot gebruik van te maken. Kortom goed jouw veiligheid controleren en overal nieuwe wachtwoorden op zetten. Tevens het ip-adres van de 'gebruiker' gaan blocken!
 
Keven Vanovertveldt

Keven Vanovertveldt

19/05/2018 18:48:50
Quote Anchor link
- Ariën - op 19/05/2018 18:36:24:
Dit ziet er echt niet normaal uit! Vooral het feit dat de code obfuscated is, en in een stukken is gehakt, met rare bestandsnamen.


Zet je eval eens om in een print() dan kan je meteen zien wat er gebeurt.

Het laatste begrijp ik niet :)

Ik vraag ondertussen de log files op, ik host op one.com
En Gebruik FileZilla als uploader, voor de rest niets.

Vraag me af hoe ze erop komen, en als ze dat effectief gedaan hebben.
Want ik vind het vreemd dat het "maar" enkel het foto album is.
Anders zouden ze toch meer omzeep helpen.. ?
 
- Ariën  -
Beheerder

- Ariën -

19/05/2018 19:06:50
Quote Anchor link
Keven Vanovertveldt op 19/05/2018 18:48:50:
- Ariën - op 19/05/2018 18:36:24:
Dit ziet er echt niet normaal uit! Vooral het feit dat de code obfuscated is, en in een stukken is gehakt, met rare bestandsnamen.


Zet je eval eens om in een print() dan kan je meteen zien wat er gebeurt.

Het laatste begrijp ik niet :)

Gewoon eval vervangen door print of echo
 
Keven Vanovertveldt

Keven Vanovertveldt

19/05/2018 19:13:36
Quote Anchor link
Ik heb gewoon al deze troep van der server gehaald ja! :p
Gewijzigd op 19/05/2018 19:13:53 door Keven Vanovertveldt
 
- Ariën  -
Beheerder

- Ariën -

19/05/2018 19:16:44
Quote Anchor link
Dan weten we nog niet wat het doet :-/

Daarom altijd veiligstellen voor research. Eerste belangrijkste punt bij digitaal opsporingswerk.
 
Keven Vanovertveldt

Keven Vanovertveldt

19/05/2018 19:24:11
Quote Anchor link
Jammer genoeg kan je bij One.com niet meteen aan de log files :O #2018
Je moet dit per e-mail aanvragen, dus moet ik wss minimum tot dinsdag wachten!!!

Ik heb dus alles verwijderd omdat het terug zou werken, van als ik de log files heb (wss volgende week)
zal ik hierop terugkomen op phphulp.

Ik heb back-up van deze bestanden op hdd.
 
- Ariën  -
Beheerder

- Ariën -

19/05/2018 19:27:18
Quote Anchor link
Keven Vanovertveldt op 19/05/2018 19:24:11:
Jammer genoeg kan je bij One.com niet meteen aan de log files :O #2018
Je moet dit per e-mail aanvragen, dus moet ik wss minimum tot dinsdag wachten!!!

Slechte hosting dus. He wilt zelf toch altijd weten wat er in je error-log staat?
Ik zou de hosting liever vragen hoe je er zelf bij komt, en anders lekker gewoon overstappen. Je moet niet voor elk wissewasje van hun afhankelijk zijn.
Quote:
Ik heb dus alles verwijderd omdat het terug zou werken, van als ik de log files heb (wss volgende week)
zal ik hierop terugkomen op phphulp.

Ik heb back-up van deze bestanden op hdd.

Mooi zo! Vervang die eval functie eens door echo of print, en je ziet welke code er wordt geprobeerd uit te voeren. Dan weet je in ieder geval wat de schade zal zijn. Ikzelf zou toch aanraden om je hostingpakket opnieuw aan te laten maken, of helemaal leeg te halen.

Het zou triest zijn als er misschien nu een phishingsite of ander malafide script wordt gehost op een moeilijk vindbare plek.
Gewijzigd op 19/05/2018 19:27:38 door - Ariën -
 



Overzicht Reageren

 
 

Om de gebruiksvriendelijkheid van onze website en diensten te optimaliseren maken wij gebruik van cookies. Deze cookies gebruiken wij voor functionaliteiten, analytische gegevens en marketing doeleinden. U vindt meer informatie in onze privacy statement.