[Yourhosting] Website gehacked?

Heb je niet last van de FileZilla FTP hack. Er is namelijk virus/spyware/trojans actief die wachtwoorden van Filezilla verzameld die je hebt opgeslagen op je pc. En dan worden je website(s) via ftp aangepast.

Als het goed is kun je wel ergens in je serverlogs kijken wanneer en door welk ip die pagina's aangepast zijn.

Als je dat eenmaal weet, weet je ook waar het probleem zit.

of misschien toch nog een malicious script dat de mogelijkheid biedt om zaken op een server te uploaden, het is allemaal denkbaar

Ga eens zoeken in je access-log op PUT meldingen. Meestal vallen spammers/hackers wel op door de hoeveelheid regels of de external includes die ze doen.

het lijkt mij in ieder geval onwaarschijnlijk dat een webhost zijn handen vuil gaat maken, alleen voor wat kleingeld. En een hitcounter script kan je eigenlijk al heel snel zelf maken met 2 regeltjes PHP.
Check voor malware, uninstall filefilla en installeer opnieuw.

gooi de counters eraf en maak een eigen counter met php
verder zie ik op verschillende pagina`s weer de .ru terug komen

bouw anders een cms
en laat je website overzetten naar een server 32, 34, 37
die draaien op php5 en dan kun je er meer mee
verder kun je dan ook hun websitemaker gebruiken

gewoon mailen naar YH en de site overlaten zetten
en dan zelf alles opnieuw opbouwen vanaf regel 0

( met als gevolg dat ik geen duidelijk overzicht meer heb in het aantal hits vanaf dag 1)

Yourhosting zal je toch ook wel de webserver logs ter beschikking stellen?

cailin_coilleach schreef op dinsdag 30 juni 2009 @ 09:21:
[...]
Yourhosting zal je toch ook wel de webserver logs ter beschikking stellen?

ja deze zijn gewoon in te zien

Daarnaast is er nog de mogelijkheid van perl exploits. Perl scripts die via een site op een bepaalde server geupload worden in de /tmp en vanuit daar gerund worden. Die kunnen bv. in alle index* files een regeltje toevoegen dat de popup veroorzaakt. Het beveiligen van de /tmp naar noexec is dan een oplossing.

Er zijn dus 1000 en 1 mogelijkheden, het is aan Yourhosting om dit te onderzoeken. Jij zelf kan evt. kijken in je xfer.log of access.log ofdat er via jouw domein iets binnen is geslopen.

Mmm vreemd. Zit zelf ook bij YH en ik vind het een zeer 'solide' bedrijf. Kan me niet voorstellen dat ze het zelf doen. Hun beveiliging is meestal ook op orde.
Daarom denk ik zelf ook wat raymonvdm: dat je op je PC een trojan hebt?

@raymonvdm hoe werkt die hack precies cq hoe te detecteren? Zoveel staat er niet op internet over.

Je hebt een gastenboek op de site draaien. Vaak zijn dat de oorzaak van zulk soort ongein. Door middel van een stukje malicious code te posten kunnen ze je hele site in handen krijgen.
Overigens kan je voor eht aantal hits op je site ook de usage statistieken van YH zelf gebruiken. Deze zijn bereikbaar via http://112-west-veluwe-vallei.nl/usage.

Loop alle scripts op je site even met de hand na. Op iedere plek waar een gebruiker zelf iets kan invullen, waar er een database request gedaan wordt, of waar er naar een bestand geschreven wordt bestaat de mogelijkheid dat een hacker er een exploit voor kan schrijven waardoor je dus dit soort ongein krijgt.

Ik ben overigens zelf net verhuist van server8 naar server45 bij YH. Server8 draait namelijk geen PHP5, en zelf vind ik dat de beveiliging iets beter ingericht is op server45 (op server8 had ik in feite ongelimiteerde webspace door een foutje in de apache configuratie. Op 45 helaas niet )

E-Vix schreef op dinsdag 30 juni 2009 @ 10:51:
Ik ben overigens zelf net verhuist van server8 naar server45 bij YH. Server8 draait namelijk geen PHP5, en zelf vind ik dat de beveiliging iets beter ingericht is op server45 (op server8 had ik in feite ongelimiteerde webspace door een foutje in de apache configuratie. Op 45 helaas niet )

Hé dat wist ik niet Requestje doen naar de helpdesk of we weer terugmogen

(zelf van 12 naar 42 ook vanwege PHP5)

[ Voor 6% gewijzigd door Eusebius op 30-06-2009 10:58 ]

Eusebius schreef op dinsdag 30 juni 2009 @ 10:57:
[...]


Hé dat wist ik niet Requestje doen naar de helpdesk of we weer terugmogen

(zelf van 12 naar 42 ook vanwege PHP5)

offtopic:
Wat vind je van de schijfruimte die je krijgt bij een pakket?

E-Vix schreef op dinsdag 30 juni 2009 @ 11:07:
[...]

offtopic:
Te weinig voor het geld, en meer schijfruimte is heel erg duur bij ze... Bij one.com krijg je bijvoorbeeld voor €1,25 per maand 3Gb aan webspace...Of 25Gb voor nog geen 5 euro

Eusebius schreef op dinsdag 30 juni 2009 @ 10:40:
Mmm vreemd. Zit zelf ook bij YH en ik vind het een zeer 'solide' bedrijf. Kan me niet voorstellen dat ze het zelf doen. Hun beveiliging is meestal ook op orde.
Daarom denk ik zelf ook wat raymonvdm: dat je op je PC een trojan hebt?

@raymonvdm hoe werkt die hack precies cq hoe te detecteren? Zoveel staat er niet op internet over.

YH is ook een solide bedrijf (heb er gewerkt) maar de servers zijn brak voornamelijk de oude
ook de nieuwe hadden problemen 32 en 34
teveel mensen op 1 server geknalt

verder is het een top bedrijf maar te duur

mexel schreef op dinsdag 30 juni 2009 @ 15:48:
[...]


YH is ook een solide bedrijf (heb er gewerkt) maar de servers zijn brak voornamelijk de oude
ook de nieuwe hadden problemen 32 en 34
teveel mensen op 1 server geknalt

verder is het een top bedrijf maar te duur

Heb je betere alternatieven dan verhuis ik vandaag nog. Wel zitten kijken naar verschillende hosters, maar ze zijn of te duur (maar goed) of slecht (maar goedkoop)

YH is ook inderdaad goed. Je betaalt er niet voor je pakket maar voor de service die ze verlenen. Als je daar geen behoefte aan hebt zijn ze inderdaad te duur.
Tis maar net waar je waarde aan hecht.
Wat ook zo is, is dat YH vziw niet "overbooked" op ruimte. De ruimte die je besteld krijg je gegarandeerd. Goedkopere hosters willen nog wel eens doen aan "overbooking" wat inhoud dat de ruimte die je hebt puur een quota limit is en er meer gebruikers op de server zitten dan waar ruimte voor is. Dit komt vanuit de gedachte dat praktisch niemand aan zo'n hoge quota zal komen en er dus sowieso ruimte overblijft.

Anyway, Ik kan de site van de TS niet bekijken, m'n virusscanner breekt de connectie af ivm virusmeuk.
Ik verwacht dat er gewoon een lek in de code van de site zelf zit. YH heeft z'n eigen beveiliging goed op orde, en verder dan de webruimte van de gehackte persoon komt het dus niet.
Aannemende dat de TS een website op basis van PHP heeft raad ik aan om dat eens uit te gaan zoeken. Ongecontroleerde POST of GET variabelen die verwerkt worden bijvoorbeeld. Als er een bestaand pakket, zoals bijvoorbeeld Wordpress of Joomla, wordt gebruikt, dan is het aan te raden om eens bij de fabrikant te kijken of die er al vanaf weten en of er niet toevallig een nieuwere versie beschikbaar is met security fixes.

De snelste methode om te zien of er toevallig met een GET variabele is gewerkt is door de logs te bekijken. Die staan bij YH gewoon buiten je publichtml in de map logs en gaan tot een week terug.
Dat zijn wel alleen de Access en Error logs trouwens. Als je lief vraagt kunnen ze vast wel even een grepje uitvoeren op de xferlog van de server om alles wat betrekking heeft op jouw webspace er uit te filteren en aan je te mailen.

Andere optie is inderdaad een trojan in FileZilla. Haal even Hitman Pro over je PC en zorg voor een fatsoenlijke virusscanner. Een hele aardige gratis scanner is o.a. Avast.

Eusebius schreef op dinsdag 30 juni 2009 @ 16:10:
[...]

Heb je betere alternatieven dan verhuis ik vandaag nog. Wel zitten kijken naar verschillende hosters, maar ze zijn of te duur (maar goed) of slecht (maar goedkoop)

heb er ook gewerkt, wat mexel aangeeft klopt maar dat hebben ze inmiddels ook al lang en breed rechtgetrokken. Server32 is al lang niet meer zo vol als dattie was en draait inmiddels als een zonnetje.
Zelfde geld voor S34.

Mexel, kerel!

Oh, by the way, YH levert zelf ook een uitstekend statistieken systeem, dus een extern statistiekending heb je niet eens nodig.
surf maar eens naar hoofddomein.ext.serverXX.firstfind.nl/webstats/

edit:
Persoonlijk vind ik de lage hoeveelheid webruimte niet eens een probleem. Een beetje fatsoenlijke website probeer je toch zo snel mogelijk te maken dus wil je sowieso zoveel mogelijk knippen in ruimteverbruik om je site snel te houden en minder bandbreedte te verbruiken.
Das mijn filosofie iig. Als je mass storage nodig hebt zou ik sowieso geen shared host nemen. Dan kan je beter voor een paar tientjes per maand gaan co-locaten. Is wel 1 keer duur, maar dan heb je wel net zoveel ruimte als dat jij aan schijven kan betalen.

[ Voor 42% gewijzigd door McKaamos op 30-06-2009 16:33 ]

raymonvdm schreef op dinsdag 30 juni 2009 @ 00:13:
Heb je niet last van de FileZilla FTP hack. Er is namelijk virus/spyware/trojans actief die wachtwoorden van Filezilla verzameld die je hebt opgeslagen op je pc. En dan worden je website(s) via ftp aangepast.

Hmm, komt me bekend voor. Heb twee weken terug een hele webserver mogen restoren, alle sites op die server waren van een klant van ons. Waren ook de FTP lijst verloren. Die FTP logins zijn overigens niet echt te stoppen: het werkt met een botnet. Er wordt een index.html bestand gedownload van een bepaald IP, en 10 seconden later logt er een 2e IP in die het bestand vervangt.

Als je ervaringen wil delen mbt tot Yourhosting, open dan een eigen topic waar je in detail je problemen aan de kaak stelt. Anders lijkt het ongefundeerd en offtopic ranten in een topic dat hier niets mee te maken heeft.

[ Voor 84% gewijzigd door IEF op 01-07-2009 20:33 ]

Doe dat gewoon via DM dan ofzo.

[ Voor 92% gewijzigd door IEF op 01-07-2009 20:28 ]

Is er eigenlijk een "welkom-in-het-grote(?)-hoster-topic" / "welke hoster is voor mij geschikt?" ? Want deze discussie gaat vanaf spam naar de geschiktheid over een hoster (a la discussie Het grote welk OS ( bijvoorbeeld linux distro) topic deel 7)

- edit ff een verzoekje naar modjes voor een topic

[ Voor 9% gewijzigd door Eusebius op 01-07-2009 15:22 ]

Overigens kun je ook overwegen een capabele (en ads vrije) provider te pakken voor je stats, op die manier ben je sowieso van mogelijke reclame e.d. af. Een prima voorbeeld is Google Analytics; het is gratis, geeft geen reclame maar wel extreem uitgebreide statistieken

[ Voor 16% gewijzigd door Leftblank op 01-07-2009 15:25 ]

Verwijderd schreef op woensdag 01 juli 2009 @ 18:58:
[...]
YH is inderdaad zeer snel met het beantwoorden van mail-tjes, mijn verzoek om naar een nieuwe server te verhuizen werd binnen 7 minuten beantwoord. Maar goed binnenkort zijn als het goed is de problemen verholpen, ik verhuis naar de nieuwste server. Dankzij mijn volledige ( schone) back-up kan ik heel snel de site weer online zetten, nu maar hopen dat ik niet weer gehackt wordt.

hopelijk gaat alles weer soepel straks
en hopelijk helpt het

mocht je er niet uitkomen horen we het graag,

Is je PC ook schoon? Want een Filezilla hack zit aan de kant van .. je pc. Dan kan je nog 10x een nieuwe server krijgen, binnen de kortste keren zit het er weer op.

ps - welke server zit je?

_JGC_ schreef op dinsdag 30 juni 2009 @ 21:19:
[...]

Hmm, komt me bekend voor. Heb twee weken terug een hele webserver mogen restoren, alle sites op die server waren van een klant van ons. Waren ook de FTP lijst verloren. Die FTP logins zijn overigens niet echt te stoppen: het werkt met een botnet. Er wordt een index.html bestand gedownload van een bepaald IP, en 10 seconden later logt er een 2e IP in die het bestand vervangt.

Makkelijk te stoppen door alleen FTP toe te staan vanaf bepaalde IP adressen natuurlijk.