Archief - Hacked?

Het archief is een bevroren moment uit een vorige versie van dit forum, met andere regels en andere bazen. Deze posts weerspiegelen op geen enkele manier onze huidige ideeën, waarden of wereldbeelden en zijn op sommige plaatsen gecensureerd wegens ontoelaatbaar. Veel zijn in een andere tijdsgeest gemaakt, al dan niet ironisch - zoals in het ironische subforum Off-Topic - en zouden op dit moment niet meer gepost (mogen) worden. Toch bieden we dit archief nog graag aan als informatiedatabank en naslagwerk. Lees er hier meer over of start een gesprek met anderen.
U

Unrach

Legacy Member
Hey allemaal,

Ik ken bijna niets van web hacking af maar ik heb vandaag een raar bestandje aangetroffen tussen mijn web bestanden op mijn host.

Het had dezelfde naam als een image maar dan stond er php bij. Ik heb het bestandje zelf ook eens in dreamweaver geopend waarin meer dan 3000 lines php code staat geschreven waarvan ik 80% nie eens snap wat het doet.

Ik zie wel zeer veel database connecties terug komen en ook ergens ne echo met "owned by hacker". Dus ik veronderstel dat het wel degelijk gaat om een hackers script.

Ik heb al ne ticket naar mijn host company gestuurd, maar wilde toch ook hier eens vragen of iemand al van
Code: 
c999Shell, Shadow & Preddy
gehoord heeft?

Dat zouden de makers van dat scriptje moeten zijn zoals in de code staat aangeven. Weet iemand hier meer over?? Ik ben echt wel ongerust geworden. Ik heb al meteen ne backup van alles gemaakt..

Ik heb het scriptje ook geziped geupload. Zou ik dat hier ook eens mogen posten?

Alvast bedankt!
C

Cyberkef

Legacy Member
Ik ben alleszins geintresseerd om es te piepen in die file :)

(ik laat het wel aan de mods over om te beslissen of het effectief hier mag gepost worden of niet ^.^)
U

Unrach

Legacy Member
Cyberkef zei:
Ik ben alleszins geintresseerd om es te piepen in die file :)

(ik laat het wel aan de mods over om te beslissen of het effectief hier mag gepost worden of niet ^.^)
Klik om te vergroten...

Ja daarom heb ik het nog nie meteen gepost. Moet ik het anders eens PMen naar u?
Z

Zero Grav

Legacy Member
Hebt ge op uw host ergens een file upload, meer bepaald een image upload script? als dat slecht beveiligd is dan kunnen zij door middel van dat script een php-bestand uploaden en uitvoeren op uw server waardoor ze inderdaad eender wat kunnen doen.

Of hebt ge in het algemeen ergens scripts geüpload die ge geschreven hebt zonder veel ervaring, of (oudere) versies van PHPBB2, Wordpress, Drupal, ..?

Als ik naar die namen Google dan kom ik uit op een edit van een gallery script trouwens, dus wellicht is het ergens een bug in zo'n script dat ervoor zorgt dat er kwaadaardige bestanden geüpload kunnen worden.
U

Unrach

Legacy Member
Cyberkef zei:
Yoa, doe maar :)
Klik om te vergroten...

done

Zero Grav zei:
Hebt ge op uw host ergens een file upload, meer bepaald een image upload script? als dat slecht beveiligd is dan kunnen zij door middel van dat script een php-bestand uploaden en uitvoeren op uw server waardoor ze inderdaad eender wat kunnen doen.

Of hebt ge in het algemeen ergens scripts geüpload die ge geschreven hebt zonder veel ervaring, of (oudere) versies van PHPBB2, Wordpress, Drupal, ..?

Als ik naar die namen Google dan kom ik uit op een edit van een gallery script trouwens, dus wellicht is het ergens een bug in zo'n script dat ervoor zorgt dat er kwaadaardige bestanden geüpload kunnen worden.
Klik om te vergroten...

Ik heb een recente phpbb versie lopen op mijne website. En inderdaad, de directory waarin dat scriptje stond is een upload dir. Ik heb zelf een CMS geschreven voor mijn website dat normaal beveiligd is tegen sql injection.

Maar ik ga voor de zekerheid die CMS even offline brengen..
Z

Zero Grav

Legacy Member
Het uploaden van een verkeerd bestand is geen SQL Injection (hence the name). 't Zal dus effectief dat uploadscript zijn waar te weinig beveiliging in zit en ge hebt dus wellicht gewoon last van scriptkiddies die dat hebben uitgeprobeerd.
b

bugoff

Legacy Member
Het makkelijkste wat je kan doen is, mail uw bestandsnaam door naar uw provider, met een beetje geluk kan hij in de servers logs zoeken wanneer het bestand gehit is en door welk ip. Met dat ip kan je normaal wel vinden hoe het erop is gekomen, of toch een idee krijgen, een andere manier is in de serverslogs zoeken naar POST's op een normale site gaat dit niet zoveel voorkomen.
U

Unrach

Legacy Member
Ja ik heb het scriptje doorgemaild naar mijne provider, ik wacht nog op antwoord. En wat ik met sql injection bedoelde was dat dan eerste iemand in mijn CMS is geraakt. Want ik heb nergens anders een functie dat mensen kunnen uploaden. En zeker niet naar die map.

Maar zero, gij denkt dus niet dat het om echt iets ergs gaat?

EDIT:

Heb antwoord van mijne provider:
Hello,

Unfortunately we don't provide code debug but we strongly recommend to you change your hosting account password and database password.
Also check all your content for viruses.
Klik om te vergroten...

Die wille dus ook nie veel doen.. ben echt aan denken om van hun weg te gaan -.- .. ter gebeurd ook bijna elke maand ne DDos attack ...
b

bugoff

Legacy Member
uh, php_shell is wel iets ernstig :)

Daarmee hebben ze toegang tot uw volledige documentroot, kunnen ze een ssh daemon starten, of andere perl scripts uitvoeren (meestal bots) ...
Z

Zero Grav

Legacy Member
Als scriptkiddies (als het al van daar komt hè) het al kunnen exploiteren, dan de grotere ook. Dus 't is sowieso wel een beveiligingsrisico dat moet worden aangepakt, anders gaat ge vroeg of laat wel eens tegen de lamp lopen ermee.
C

Cyberkef

Legacy Member
c999Shell is de naam van het scriptje, een shell om paswoorden, configs, open poorten, ... uit te lezen en andere vieze dingen gemakkelijker mee te doen met de besmette server.

Bij zelfgeschreven uploadscripts niet vergeten controleren op extentie! php files laten uploaden door derden = nono :p
U

Unrach

Legacy Member
Doeme he.. ik zit in de serieuze probleme zo te zien. Ik ga meteen ook het database paswoord veranderen.

EDIT: Ik hoop nu nie dak te laat ben want mijne website is ineens nie meer toegankelijk oO
U

Unrach

Legacy Member
Ik heb mijne provider wa bang gemaakt dat het toch om iets ernstig gaan en nu zegge ze ineens dat ze het bestandje toch eens gaan bekijken. -.-
w

woony

Legacy Member
site al terug in orde?
ik ben anders ook wel eens geinsteresseerd in da scriptje, wil dat wel eens zien wat het uitsteekt, dus mag je mij ook pm'en :).

Al antwoord van uw hosting? en wie is uw hosting btw?
U

Unrach

Legacy Member
woony zei:
site al terug in orde?
ik ben anders ook wel eens geinsteresseerd in da scriptje, wil dat wel eens zien wat het uitsteekt, dus mag je mij ook pm'en :).

Al antwoord van uw hosting? en wie is uw hosting btw?
Klik om te vergroten...

PM gestuurd.

De site is terug in orde ja. De hacker heeft niets verwijderd of gewijzigd. Maar ben ergens bang dat hij dat bestandje niet meer nodig heeft. Dat hij nu alles kan doen.

Het hosting bedrijf waar ik bij zit is namecheap.com en ze hebben dit geantwoord:
Dear Jordy,

As far as I can see this is php backdoor code. Please check all your files and MySQL databases if there are any that you didn't create.
Klik om te vergroten...

Heb ik dus ook gedaan. Heb verder niets meer aangetroffen.
T

Tyfius

Legacy Member
Ik ben ook wel is benieuwd naar dat bestandje. Ge moogt mij dat ook altijd is PM'en.
a

adrianhates

Legacy Member
Unrach zei:
PM gestuurd.

De site is terug in orde ja. De hacker heeft niets verwijderd of gewijzigd. Maar ben ergens bang dat hij dat bestandje niet meer nodig heeft. Dat hij nu alles kan doen.

Het hosting bedrijf waar ik bij zit is namecheap.com en ze hebben dit geantwoord:


Heb ik dus ook gedaan. Heb verder niets meer aangetroffen.
Klik om te vergroten...

Nu moet ge opletten, een server die gehacked is zal wss altijd gehacked blijven.. Dus zie dat ze niet "het proberen te herstellen" maar dat ze gewoon nen clean install van de server hebben. Anders zou ik heel rap weg zijn daar.
U

Unrach

Legacy Member
Tyfius zei:
Ik ben ook wel is benieuwd naar dat bestandje. Ge moogt mij dat ook altijd is PM'en.
Klik om te vergroten...
done

adrianhates zei:
Nu moet ge opletten, een server die gehacked is zal wss altijd gehacked blijven.. Dus zie dat ze niet "het proberen te herstellen" maar dat ze gewoon nen clean install van de server hebben. Anders zou ik heel rap weg zijn daar.
Klik om te vergroten...

Ik zal het eens zeggen, maar ik vrees of ze dat wel gaan doen.
fuck man, dit is echt vervelend. Ik was net mijne website volledig aan het vernieuwen, ook mijne database is volledig vernieuwd en hij zou normaal eind van de week klaar zijn. Maar nu moet mij eerst gaan bezig houden met deze prul -.- .. ik snap echt nie waarom ter zo een mensen zijn die zich daar mee bezig houden he
C

Curahee Q

Legacy Member
Tja, ieder zijn eigen hobby zeker.

Naar mij moogt ge het ook altijd wel is doorsturen.
Het archief is een bevroren moment uit een vorige versie van dit forum, met andere regels en andere bazen. Deze posts weerspiegelen op geen enkele manier onze huidige ideeën, waarden of wereldbeelden en zijn op sommige plaatsen gecensureerd wegens ontoelaatbaar. Veel zijn in een andere tijdsgeest gemaakt, al dan niet ironisch - zoals in het ironische subforum Off-Topic - en zouden op dit moment niet meer gepost (mogen) worden. Toch bieden we dit archief nog graag aan als informatiedatabank en naslagwerk. Lees er hier meer over of start een gesprek met anderen.
Terug
Bovenaan