Is mijn domein gehackt? - Softwareontwikkeling

dinsdag 14 november 2006 17:55

Acties:

Topicstarter

Ik heb iets heel vaags in een aantal html-files van mijn website.
Er staan ineens tekstlinks in die naar verschillende sites wijzen. Bijvoorbeeld hier:

snip

Ook had ik heel veel foto's op mijn site staan in albums, maar daar staan nu per album alleen nog maar 3 thumbnails in en de grote foto's zijn verdwenen. Ook staan hier ineens links in (boven in zwarte balk):

snap

Maar het is dus niet bij alle html-files.
Hoe kan dit? Hoe kan ik dit voorkomen in de toekomst?

[ Voor 6% gewijzigd door BtM909 op 15-11-2006 10:46 ]

...less is more

dinsdag 14 november 2006 17:56

Acties:

Alex)

Ja dit ziet eruit als een hack. Welke scripts heb je draaien?

We are shaping the future

dinsdag 14 november 2006 17:56

Acties:

Verwijderd

Heb je toegang tot de accesslogs en wie deze files heeft ge-upload? Check je host als je die niet kan vinden, die weten dat namelijk vaak wel.

en had je een makkelijk te raden passwoord? Iets wat je vaker gebruikt?

dinsdag 14 november 2006 18:05

Acties:

funk-e

Topicstarter

Alex) schreef op dinsdag 14 november 2006 @ 17:56:
Ja dit ziet eruit als een hack. Welke scripts heb je draaien?

Ja, heel vaag maar ik heb geen scripts draaien, enkel standaard html.

Verwijderd schreef op dinsdag 14 november 2006 @ 17:56:
Heb je toegang tot de accesslogs en wie deze files heeft ge-upload? Check je host als je die niet kan vinden, die weten dat namelijk vaak wel.

en had je een makkelijk te raden passwoord? Iets wat je vaker gebruikt?

Ik heb geen toegang tot accesslogs. Ik zal mijn hoster even vragen.
Paswoord is moeilijk te raden en gebruik ik nergens anders.

edit: er staat in elke map wel een .htaccess file met de volgende inhoud:

Options -MultiViews
ErrorDocument 404 //apictures/report.php

en er staan in elke map ineens een aantal phpfiles als:
guest.php
messages.php

deze files hebben als inhoud alleen een vierkant blokje

[ Voor 16% gewijzigd door funk-e op 14-11-2006 18:10 ]

...less is more

dinsdag 14 november 2006 18:10

Acties:

Alex)

In de map /aphoto zie ik twee PHP-bestanden, zeker weten dat je geen scripts hebt draaien?

We are shaping the future

dinsdag 14 november 2006 18:11

Acties:

funk-e

Topicstarter

Alex) schreef op dinsdag 14 november 2006 @ 18:10:
In de map /aphoto zie ik twee PHP-bestanden, zeker weten dat je geen scripts hebt draaien?

ja die staan ineens overal: zie hierboven mijn edit

...less is more

dinsdag 14 november 2006 18:15

Acties:

Alex)

Zou je eens je hele website willen downloaden naar c:\website en daarna dit doen:
Start > Uitvoeren > cmd
c:
cd website
tree /f > c:\websitedirlist.txt

En daarna dit bestand uploaden naar je website, zodat we kunnen kijken wat voor bestanden er allemaal zijn gezet.

Gebruik wel een FTP-client zoals SmartFTP zodat verborgen mappen ook worden gedownload.

We are shaping the future

dinsdag 14 november 2006 18:15

Acties:

-Lars-

funk-e schreef op dinsdag 14 november 2006 @ 18:05:
[...]
Ja, heel vaag maar ik heb geen scripts draaien, enkel standaard html.

En die fotoalbums? Het staat in een map aphoto, zoeken op Google levert haast geen informatie op (al helemaal geen exploitinfo), maar fotoalbums zijn meestal niet alleen HTML, meestal wordt er toch een scripting taal gebruikt.

Websites die enkel uit HTML bestaan worden niet gehacked vanuit de site zelf. Het is dan dus een probleem bij je hoster (of jij hebt je password laten slingeren) óf het is toch een dynamisch onderdeel van je eigen website.

[edit] Nouja zeg, even het topic al vullen voordat ik mijn zegje heb gedaan

[ Voor 6% gewijzigd door -Lars- op 14-11-2006 18:17 ]

dinsdag 14 november 2006 18:24

Acties:

funk-e

Topicstarter

Alex) schreef op dinsdag 14 november 2006 @ 18:15:
Zou je eens je hele website willen downloaden naar c:\website en daarna dit doen:
Start > Uitvoeren > cmd
c:
cd website
tree /f > c:\websitedirlist.txt

En daarna dit bestand uploaden naar je website, zodat we kunnen kijken wat voor bestanden er allemaal zijn gezet.

Gebruik wel een FTP-client zoals SmartFTP zodat verborgen mappen ook worden gedownload.

Ben het ff aan het downloaden...

Ik ben trouwens niet de enige die deze problemen heeft zie ik:

Google search: free aiff wav dounload

En het fotoalbum is gegenereerd op mijn eigen computer en daarna geüpload.

...less is more

dinsdag 14 november 2006 19:07

Acties:

funk-e

Topicstarter

hij bleef hangen, dus ik heb niet alles kunnen downloaden naar mn computer

misschien kun je hier al iets mee:

www.sizzler.nl/websitedirlist.txt

ps. ik ben me ervan bewust dat het een zootje is

[ Voor 15% gewijzigd door funk-e op 14-11-2006 19:09 ]

...less is more

dinsdag 14 november 2006 21:56

Acties:

AW_Bos

Liefhebber van nostalgie... 🕰️

Ik zie een system.php ergens staan, waar weet ik niet meer, toen crashte notepad vanwege een overload aan data

...

Ik denk dat de hacker via een ander account op de server via een lek (ik denk PHP) op de server is gekomen, en wat zooi op jouw account heeft gezet om verder te hacken...

☎ Telecommunicatie van vroeger
🚅Alles over spoor en treintjes

dinsdag 14 november 2006 22:20

Acties:

Alex)

Ik zie maar genoeg .php-bestanden voorbijkomen, doe ook eens dit, TS:
dir /b /s *.php > allephpfiles.txt, en plaats die ook eens. Zo krijg je een overzicht van alle geplaatste .php-bestanden in alle submappen.

We are shaping the future

dinsdag 14 november 2006 23:21

Acties:

funk-e

Topicstarter

Alex) schreef op dinsdag 14 november 2006 @ 22:20:
Ik zie maar genoeg .php-bestanden voorbijkomen, doe ook eens dit, TS:
dir /b /s *.php > allephpfiles.txt, en plaats die ook eens. Zo krijg je een overzicht van alle geplaatste .php-bestanden in alle submappen.

Tja, heel veel php...

www.sizzler.nl/allephpfiles.txt

Zou het dan aan chmod-instellingen kunnen liggen?
Dat een robot alle open chmods bij langs gaat ofzo (heb er echt 0,0 verstand van)

[ Voor 18% gewijzigd door funk-e op 14-11-2006 23:22 ]

...less is more

dinsdag 14 november 2006 23:27

Acties:

mithras

Ik hoop niet dat je al je mappen chmod 777 hebt staan. Als dat wel zo is, en je hebt niet persé een andere dan default chmod nodig, maak dan alle folders 755 en bestanden 644.

Als je verder die php rommel er niet zelf op hebt gezet (wat je dus zegt), gewoon verwijderen en kijken of het terug komt.
En stuur ff een mailtje naar je hoster met wat er is gebeurt en dat het waarschijnlijk niet door jou komt (tenzij je dus alles hebt gezet op chmod 777). Of zij dus een lek kunnen opsporen.

dinsdag 14 november 2006 23:28

Acties:

UltimateB

Pomdiedom

Ook een tijdje geleden gehad op mijn server, had iemand een outdate'd phpnuke (of was het phpbb_ oid draaien

Je kan dan een hack pagina erop zetten en vanuit daar bestanden zetten op alle 777 gemodde directory's.

"True skill is when luck becomes a habit"
SWIS

woensdag 15 november 2006 00:05

Acties:

funk-e

Topicstarter

mithras86 schreef op dinsdag 14 november 2006 @ 23:27:
Ik hoop niet dat je al je mappen chmod 777 hebt staan. Als dat wel zo is, en je hebt niet persé een andere dan default chmod nodig, maak dan alle folders 755 en bestanden 644.

Als je verder die php rommel er niet zelf op hebt gezet (wat je dus zegt), gewoon verwijderen en kijken of het terug komt.
En stuur ff een mailtje naar je hoster met wat er is gebeurt en dat het waarschijnlijk niet door jou komt (tenzij je dus alles hebt gezet op chmod 777). Of zij dus een lek kunnen opsporen.

Ik zal ze ff op 755 zetten, maar ik denk dat UltimateB de oorzaak heeft beschreven:

UltimateB schreef op dinsdag 14 november 2006 @ 23:28:
Ook een tijdje geleden gehad op mijn server, had iemand een outdate'd phpnuke (of was het phpbb_ oid draaien

Je kan dan een hack pagina erop zetten en vanuit daar bestanden zetten op alle 777 gemodde directory's.

Ik kan me namelijk herinneren dat ik ooit eens met phpnuke heb zitten kloten op dit domein. Maar dat lukte allemaal niet zo goed omdat ik niet genoeg rechten had om het te installeren. En toen heb ik waarschijnlijk die chmod-instellingen niet allemaal teruggezet. En waarschijnlijk stond er toen ook nog wat phpnuke-meuk op.

Ik haal alles er wel af en upload alles opnieuw.

Iedereen bedankt voor de tips e.d.

...less is more

woensdag 15 november 2006 10:45

Acties:

BtM909

Watch out Guys...

Je bent gehacked door meerdere redenen, dat doet er nog niet af om even te kijken waar je topic nou hoort

Daarnaast lijkt het me niet handig om linkjes te verspreiden, waarom allerlei content staat die niet strookt met onze algemene voorwaarden.

Zoek eens met google en op GoT wat je moet / kan doen nadat je bent gehackt. -> eerste stap is altijd contact opnemen met je hoster.

Ace of Base vs Charli XCX - All That She Boom Claps (RMT) | Clean Bandit vs Galantis - I'd Rather Be You (RMT)
You've moved up on my notch-list. You have 1 notch
I have a black belt in Kung Flu.

Pagina: 1

Dit topic is gesloten.