Archief - Hacked?

Unrach · 9 mrt 2010

Curahee Q zei:
Tja, ieder zijn eigen hobby zeker.

Naar mij moogt ge het ook altijd wel is doorsturen.

done

en ik heb nog een reactie van mijne provider gehad.

ear Jordy,

This script could cause any damage to the whole server because of our security polices but thank you for the information. Also we can re-create you account to be sure that all files were deleted. Please advise.

En dat ga ik ook zeker eens laten doen!

Tyfius · 9 mrt 2010

Mijn virusscanner gaf al warnings op die zip file over een trojan

't Ziet er wel een voos ding uit.

Unrach · 9 mrt 2010

inderdaad!

btw.. ik heb nu al mijn bestanden van mijn host gehaald. Is er een manier om op inhoud van die bestanden te zoeken of er ergens nog zo iets tussen zit?

Lord Kveldulv · 9 mrt 2010

Gewoon deleten en uw originele code terug plaatsen. Of een backup van voor het gehacked is.
Maar daarmee is uw code nog niet beveiligd.
In feite moeten hier 2 dingen gebeuren. Jij of uw host moeten uw website asap offline halen en die mag pas terug online komen wanneer jij gevonden hebt langswaar ze binnen geraakt zijn.
En de host moet de server nakijken. In theorie kan je stellen dat een fresh install het beste is. Maar mits goed beveiligd gaat die hacker niet buiten uw account geraakt zijn. Dat is aan hen om te weten maar laten we hopen dat ze niet the easy way kiezen.

Jonathan · 9 mrt 2010

Stuur mij dat bestandje ook eens aub

Unrach · 9 mrt 2010

Lord Kveldulv zei:
Gewoon deleten en uw originele code terug plaatsen. Of een backup van voor het gehacked is.
Maar daarmee is uw code nog niet beveiligd.
In feite moeten hier 2 dingen gebeuren. Jij of uw host moeten uw website asap offline halen en die mag pas terug online komen wanneer jij gevonden hebt langswaar ze binnen geraakt zijn.
En de host moet de server nakijken. In theorie kan je stellen dat een fresh install het beste is. Maar mits goed beveiligd gaat die hacker niet buiten uw account geraakt zijn. Dat is aan hen om te weten maar laten we hopen dat ze niet the easy way kiezen.

Ze gaan alleen mijn account opnieuw installeren. En dan ga ik elk bestand nakijken voor dat ik het opnieuw upload. Ze zeggen dat hun beveiliging goed genoeg is maar ze gaan het wel eens nakijken denk ik.

Jonathan zei:
Stuur mij dat bestandje ook eens aub

done

Bv202 · 9 mrt 2010

Mag ik dat bestandje ook eens zien aub?

Leuk dat je alles wilt nakijken, maar die PhpBB-installatie heeft enkele honderden bestanden geloof ik. Dus je zal dit oftewel moeten herinstalleren (hopelijk heb je dan niet te veel modificaties) oftewel heb je veel werk.

Ik raad aan zeker het bestand ucp.php in die PhpBB-installatie te checken. Ideaal bestandje om kwaadaardige code in te zetten

Unrach · 9 mrt 2010

Jonathan zei:
Stuur mij dat bestandje ook eens aub

Bv202 zei:
Mag ik dat bestandje ook eens zien aub?

Leuk dat je alles wilt nakijken, maar die PhpBB-installatie heeft enkele honderden bestanden geloof ik. Dus je zal dit oftewel moeten herinstalleren (hopelijk heb je dan niet te veel modificaties) oftewel heb je veel werk.

Ik raad aan zeker het bestand ucp.php in die PhpBB-installatie te checken. Ideaal bestandje om kwaadaardige code in te zetten

Pm gestuurd. En die phpbb installatie ga ik opnieuw installeren ja. Er zitten een stuk of 10 mods op. Is nog wel doen baar.

Lord Kveldulv · 9 mrt 2010

Good luck zonder apache logs. Dat is zoeken naar een naald in een hooiberg zonder te weten hoe een naald er uit ziet. Met logs kunt ge vrijwel meteen zien wie wat waar en wanneer. Ik vind nu wel dat uw host dat meteen al had mogen doen. Niet om u te helpen maar om de veiligheid van hun eigen server te checken.

KenSpectre · 9 mrt 2010

Curahee Q zei:
Tja, ieder zijn eigen hobby zeker.

Naar mij moogt ge het ook altijd wel is doorsturen.

idd, en mij moogde ook sture. Wil altijd wel bijleren over security.

BleKKie · 9 mrt 2010

KenSpectre zei:
idd, en mij moogde ook sture. Wil altijd wel bijleren over security.

idd, mag je mij ook wel eens sturen.

Unrach · 9 mrt 2010

Ik wil nu nie ambetant gaan doen, maar bang dat dit nog verkeerd gaat aflopen om dat bestandje zo te verspreiden. Nu zijn hier zoveel mensen daarnaar aan het vragen, ik ben bang dat hier iemand tussen zit die meer bedoelingen heeft dan het alleen maar eens te bekijken.. Dit is geen topic geworden waar ge efkes een php hack bestand kunt aanvragen he.

Ik vind het fijn dat ge allemaal zo geintresseerd zijt, ma ik ga efkes wachten op ne moderator wa zijn gedacht hiervan is..

KenSpectre · 9 mrt 2010

Unrach zei:
Ik wil nu nie ambetant gaan doen, maar bang dat dit nog verkeerd gaat aflopen om dat bestandje zo te verspreiden. Nu zijn hier zoveel mensen daarnaar aan het vragen, ik ben bang dat hier iemand tussen zit die meer bedoelingen heeft dan het alleen maar eens te bekijken.. Dit is geen topic geworden waar ge efkes een php hack bestand kunt aanvragen he.

np, is te begrijpe en idd beter zo

yaris · 9 mrt 2010

Zon bestand zal je zeker wel ergens kunnen vinden / kopen ( van de russen

). Dat is het probleem niet. Het probleem is hoe ze het op jou server hebben gekregen

.

Lord Kveldulv · 9 mrt 2010

Unrach zei:
Ik wil nu nie ambetant gaan doen, maar bang dat dit nog verkeerd gaat aflopen om dat bestandje zo te verspreiden. Nu zijn hier zoveel mensen daarnaar aan het vragen, ik ben bang dat hier iemand tussen zit die meer bedoelingen heeft dan het alleen maar eens te bekijken.. Dit is geen topic geworden waar ge efkes een php hack bestand kunt aanvragen he.

Ik vind het fijn dat ge allemaal zo geintresseerd zijt, ma ik ga efkes wachten op ne moderator wa zijn gedacht hiervan is..

Een minuutje zoeken en ge hebt het in uw pollen.
Dit script heeft uw site niet gehacked he. Dit script is geupload naar uw site om bepaalde zaken te automatiseren en te vergemakkelijker. Maw dit is 100% een scriptkiddie die gewoon ergens een standaard exploit gevonden heeft in uw site. Open source heeft ook een dark side, en nog geen kleintje.

Is uw site volledig defaced? Kijk anders eens op sites zoals Zone-H om te zien of ge nergens listed staat. Als het dat maar is was het hem voor de trofee te doen. Niet om de server te gebruiken voor andere illegale zaken. Waar ik een doorsnee scriptkiddie zowieso al niet toe in staat acht.

En really, vraag die logs op. Anders komt ge echt niks te weten. En als ge een IP hebt kunt ge altijd ne abuse mail sturen. Hoe verder naar het oosten hoe minder response dat ge zult krijgen. Hoe verder naar het westen hoe serieuzer ze het nemen. Maar ik zou toch zowieso proberen. Voor hetzelfde is het het IP van ne server die ook gehacked is en is die admin nog niet op de hoogte.

dJeez · 9 mrt 2010

Het is nu niet dat het script niet online te vinden is, dus het zelf verspreiden moet je echt niet doen. Nu, bij een security breach is het eerste ding dat je best kan doen de stekker uittrekken (figuurlijk gezien dan), dan nagaan waar het probleem ligt (logs kunnen handig zijn), het gat dichten, je hele webspace (en ook databases - daar moet ik op drukken want dikwijls wordt dat uit het oog verloren) scannen op problemen en pas als alles ok is de stekker er terug in.

Als je Open Source scripts gebruikt (phpBB, Joomla en andere) kan je je best inschrijven op hun security mailing lists (de meeste projecten hebben die wel). Direct updaten als er een exploit ontdekt / gepatched werd is de boodschap, ook al schat je het risico op een hack laag in (vergeet niet dat er geautomatiseerde scripts zijn die gewoon 't web afspeuren naar bepaalde versies van soft omdat geweten is dat daar lekken in zitten).

9 kansen op de 10 staat er trouwens op z'n minst 1 hidden folder (naam beginnend met .) op je webspace waar een hele collectie rommel in terug te vinden is (phishing sites ed meer). Via een FTP client zal je die in principe niet zien, via een shell account wel.

BTW Je inschrijven op de advisories van vb. Secunia kan nuttig zijn.

Unrach · 9 mrt 2010

Mijn account is volledig gewist. Omdat ik toch aan een nieuwe website ben begonnen ga ik mijne oude er niet meer opzetten. Merci voor de tips als. Ik ga er zeker verder mee gaan.

Unrach · 10 mrt 2010

Unfortunately we do not store access.log file after it was rotated and processed by log analyzer.

Wat die logs betreft zal dus niks zijn -.-

Lord Kveldulv · 10 mrt 2010

Unrach zei:
Wat die logs betreft zal dus niks zijn -.-

Cheapo hosting? Wat mij betreft gaat die admin daar zwaar in de fout.

dJeez zei:
Als je Open Source scripts gebruikt (phpBB, Joomla en andere) kan je je best inschrijven op hun security mailing lists (de meeste projecten hebben die wel). Direct updaten als er een exploit ontdekt / gepatched werd is de boodschap, ook al schat je het risico op een hack laag in (vergeet niet dat er geautomatiseerde scripts zijn die gewoon 't web afspeuren naar bepaalde versies van soft omdat geweten is dat daar lekken in zitten).

Even then! Paar jaar geleden meegemaakt bij een klant met eigen VM en een hoop Joomla sites. Om 22h wordt er melding gedaan van een nieuwe exploit. Om 1h 's nachts waren de klant z'n sites al gehacked. 9h volgende morgen mochten we beginnen zoeken.
Op dat vlak ben ik echt geen fan van open source.

Unrach · 10 mrt 2010

namecheap.com is tans toch een kwaliteit hosting. Ik zit er nu al 5 jaar bij en meot zegge dat de support zeer goed is. (op gebied van snelheid dan). Ook doen ze veel voor u. Als ge van server wilt verandere moet ge het ma gewoon vrage enz..

Archief - Hacked?

Unrach

Legacy Member

Tyfius

Legacy Member

Unrach

Legacy Member

Lord Kveldulv

Legacy Member

Jonathan

Legacy Member

Unrach

Legacy Member

Bv202

Legacy Member

Unrach

Legacy Member

Lord Kveldulv

Legacy Member

KenSpectre

Legacy Member

BleKKie

Legacy Member

Unrach

Legacy Member

KenSpectre

Legacy Member

yaris

Legacy Member

Lord Kveldulv

Legacy Member

dJeez

Legacy Member

Unrach

Legacy Member

Unrach

Legacy Member

Lord Kveldulv

Legacy Member

Unrach

Legacy Member