Toon posts:

[PHP] Joomlasysteem tot 4 keer aan toe gehackt

Pagina: 1
Acties:
  • 78 views sinds 30-01-2008

zondag 28 mei 2006 14:31

Acties:
  • Josh
  • Registratie: December 2002
  • Laatst online: 11-12-2021

Josh

A Cloggy in Norway

Topicstarter
Een topic posten op GoT doe je altijd als laatste uitweg, nadat je alles geprobeerd te zoeken hebt en als je alles zelf al geprobeerd hebt. Hier is dus ook mijn laatste uitweg. Ik ben een beetje ten einde raad.

Mijn website is opgebouwd uit Joomla waarin een SMF forum en een coppermine gallery zijn geintregreerd. Ik heb de nieuws Joomla versie draaien en de website is in twee dagen nu al vier keer gehackt (door hetzelfde team). Ik heb hulp nodig bij het beveiliging of tenminste met het zoeken naar de exploits.

Ik heb serverlogs aangevraagd, meer kan ik niet doen. Heb Joomla geupdate en FTP en SQL passwords veranderd. Ik heb de hacker opgezocht en ik kan met hem praten via msn. Hij zei dat mijn website heel erg onveilig was (veel exploits) en dat hij alle passwords had die er zijn (FTP, SQL, Joomla, alles).

Ik heb de simpelste scripts eraf gegooit (uploadscript en nog een ander simpel script), ik heb zelf geen verstand genoeg van PHP om de exploits te kunnen vinden maar misschien kan iemand me helpen?

Het gaat om www.tgroen.nl

zondag 28 mei 2006 14:34

Acties:
  • XWB
  • Registratie: Januari 2002
  • Niet online

XWB

Devver
SQL injectie? Overigens, als je met de hacker kan praten waarom vraag je hem niet waar de leaks zitten? :)

Misschien dat je op het Joomla forum meer antwoorden zal vinden, ik denk niet dat de tweakers hier dat pakket gaan ontleden ;)

[ Voor 39% gewijzigd door XWB op 28-05-2006 14:36 ]

March of the Eagles

zondag 28 mei 2006 14:38

Acties:
  • Josh
  • Registratie: December 2002
  • Laatst online: 11-12-2021

Josh

A Cloggy in Norway

Topicstarter
Hacku schreef op zondag 28 mei 2006 @ 14:34:
SQL injectie? Overigens, als je met de hacker kan praten waarom vraag je hem niet waar de leaks zitten? :)

Misschien dat je op het Joomla forum meer antwoorden zal vinden, ik denk niet dat de tweakers hier dat pakket gaan ontleden ;)
Hij zegt dat het niet perse Joomla is dat onveilig is. Heel de website is onveilig zegt hij. Het forum, joomla, verschillende scripts. Ik weet het echt niet meer.

Hij wil niet vertellen wat er onveilig is en welke exploits er zijn. Hij kan het veilig maken maar dat gaat geld kosten zegt hij.

zondag 28 mei 2006 14:39

Acties:
  • Justifier
  • Registratie: December 2004
  • Laatst online: 06-04-2024

Justifier

Kun je niet zijn ip adres achterhalen en aangifte doen bij de politie ?

@Seven of nine
Waarom moet ik die informatie geven, is misschien beter dat de TS dat doen :P

[ Voor 42% gewijzigd door Justifier op 28-05-2006 14:43 ]

zondag 28 mei 2006 14:41

Acties:
  • gorgi_19
  • Registratie: Mei 2002
  • Laatst online: 20-02 14:52

gorgi_19

Kruimeltjes zijn weer op :9

GsJosh schreef op zondag 28 mei 2006 @ 14:38:
[...]

Hij zegt dat het niet perse Joomla is dat onveilig is. Heel de website is onveilig zegt hij. Het forum, joomla, verschillende scripts. Ik weet het echt niet meer.

Hij wil niet vertellen wat er onveilig is en welke exploits er zijn. Hij kan het veilig maken maar dat gaat geld kosten zegt hij.
Mja, er kunnen vrij veel mogelijkheden zijn om de boel te hacken. SQL Injection is idd een van de meest gebruikte, inclusief het 'verkeerd' gebruiken van includes. :)

Digitaal onderwijsmateriaal, leermateriaal voor hbo

zondag 28 mei 2006 14:41

Acties:
  • RSpliet
  • Registratie: Juni 2003
  • Laatst online: 27-11-2025

RSpliet

*blink*

Justifier schreef op zondag 28 mei 2006 @ 14:39:
Kun je niet zijn ip adres achterhalen en aangifte doen bij de politie ?
Nog niet nodig toch?

Maar GsJosh O-): waar haal jij jou hosting vandaan? Laat jij dit doen door een hostingbedrijf, of heb je een eigen server (met zelf geinstalleerde software)? Wordt jij gehost op een Windows of een Linux bak? Is Apache/IIS up to date, draai je de laatste versie van PHP? En van MySQL? Meer info graag ;)
Haal sowieso een rootkit checker (*nix) of virusscanner (Windows) over je server heen, grote kans dat de grote vriend hacker voor zichzelf een achterdeurtje heeft getimmert. Liefst nog een reinstall van de server, mocht hij dus van jouzelf zijn.

Heb laatst nog gezien wat 1 openbare 0-day aan een Dell server kan aanrichten, ik kan je vertellen: it aint pretty. De helft van de libraries waren compromised, door een enkele bug in een webmail applicatie. Gevolg: instant root voor iedereen.

[ Voor 36% gewijzigd door RSpliet op 28-05-2006 14:51 ]

Schaadt het niet, dan baat het niet

zondag 28 mei 2006 14:43

Acties:
  • XWB
  • Registratie: Januari 2002
  • Niet online

XWB

Devver
GsJosh schreef op zondag 28 mei 2006 @ 14:38:
[...]

Hij zegt dat het niet perse Joomla is dat onveilig is. Heel de website is onveilig zegt hij. Het forum, joomla, verschillende scripts. Ik weet het echt niet meer.

Hij wil niet vertellen wat er onveilig is en welke exploits er zijn. Hij kan het veilig maken maar dat gaat geld kosten zegt hij.
En heb je zelf geen idee waar die exploits zich mogelijk kunnen bevinden? Desnoods probeer je je site maar zelf eens te hacken / slopen. Misschien ook handig om de server zelf eens na te checken :)

[ Voor 7% gewijzigd door XWB op 28-05-2006 14:43 ]

March of the Eagles

zondag 28 mei 2006 14:45

Acties:
  • FragileM64
  • Registratie: Mei 2005
  • Laatst online: 18:57

FragileM64

Op de joomla forums staat dat het echt wel een vereiste is dat je mod security hebt draaien op de server.

Q6700 @ 3400Mhz | 2*2GB | Ati 4870 512MB

zondag 28 mei 2006 14:46

Acties:
  • dawuss
  • Registratie: Maart 2001
  • Laatst online: 01-02 20:46

dawuss

gadgeteer

Je site is nu offline, dus ik kan er niet naar kijken, maar ik moet wel zeggen dat ik het op z'n minst erg onbeschoft vind van die "hacker" van je. Niet alleen beschadigt hij je website, hij chanteert je ook nog eens met de kennis om het probleem op te lossen. Niet erg ethisch verantwoord als je het mij vraagt :/

Hij/zij is gewoon hartstikke strafbaar, dus je kunt het spelletje heel eenvoudig omkeren door aangifte te doen bij de politie.

Anyway, wat het belangrijkste is om eerst uit te vinden is waar het lek zit. Dat kan joomla of één van de andere PHP scripts zijn die jij draait, maar het kan ook zijn dat de hosting provider (PC Extreme?) zijn zaakjes niet op orde heeft, zodat zelfs via de defecte website van een andere klant jouw passwords te achterhalen zijn.

micheljansen.org
Fulltime Verslaafde Commandline Fetisjist ©

zondag 28 mei 2006 14:49

Acties:
  • Josh
  • Registratie: December 2002
  • Laatst online: 11-12-2021

Josh

A Cloggy in Norway

Topicstarter
Hacku schreef op zondag 28 mei 2006 @ 14:43:
[...]


En heb je zelf geen idee waar die exploits zich mogelijk kunnen bevinden? Desnoods probeer je je site maar zelf eens te hacken / slopen. Misschien ook handig om de server zelf eens na te checken :)
Ik heb niet genoeg kennis daarvoor ;)

Ik heb wel in de logs gevonden dat hij mijn uploadscript gewoon brute force heeft gehackt. Een bestand genaamd the-casper.php.rar geupload meerdere keren per seconde.

Daarna heeft dit gedaan:
code:
1

196.217.46.93 - - [26/May/2006:13:02:48 +0200] "GET /Nouveau dossier/Mission.mid HTTP/1.1" 404 233 "http://www.tgroen.nl/index.html" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)"


Ik heb in ieder geval zijn IPadres maar als hij met een vast adres werkt dan is het wel een heel erge stomme hacker. Ik ga even kijken hoe ik dat IP blok :) .

Maar de hacker zegt dat er nog veel meer insecure is: poll, forum, noem maar op.

[ Voor 26% gewijzigd door Josh op 28-05-2006 14:51 ]

zondag 28 mei 2006 14:51

Acties:
  • XWB
  • Registratie: Januari 2002
  • Niet online

XWB

Devver
Kan je eens wat relevante code van dat upload script posten?

March of the Eagles

zondag 28 mei 2006 14:51

Acties:
  • dawuss
  • Registratie: Maart 2001
  • Laatst online: 01-02 20:46

dawuss

gadgeteer

GsJosh schreef op zondag 28 mei 2006 @ 14:49:
Ik heb wel in de logs gevonden dat hij mijn uploadscript gewoon brute force heeft gehackt. Een bestand genaamd the-casper.php.rar geupload meerdere keren per seconde. Ik heb in ieder geval zijn IPadres maar als hij met een vast adres werkt dan is het wel een heel erge stomme hacker. Ik ga even kijken hoe ik dat IP blok :)
En stuur dan ook meteen een mail met het stuk logfiles en het IP-adres naar abuse@zijnprovider.nl

micheljansen.org
Fulltime Verslaafde Commandline Fetisjist ©

zondag 28 mei 2006 14:53

Acties:
  • Creepy
  • Registratie: Juni 2001
  • Laatst online: 22:29

Creepy

Tactical Espionage Splatterer

GsJosh schreef op zondag 28 mei 2006 @ 14:49:
[...]

Ik heb niet genoeg kennis daarvoor ;)
En dus moeten wij het voor je checken? Maar zo werkt het hier niet he, en dat weet je ook wel :)

Ga eerst eens overleggen met je hoster en je server beheerder. Zij kunnen je vast wel helpen. Zorg ook dat je van alle zelf geinstalleerde stukken software je de laatste updates hebt geinstalleerd.

Daarnaast zijn er verschillende topics over hoe je bepaalde zaken kunt beveiligen van zowel je zelf geschreven software (o.a. in PRG) en het beveiligen van servers (o.a. in WSS en NOS). Ga ook hier eerst eens rustig lezen. Met de informatie die je ons nu geeft kunnen we niet zo heel veel en kunnen we je dus ook niet goed helpen.

[ Voor 9% gewijzigd door Creepy op 28-05-2006 14:55 ]

"I had a problem, I solved it with regular expressions. Now I have two problems". That's shows a lack of appreciation for regular expressions: "I know have _star_ problems" --Kevlin Henney

Pagina: 1

Dit topic is gesloten.

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2026 Hosting door TrueFullstaq