Check alle échte Black Friday-deals Ook zo moe van nepaanbiedingen? Wij laten alleen échte deals zien
Toon posts:

Onverklaarbare code in index.php

Pagina: 1
Acties:

Onderwerpen

Php

vrijdag 11 februari 2011 14:55

Acties:
  • paradoXical
  • Registratie: Oktober 2000
  • Laatst online: 24-11 18:57

paradoXical

The ParadoX

Topicstarter
Ik kreeg de vraag om even op de site van een vriend te kijken omdat de template op die website niet meer goed wil laden. Na in de index.php gekeken te hebben ontdek ik het volgende. Ik heb er een aantal links ingeplakt, maar er volgt dus een lijst met zo'n 1000 hyperlinks. Het lijkt me dat dit hier niet thuishoort, maar iemand een idee wat het precies is?

code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20

</body>
</html><1ya17m></1ya17m><?php
$userAgent = strtolower($_SERVER["HTTP_USER_AGENT"]);
if (substr_count($userAgent, "crawler") > 0) $isCrawler = 1;
elseif (substr_count($userAgent, "googlebot") > 0) $isCrawler = 1;
elseif (substr_count($userAgent, "msnbot") > 0) $isCrawler = 1;
elseif (substr_count($userAgent, "yahoo") > 0) $isCrawler = 1;
elseif (substr_count($userAgent, "search") > 0) $isCrawler = 1;
elseif (substr_count($userAgent, "bing") > 0) $isCrawler = 1;
elseif (substr_count($userAgent, "ask") > 0) $isCrawler = 1;
elseif (substr_count($userAgent, "indexer") > 0) $isCrawler = 1;
elseif (substr_count($userAgent, "cuill.com") > 0) $isCrawler = 1;
elseif (substr_count($userAgent, "clushbot") > 0) $isCrawler = 1;

if ($isCrawler==0){die;}

?><script language="javascript">
     document.write("<style> #1ya17m{ display:none; }</style>");
</script>
<div id=1ya17m>

[ Voor 15% gewijzigd door paradoXical op 11-02-2011 15:04 ]

She was beautiful. God I loved her. I just didn't know how to show it, that's all. I killed her, Red. I didn't pull the trigger, but I pushed her away. And that's why she died, because of me.

vrijdag 11 februari 2011 14:57

Acties:
  • 418O2
  • Registratie: November 2001
  • Laatst online: 12:29

418O2

vrij simpel; de server/het cms is gehackt en er is code geinjecteerd.

weghalen en de beveiliging verbeteren dus.

vrijdag 11 februari 2011 14:58

Acties:
  • soulrider
  • Registratie: April 2005
  • Laatst online: 27-11-2017

soulrider

een redirect naar site's met illegale software voor elke search-engine-spider om zo hoger in de resultaten te krijgen (door meer backlinks)

maw: logs uitpluizen, kijken welke versie van scripts hij draait op zijn site en kijken of er een nieuwere, niet-exploitbare versie van is, eventueel ftp-wachtwoorden aanpassen, .....

[ Voor 10% gewijzigd door soulrider op 11-02-2011 14:59 ]

vrijdag 11 februari 2011 15:00

Acties:
  • BèR
  • Registratie: Mei 2002
  • Laatst online: 20-11-2022

BèR

En misschien even de links hier uit de code verwijderen..

vrijdag 11 februari 2011 15:02

Acties:
  • paradoXical
  • Registratie: Oktober 2000
  • Laatst online: 24-11 18:57

paradoXical

The ParadoX

Topicstarter
Ik had al het idee dat dit aan de hand was.. zeer jammer, aangezien ik nu ook zie dat de config file gewoon op 777 staat (ben dit zelf nog nooit tegengekomen).

Het gaat om een joomla 1.0 installatie, daar heb ik zelf ook 0.0 ervaring mee. Ik denk dat ik maar even een backup maak van het geheel. Iemand die me kan adviseren of het zin heeft dit nog te gaan maken, of dat het beter is om de site en template overnieuw te bouwen (wellicht minder werk?).

She was beautiful. God I loved her. I just didn't know how to show it, that's all. I killed her, Red. I didn't pull the trigger, but I pushed her away. And that's why she died, because of me.

vrijdag 11 februari 2011 15:03

Acties:
  • paradoXical
  • Registratie: Oktober 2000
  • Laatst online: 24-11 18:57

paradoXical

The ParadoX

Topicstarter
BèR schreef op vrijdag 11 februari 2011 @ 15:00:
En misschien even de links hier uit de code verwijderen..
Zal de links even verwijderen.

She was beautiful. God I loved her. I just didn't know how to show it, that's all. I killed her, Red. I didn't pull the trigger, but I pushed her away. And that's why she died, because of me.

vrijdag 11 februari 2011 15:05

Acties:
  • mtsr
  • Registratie: December 2008
  • Laatst online: 19-11 17:34

mtsr

paradoXical schreef op vrijdag 11 februari 2011 @ 15:02:
Ik had al het idee dat dit aan de hand was.. zeer jammer, aangezien ik nu ook zie dat de config file gewoon op 777 staat (ben dit zelf nog nooit tegengekomen).

Het gaat om een joomla 1.0 installatie, daar heb ik zelf ook 0.0 ervaring mee. Ik denk dat ik maar even een backup maak van het geheel. Iemand die me kan adviseren of het zin heeft dit nog te gaan maken, of dat het beter is om de site en template overnieuw te bouwen (wellicht minder werk?).
Het is verstandiger de ftp in elk geval leeg te gooien en zoveel mogelijk terug naar standaard settings. Je kunt natuurlijk wel eerst een kopietje van de templates e.d. maken en dan met de hand de inhoud daarvan terugzetten, voor zover je deze gecheckt hebt.

Hackers laten meestal backdoors achter om later opnieuw binnen te kunnen komen.

vrijdag 11 februari 2011 15:07

Acties:
  • MsG
  • Registratie: November 2007
  • Laatst online: 11:52

MsG

Forumzwerver

paradoXical schreef op vrijdag 11 februari 2011 @ 15:02:
Ik had al het idee dat dit aan de hand was.. zeer jammer, aangezien ik nu ook zie dat de config file gewoon op 777 staat (ben dit zelf nog nooit tegengekomen).

Het gaat om een joomla 1.0 installatie, daar heb ik zelf ook 0.0 ervaring mee. Ik denk dat ik maar even een backup maak van het geheel. Iemand die me kan adviseren of het zin heeft dit nog te gaan maken, of dat het beter is om de site en template overnieuw te bouwen (wellicht minder werk?).
Joomla 1.0 is al een hele poos EOL. Je kan denk ik beter de template ombouwen naar een 1.5 of 1.6 Joomla-versie.

Denk om uw spatiegebruik. Dit scheelt Tweakers.net kostbare databaseruimte! | Groninger en geïnteresseerd in Domotica? Kom naar DomoticaGrunn

vrijdag 11 februari 2011 15:19

Acties:
  • paradoXical
  • Registratie: Oktober 2000
  • Laatst online: 24-11 18:57

paradoXical

The ParadoX

Topicstarter
@MsG
Heb heb je zomaar een goed punt. Ik ga voor nu maar zorgen dat de site weer werkt, en dan moet deze tzt maar naar 1.5 of 1.6 worden geport, ik was al bang dat ik met 1.0 niets meer zou kunnen aanvangen.

@mtsr
Daar ben ik ook bang voor, zal gelukkig niet veel werk zijn aangezien het om een erg simpele site gaat.

She was beautiful. God I loved her. I just didn't know how to show it, that's all. I killed her, Red. I didn't pull the trigger, but I pushed her away. And that's why she died, because of me.

vrijdag 11 februari 2011 15:26

Acties:
  • soulrider
  • Registratie: April 2005
  • Laatst online: 27-11-2017

soulrider

paradoXical schreef op vrijdag 11 februari 2011 @ 15:03:
[...]


Zal de links even verwijderen.
je had die links zelf beter vervangen door de tekst 'link naar warez site', want nu lijkt het enkel maar op een blackhat-SEO-pagina ("indien spider: toon pagina, anders niet")

maak een backup van de volledige site, inclusief de accesslogs, zet de huidige versie offline,
(want die 1.0 terug online brengen, gaat maar enkele uren/dagen nut hebben, nu was het maar een redirect,
voor hetzelfde staat er een exploitcode om een trojan ofzo te installeren bij alle bezoekers)

en - zoals reeds gezegd - zorg zo snel mogelijk voor de recentere versie van Joomla.
en zet onnodige modules uit. (= minder kans op exploits)

indien tijd/zin, kan je dan achteraf nog uitpluizen wie en hoe ze toegang tot je site hebben gekregen (bot met exploit) en eventueel controleren welke exploitcode ze hebben gebruikt.

[ Voor 11% gewijzigd door soulrider op 11-02-2011 15:29 ]

Pagina: 1
Reageer

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq