Goedendag,
Nou ja, voor mij niet echt dus. Mijn site is gehacked. Er is aan de index.php en alle .js bestanden JavaScript code toegevoegd.
Kaspersky gaf dit aan onder de naam HEUR:Trojan.Downloader.Script.Generic.
Nu heb ik dus gelijk heel de installatie van CMSMS verwijderd, inclusief database. Erg vervelend allemaal, maar het valt wel weer te herstellen, alleen zou ik graag willen weten hoe dit is gebeurd en hoe ik dit kan voorkomen.
Kan iemand mij op weg helpen? Alvast bedankt!
edit: het was trouwens een vrij schone installatie met alleen gallery module, captcha module en formbuilder. Het was CMSMS 1.6.6. Het theme "Internet Corporation" stond ook geinstalleerd.
Site gehacked, maar hoe?
Moderator: velden
-
Rednes
- Forum Members
- Posts: 85
- Joined: Wed Apr 08, 2009 1:09 pm
- Location: Rotterdam, The Netherlands
Site gehacked, maar hoe?
Last edited by Rednes on Thu May 06, 2010 7:51 pm, edited 1 time in total.
-
replytomk3
Re: Site gehacked, maar hoe?
1) Backup http://wiki.cmsmadesimple.org/index.php/How_to#How_to_properly_and_completely_backup_your_installation_of_CMS_Made_Simple
2) Recover: reinstall from scratch, on step 5 uncheck two boxes. Connect to old database
3) How to prevent: it is your hosting provider's fault. On your end, have a secure .htaccess, 444 file permissions on config.php.
4) Change all passwords. Hosting, ftp, database, admin.
2) Recover: reinstall from scratch, on step 5 uncheck two boxes. Connect to old database
3) How to prevent: it is your hosting provider's fault. On your end, have a secure .htaccess, 444 file permissions on config.php.
4) Change all passwords. Hosting, ftp, database, admin.
-
Rednes
- Forum Members
- Posts: 85
- Joined: Wed Apr 08, 2009 1:09 pm
- Location: Rotterdam, The Netherlands
Re: Site gehacked, maar hoe?
Can you elaborate on "secure .htaccess"?
En is het zeker weten mijn host zijn fout? Want dan mail ik ze gelijk.
Als dat niet zeker is, dan sta ik voor joker als ik hun aanwijs als schuldige...
En is het zeker weten mijn host zijn fout? Want dan mail ik ze gelijk.
Als dat niet zeker is, dan sta ik voor joker als ik hun aanwijs als schuldige...
Last edited by Rednes on Thu May 06, 2010 7:55 pm, edited 1 time in total.
-
replytomk3
Re: Site gehacked, maar hoe?
.htaccess filtering (url filtering)
turn off server signature
example:
turn off server signature
example:
Code: Select all
Options +FollowSymLinks
Options -Indexes
ServerSignature Off
# Deny access to config.php
# This can be useful if php ever breaks or dies
# Use with caution, this may break other functions of CMSms that use a config.php
# file. This may also break other programs you have running under your CMSms
# install that use config.php. You may need to add another .htaccess file to those
# directories to specifically allow config.php.
<Files "config.php">
order allow,deny
deny from all
</Files>
# URL Filtering helps stop some hack attempts
#IF the URI contains a "http:"
RewriteCond %{QUERY_STRING} http\: [OR]
#OR if the URI contains a "["
RewriteCond %{QUERY_STRING} \[ [OR]
#OR if the URI contains a "]"
RewriteCond %{QUERY_STRING} \] [OR]
#OR if the URI contains a "<__script__>"
RewriteCond %{QUERY_STRING} (\<|%3C).*script.*(\>|%3E) [NC,OR]
#OR script trying to set a PHP GLOBALS variable via URL
RewriteCond %{QUERY_STRING} GLOBALS(=|\[|\%[0-9A-Z]{0,2}) [OR]
#OR any script trying to modify a _REQUEST variable via URL
RewriteCond %{QUERY_STRING} _REQUEST(=|\[|\%[0-9A-Z]{0,2})
RewriteRule ^.*$ - [F,L]
# END Filtering