Toon posts:

Webserver gehacked op een rare manier

Pagina: 1

Acties:

4.690 views
Reageer

donderdag 12 mei 2016 21:33

Acties:

Onderaan :)

Topicstarter

Beste tweakers,

ik ben ten einde raad.
Mijn VPS heeft een erg rare hack.
Ik zal omschrijving hoe het te reproduceren is:
1) ga naar google.nl
2) zoek op shotevents.nl óf tekenteam.nl
3) klik op één van URLS
4) ellende
5) ga naar www.shotevents.nl óf tekenteam.nl
6) niks aan de hand

Hoe kan ik erachter komen wat Google fetched? Met Webmaster Tools kom ik nergens

Help

Groet,

john met zijn handen in het haar

Bovenaan :)

donderdag 12 mei 2016 21:36

Acties:

Heb je al via FTP gekeken op welke datum bestanden zijn gewijzigd voor het laatst?
Het kan op heel veel manieren uitgevoerd zijn, ergens lijkt er een check gedaan te worden of je van Google komt.

donderdag 12 mei 2016 21:37

Acties:

Onderaan :)

Topicstarter

Ja, echter geeft mijn FileZilla aan dat elke directory vandaag is gewijzigd... en als ik dan in de directory kom, zie ik geen gewijzigde files..

Bovenaan :)

donderdag 12 mei 2016 21:38

Acties:

Webdeveloper

Ik denk dat je er van uit kan gaan dat je server is gehackt.

De server zorgt voor andere inhoud als de Google Crawler voorbij komt en als de site via Google wordt bezocht.

donderdag 12 mei 2016 21:39

Acties:

Onderaan :)

Topicstarter

Ik denk dat ook, maar hoe kun je achter halen wat-ie crawlt?

Bovenaan :)

donderdag 12 mei 2016 21:40

Acties:

Nee je server is niet gehacked, er wordt misbruik gemaakt van een lek in 1 van je Wordpress plugins.
Wat je kunt doen in plugins uitschakelen en testen welke het veroorzaakt als je niet ziet wat er gewijzigd is.

donderdag 12 mei 2016 21:40

Acties:

Webdeveloper

Ik zou beginnen met alle apache *.conf bestanden uitpluizen of daar iets geks tussen staat.

[...]

Ah, is het een Wordpress site? Dan zit daar heel waarschijnlijk het gat, zoals webgangster aangeeft.

[ Voor 38% gewijzigd door edwinjm op 12-05-2016 21:41 ]

donderdag 12 mei 2016 21:40

Acties:

Onderaan :)

Topicstarter

Het is een VPS, en ik kan niet bij de conf files

Bovenaan :)

donderdag 12 mei 2016 21:41

Acties:

Dit heb ik ook gehad met een joomla site. Die had een google-site-verification file op de root gezet. Waardoor het mogelijk is om bij google een sitemap te uploaden die niet klopt. Je kunt het oplossen door hier https://support.google.co...r/190597?p=ws_hacked&rd=1 heen te gaan en de stappen te volgen google kan vertellen wat er fout is. Dan moet je het oplossen en kun je een her controle laten uitvoeren.

iRacing Profiel

donderdag 12 mei 2016 21:42

Acties:

Onderaan :)

Topicstarter

Klinkt goed SkullboyNL

Bovenaan :)

donderdag 12 mei 2016 21:44

Acties:

Onderaan :)

Topicstarter

die root verificatie komt mij enigsinds bekend voor.. maar ik moet uitvogelen bij welke site, en hoe..

Bovenaan :)

donderdag 12 mei 2016 21:45

Acties:

Owja als je je aanmeld bij google moet je je site wil verifiëren dat die van jou is kan op meerdere manieren staat er wel uitgelegd. Dan krijg je ook een mail als dit nog een keer gebeurt. Want google ziet ook al dat er iets niet klopt op jou site.

Afbeeldingslocatie: http://image.alwinkloosterman.nl/image.php?di=6AB8

Afbeeldingslocatie: http://image.alwinkloosterman.nl/image.php?di=6AB8

Ik had toen deze file op mijn root staan google99a1f8a98af247ae.html

[ Voor 10% gewijzigd door SkullboyNL op 12-05-2016 21:46 ]

iRacing Profiel

donderdag 12 mei 2016 21:46

Acties:

Onderaan :)

Topicstarter

Ik ben geen beheerder van de website, alleen eigenaar van de VPS.. en de ellende is op alle websites op de VPS.

Bovenaan :)

donderdag 12 mei 2016 21:48

Acties:

Onderaan :)

Topicstarter

Het lost niet op door die google99a1f8a98af247ae.html te verwijderen zeker?

Bovenaan :)

donderdag 12 mei 2016 21:49

Acties:

En wie beheert dan de VPS eigenlijk?

donderdag 12 mei 2016 21:51

Acties:

Onderaan :)

Topicstarter

Het is zo'n directadmin-panel via Host1Plus

Bovenaan :)

donderdag 12 mei 2016 21:54

Acties:

Probleemeigenaar

Als je een VPS hebt heb je doorgaans altijd root access, dat is toch ook het idee van een VPS dat je zelf het volledige beheer hebt. Even buiten DirectAdmin denken en via de CLI kijken wat je tegenkomt in de logging en aan bestanden.

Je privacy is voor het eerst geschonden bij de eerste echo. Daarna wordt het er de rest van je leven niet meer beter op.

donderdag 12 mei 2016 21:56

Acties:

Onderaan :)

Topicstarter

Ja, ik heb net gevraagd of ik CLI kan krijgen.. maar het blijkt een shared vps, zonder root toegang..

Bovenaan :)

donderdag 12 mei 2016 21:57

Acties:

Update je CMS, elke plugin ga dit manueel na en vertrouw niet op auto updates. Clear al je caches overal. Denk na over backups. Check je spam rating voor je domeinnaam/ip.

[ Voor 13% gewijzigd door analog_ op 12-05-2016 21:59 ]

donderdag 12 mei 2016 22:00

Acties:

Onderaan :)

Topicstarter

Kan iemand kijken of dit:
https://www.google.nl/?gws_rd=ssl#q=maussikruiden.nl
een nette website terug geeft?

Bovenaan :)

donderdag 12 mei 2016 22:00

Acties:

VPS of niet, root toegang of niet. Het zit hem in de bestanden van de website en niet elders.
Oplossing is volgens mij al aangedragen, en heb ik tevens verteld dat plugins van Wordpress voor dit soort gezeik zorgen. Het is schering en inslag met Wordpress sites, dit is wel een nieuwe variant die ik nog niet kende, meestal willen ze er grote hoeveelheden spam mee versturen.

donderdag 12 mei 2016 22:02

Acties:

Onderaan :)

Topicstarter

Kut Wordpress.. ik ga alle wordpressjes af.. ik kijken of dat oplost. Bedankt Webgangster

Bovenaan :)

donderdag 12 mei 2016 22:06

Acties:

Vergeet ook je eigen PC niet, check op keyloggers, of misschien is er wel een virus die je FileZilla settings heeft geript (heb je wachtwoord van de VPS opgeslagen in FileZilla, of typ je het handmatig steeds in?)

donderdag 12 mei 2016 22:31

Acties:

Jay-Connected schreef op donderdag 12 mei 2016 @ 22:00:
Kan iemand kijken of dit:
https://www.google.nl/?gws_rd=ssl#q=maussikruiden.nl
een nette website terug geeft?

Oh, ik herken dit van duizenden.
Jij ziet het omdat "google" in je referer header staat.
Ik zie het niet omdat ik die blokkeer/leeg laat.

Ergens is er een WordPress bestand toegevoegd/aangepast die checkt in de headers op "google".
Gewoon de websites wissen en een verse 4.5.2 installeren

Maak je niet druk, dat doet de compressor maar

donderdag 12 mei 2016 22:36

Acties:

Onderaan :)

Topicstarter

het zijn best een boel sites, maar ik ga dat doen...sommige zijn ook custom en zonder backup

Bovenaan :)

donderdag 12 mei 2016 23:10

Acties:

Onderaan :)

Topicstarter

Updaten werkt aardig. Alleen bij 1 website niet.
www.tekenteam.nl

iemand een idee? deze site is nu compleet geupdate, maar niet hetzelfde resultaat als de rest.

Bovenaan :)

donderdag 12 mei 2016 23:17

Acties:

webgangster schreef op donderdag 12 mei 2016 @ 22:00:
VPS of niet, root toegang of niet. Het zit hem in de bestanden van de website en niet elders

Meestal zit het in de bestanden, maar soms is het veel erger. Als er meerdere sites op die "VPS" besmet zijn dan zit het waarschijnlijk veel dieper. Zowiezo heb ik nog nooit van een shared VPS gehoord, volgens mij is het gewoon shared hosting, waarbij de hoster verantwoordelijk is voor de server. Mocht de beheerder dan een gehackte site tegenkomen dan wordt deze meestal geblokkeerd en de eigenaar geinformeerd.

meestal willen ze er grote hoeveelheden spam mee versturen.

Daarom liever een externe mailserver gebruiken (of de mailserver jailen) en authenticated smtp gebruiken voor verzenden (geen php mail dus en eventueel ook poort 25 uitgaand blokkeren). Overigens worden er meestal ook veel landingspagina's en email content in de site geinjecteerd.

donderdag 12 mei 2016 23:19

Acties:

Onderaan :)

Topicstarter

ja.. dat is inderdaad hetgeen wat er gebeuren moet.
Voor nu:
Ik heb alle plugins gedeactiveerd. geen succes
ik heb alle onzinnige templates verwijderd.. geen succes

Zijn er nog online scan tools beschikbaar die goed werken?

Bovenaan :)

donderdag 12 mei 2016 23:28

Acties:

Maak eens een complete kopie van de site lokaal en gooi de virusscanner er eens over zou ik zeggen, vanaf internet zijn alleen bepaalde symptonen vast te stellen.
Diepere inspectie gebeurt meestal met regexp (of andere text tools, op windows kan dat b.v. met sublime -> find in...) zoeken naar bijvoorbeeld eval() en andere "gevaarlijke/beruchte" php commando's.

donderdag 12 mei 2016 23:29

Acties:

Onderaan :)

Topicstarter

Gedaan

nu lekker zoeken! bedankt heren!

Bovenaan :)

vrijdag 13 mei 2016 08:16

Acties:

Onderaan :)

Topicstarter

En weer terug bij af..

Bovenaan :)

vrijdag 13 mei 2016 09:03

Acties:

Wat heb je nu gedaan?

Het advies van base_ was goed, wat ook handig is, is om de besmette site in z'n geheel binnen te halen en dezelfde versie van Wordpress te downloaden. Die twee zet je naast elkaar, en dan laat je je favoriete texteditor de twee directories vergelijken.

vrijdag 13 mei 2016 09:44

Acties:

Onderaan :)

Topicstarter

ja dat is wat ik nu ga doen..

Bovenaan :)

vrijdag 13 mei 2016 10:16

Acties:

Thralas schreef op vrijdag 13 mei 2016 @ 09:03:
en dan laat je je favoriete texteditor de twee directories vergelijken.

http://kdiff3.sourceforge.net/ is ideaal daarvoor

vrijdag 13 mei 2016 10:20

Acties:

Parttime Prutser

Jay-Connected schreef op donderdag 12 mei 2016 @ 23:10:
Updaten werkt aardig. Alleen bij 1 website niet.
www.tekenteam.nl

iemand een idee? deze site is nu compleet geupdate, maar niet hetzelfde resultaat als de rest.

Site werkt hier gewoon

vrijdag 13 mei 2016 10:34

Acties:

Verwijder ook NextGen Gallery. Die plugin is al jaren zo lek als een mandje.
Op mijn eigen hosting server heb ik hierop een blokkade zitten.

Maak je niet druk, dat doet de compressor maar

vrijdag 13 mei 2016 12:00

Acties:

Ook hier werkt de website, zowel met als zonder www.

vrijdag 13 mei 2016 12:10

Acties:

kom je hier vaker?

Download een kopie en zoek op eval en/of base64 dan heb je de geïnfecteerde bestanden waarschijnlijk zo gevonden.

Daarna zal je nog moeten uitzoeken hoe ze binnen zijn gekomen anders begint het zo weer opnieuw....

vrijdag 13 mei 2016 12:32

Acties:

emnich schreef op vrijdag 13 mei 2016 @ 12:10:
Download een kopie en zoek op eval en/of base64 dan heb je de geïnfecteerde bestanden waarschijnlijk zo gevonden.

Daarna zal je nog moeten uitzoeken hoe ze binnen zijn gekomen anders begint het zo weer opnieuw....

Was al gezegd maar is tegenwoordig nog steeds lastig omdat er ook scripts zijn die nog preg_replace gebruiken met de "e" modifier.
Kijk daarom ook in de access en error logs op "deprecated" en POST requests, zoals bijvoorbeeld:

code:

149.202.47.181 - - [13/May/2016:02:57:42 +0000] "POST /libraries/joomla/exporter.php HTTP/1.1" 403 - "http://example.com/" "Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/44.0.2403.125 Safari/537.36"

Maak je niet druk, dat doet de compressor maar

vrijdag 13 mei 2016 20:34

Acties:

Richt een nieuwe VPS in, zet 1 voor 1 over en check of alles in orde is.

vrijdag 13 mei 2016 20:49

Acties:

★ EXTRA ★

Ja, met virussen weet je nooit zeker of het allemaal weg is.

PS:
Website gaan benaderen waarvan virus/hack verdenking is. I wouldn't...

★ What does that mean? ★

zaterdag 14 mei 2016 10:44

Acties:

chown -R me base:all

PS:
Website gaan benaderen waarvan virus/hack verdenking is. I wouldn't...

inderdaad, ik weet niet of iemand die sites heeft bezocht met linux en burp ertussen, maar voor degenen met windows...
Ik zeg niet dat TS foute bedoelingen heeft, maar het zou een heel sterke social engineering truc geweest zijn.

dinsdag 17 mei 2016 17:41

Acties:

Onderaan :)

Topicstarter

Ohhh! Ja dat kan je er ook nog van maken! Ik post natuurlijk vrij weinig op Tweakers.
Helaas zijn de infecties nog steeds van kracht, en heb ik het grootste gedeelte offline moeten. Mijn eigen website compleet verwijderd.
De websites zijn na de hack voorzien van een onzichtbare canonical naar hele vervelende websites.
Elke dag gaat het in de ochtend goed, en later op de dag is één van de accounts toch weer de klos.

Een backup van 1 maand, 2 maanden en 3 maanden (die de hosting provider had) zijn ook allemaal slecht.

Wat een ellende..

Bovenaan :)

dinsdag 17 mei 2016 18:24

Acties:

Onderaan :)

Topicstarter

Ik ben achter iets nieuws gekomen, en wellicht weet iemand daar antwoord op.
Als ik naar Damonderhoud.nl (of een andere tekenteam, studioab.nl) surf. Komt er onderin in de adresbalk (in Firefox) in-modo.ru te staan.

De bestanden op FTP zijn helemaal schoon.
Wat is er nu aan de hand?

Bovenaan :)

dinsdag 17 mei 2016 19:11

Acties:

... pakt een botte bijl

Dat betekend dat de website wacht op content die van die server af moet komen.
En voor zover ik dat (met mijn beperkte kennis/tools) kan achterhalen, gaat het om deze link:

code:

http://in-modo.ru/js/jquery.min.php?c_utt=K85164&c_utm=http%3A%2F%2Fin-modo.ru%2Fjs%2Fjquery.min.php%3Fdefault_keyword%3DSchilderwerk%252C%2520Stucwerk%252C%2520plafonds%252C%2520Tegelwerk%2520vloer%2520en%2520wand%252C%2520Totaal%2520verbouwingen%252C%2520Onderhoud%2520in%2520de%2520ruimste%2520zin%2520van%2520het%2520woord%252C%2520Schadeherstelwerk%2520t.b.v.%2520verzekeringswerk%252C%2520WVG%26se_referrer%3D%26source%3Dwww.damonderhoud.nl

Mijns inziens is alles weggooien, uithuilen en opnieuw beginnen de beste optie.
Mogelijk biedt je hoster iets als installatron... daarmee kun je allerlei pakketten binnen je DA-omgeving automatisch laten updaten. Lijkt me geen verkeerde keus... zeker omdat dit soort pakketten vaak ook (officiele) plugins up-to-date kunnen houden.

The sky above the port was the color of television, turned to a dead channel
me @ last.fm

dinsdag 17 mei 2016 19:18

Acties:

Onderaan :)

Topicstarter

Jester-NL,
thanks!
Het was ooit eens een hobby, en daarna een vriendendienst; maar nu heb ik er eigenlijk niet zoveel trek meer in, (het uithuilen begint op tweakers).
Door jouw "beperkte" kennis, weet ik nu wel dat ik alle header files, ga uitpluizen op deze code. En ik heb er zojuist één gevonden.
Als morgen ochtend de header nog steeds onveranderd is.. was dit de gouden tip

Bovenaan :)

dinsdag 17 mei 2016 23:08

Acties:

Even ter verdediging van WP: op zich zelf is het helemaal geen slecht CMS, echter worden wel eens updates vergeten (wat tegenwoordig automatisch gebeurt) of worden dingen aangepast (lees gehackt) waardoor velen simpelweg niet updaten. Plugins zijn vaak lek of worden niet vervangen.

Verder is het inrichten van je VPS erg belangrijk, zoals de www-permissies (daarbij ook de connectie naar je VPS toe. Neem aan dat je weet dat Filezilla wachtwoorden in plain opslaat?).

Scan nogmaals alle files, en je zult toch echt de sources in moeten gaan van alle bestanden.

Suc6.

woensdag 18 mei 2016 13:26

Acties:

Onderaan :)

Topicstarter

Ja... het blijkt een bak ellende te zijn.
Niet alleen header files zijn geinfecteerd, maar ook JS'jes en andere extensies.

Ik heb de klanten ingelicht, helaas zijn er ook een paar opgestapt.

De meeste hebben nu een schoon account.

man man man..

Bovenaan :)

woensdag 18 mei 2016 13:37

Acties:

kom je hier vaker?

Jay-Connected schreef op woensdag 18 mei 2016 @ 13:26:
Ja... het blijkt een bak ellende te zijn.
Niet alleen header files zijn geinfecteerd, maar ook JS'jes en andere extensies.

Ik heb de klanten ingelicht, helaas zijn er ook een paar opgestapt.

De meeste hebben nu een schoon account.

man man man..

Maar weet je nu al hoe ze in eerste instantie zijn binnengekomen? Anders begint het gewoon weer opnieuw...

woensdag 18 mei 2016 13:50

Acties:

Jay-Connected schreef op woensdag 18 mei 2016 @ 13:26:
Ja... het blijkt een bak ellende te zijn.
Niet alleen header files zijn geinfecteerd, maar ook JS'jes en andere extensies.

Ik heb de klanten ingelicht, helaas zijn er ook een paar opgestapt.

De meeste hebben nu een schoon account.

man man man..

Erg vervelend, bestaan er helemaal geen scripts/scanners voor?

Meestal zijn vertrekkende mensen die goedkoop op de eerste rij zaten.
Maar dat hoeft niet natuurlijk.

[ Voor 4% gewijzigd door HollowGamer op 18-05-2016 13:50 ]

woensdag 18 mei 2016 16:26

Acties:

Jay-Connected schreef op woensdag 18 mei 2016 @ 13:26:
, helaas zijn er ook een paar opgestapt.

Jammer, maar niet al te druk om maken aangezien je er toch geen "trek" meer in hebt.
Nu is een andere hoster de pineut met die klanten

[ Voor 4% gewijzigd door DJMaze op 18-05-2016 16:26 ]

Maak je niet druk, dat doet de compressor maar

woensdag 18 mei 2016 17:59

Acties:

Een VPS hoor je goed te beheren, hiervoor heb je dus een gedegen kennis nodig van het besturingssysteem en hosting, daarnaast een root toegang. Die constructie met een soort shared VPS begrijp ik dan ook niet, helemaal omdat er dus blijkbaar meerdere sites besmet zijn en ik vermoed dat deze VPS niet goed beheerd is. (wat in dit geval door de hoster gebeuren moet aangezien je blijkbaar niet eens root toegang hebt). Diegenen die een of meerdere site(s) willen draaien zonder deze kennis zijn beter af met een beheerde (shared) hosting/VPS denk ik.

donderdag 19 mei 2016 20:19

Acties:

Onderaan :)

Topicstarter

emnich schreef op woensdag 18 mei 2016 @ 13:37:
[...]

Maar weet je nu al hoe ze in eerste instantie zijn binnengekomen? Anders begint het gewoon weer opnieuw...

Ja, via een email; in de spambox.
De domeinen staan op dezelfde omgeving..
Waarschijnlijk vieze porno gekeken.

Het liep al drie maanden

niet opgevallen eerder..

Bovenaan :)

donderdag 19 mei 2016 20:21

Acties:

Onderaan :)

Topicstarter

base_ schreef op woensdag 18 mei 2016 @ 17:59:
Een VPS hoor je goed te beheren, hiervoor heb je dus een gedegen kennis nodig van het besturingssysteem en hosting, daarnaast een root toegang. Die constructie met een soort shared VPS begrijp ik dan ook niet, helemaal omdat er dus blijkbaar meerdere sites besmet zijn en ik vermoed dat deze VPS niet goed beheerd is. (wat in dit geval door de hoster gebeuren moet aangezien je blijkbaar niet eens root toegang hebt). Diegenen die een of meerdere site(s) willen draaien zonder deze kennis zijn beter af met een beheerde (shared) hosting/VPS denk ik.

Eens... Het is bij Host1Plus.
Daar bieden ze ook niet echt enorme support.
Ik had ooit één website daaronder gebracht, die werd te groot;en toen boden ze mij dit aan.
Die grote website is weg, dus ik dacht ik zet er wat kleine websites op.
Ging 3 jaar zonder problemen..

En nu dit.

Bovenaan :)

vrijdag 20 mei 2016 15:09

Acties:

The offending line...

Fijne site die .ru: https://sitecheck.sucuri.net/results/in-modo.ru
Succes met het opschonen van de sites.

dinsdag 24 mei 2016 08:29

Acties:

Onderaan :)

Topicstarter

Ik ben overgestapt naar een andere hoster, en heb elke website nu geïsoleerd.
Dank jullie voor de hints en tips!

Bovenaan :)

Pagina: 1

Reageer