[Opgelost] Schoolsite gehacked ALWEER! :-(

Edida · Post by **Edida** » Fri Oct 19, 2007 12:04 am

Hallo Ronny,

Hierdan mijn tweede topic van vannacht (ja, ik weet - 't is alweer errugggg laat)

Voor de tweede keer is de site van school (www.obsdetimp.nl) uit de lucht.
XS4ALL geeft de volgende melding:

Niet bereikbaar
Deze website is om technische redenen tijdelijk niet bereikbaar. Probeert u het later nog eens.
De webmaster is op de hoogte gesteld van het probleem.

Not available
This website is temporarily unavailable due to a technical issue. Please try again later.
The webmaster has been notified of this problem.

Het erge is, dat ik nu zelfs niet meer via mijn ftp-programma de server kan benaderen. Is dat niet vreemd?

Ik denk wel, dat je antwoord is, dat ik XS4ALL moet benaderen (nb. de webmaster - lees: mijn persoontje - heeft nog nooit een bericht van hun gekregen).
Op hun service centre krijg ik, na inloggen, de volgende melding:

Abuse
Er is een probleem geconstateerd betreffende abuse (=overlast op internet, zoals virussen en trojans). Als gevolg hiervan kunt u niet of beperkt gebruik maken van uw diensten. Neem contact op met onze afdeling Abuse Centre via abusecentre@xs4all.nl

Ze reageren echter ook niet verder op die mail (behalve dan dat ze iets ontvangen hebben) en telefonisch zijn ze ook niet te bereiken, of ik heb er overdag geen tijd voor.

Toestand, hè? En dan te bedenken, dat ik nog niet eens eraan toegekomen was om die editor aan de praat te krijgen.
Nu heb ik wel na de vorige hack een backupgemaakt bij XS4ALL - mijn vraag is eigenlijk: Kan ik die nu gewoon terugplaatsen?
Daar krijg ik nl. de volgende melding:

HERSTELBESTAND TERUGZETTEN OBSDETIMP.NL
Hier kunt u een eerder gemaakt herstelbestand terugzetten op uw productiewebsite. U kunt slechts de gehele website terugplaatsen, geen afzonderlijke onderdelen.

Uw herstelbestand is gemaakt op: 2007-09-24 00:59:36

Let op: het herstelbestand bevat geen database-gegevens. Deze dient u zelf terug te zetten of opnieuw in te voeren.

Ik vind dit allemaal weer doodeng. Pfffff - had ik er maar meer verstand van.

(Grappig trouwens, dat ik hieronder een google-ad lees over het installeren van Joomla! - krijg de neiging om over te stappen, maar ja, dan moet ik weer veel nieuwe dingen leren/uitzoeken - ook niet wat, natuurlijk - of wel? Ennuh..... dan moet ik jouw hulp zeker missen hihi).

In ieder geval hoor ik graag weer van je en hoop dat je ook hier weer een goeie oplossing voor kunt aandragen.

m vr gr
Edida

RonnyK · Post by **RonnyK** » Fri Oct 19, 2007 4:54 am

Edida,

de backup die je hebt gemaakt betreft een file-backup. Wanneer je daarna geen wijzigingen hebt gemaakt in de bestanden zal het goed gaan. In de backup zitten geen DB-elementen, dus artikelen/tekst etc.... zullen niet overschreven worden.

Na het terugzetten vande site is het belangrijk omte upgraden naar de laatste versie, momenteel 1.2 in de vorige versies i.i.g. tot 1.1.4.1 zijn meerder sqllite problemen opgelost.

Overigens geldt bij een overstap naar Jo**la hetzelfde verhaal, zij worden ook gehacked. CMSMS heeft als voordeel dat snel security-fixes aanwezig zijn. Andere pakketen hebben vaak langere response-tijden......

Zou je overigens de bestanden willen veiligstellen, dan is de data i.i.g. bewaard t.b.v. een eventuele analyse.

Ronny

RonnyK · Post by **RonnyK** » Fri Oct 19, 2007 6:29 am

Edida,

ik vraag me overigens af of de site gehacked is. XS4ALL is namelijk degene als ISP, die de site ontoegankelijk heeft gemaakt. Je zou moeten afwachten wat ze aangeven. Als de site weer toegankelijk is, zou je i.i.g. naar 1.2 moeten gaan.

Ronny

Edida · Post by **Edida** » Fri Oct 19, 2007 10:58 am

Hoihoi Ronny,

Dank je wel voor je flotte antwoord(en).

Toevallig vanmorgen eindelijk een bericht van XS4ALL gekregen, lees hieronder het citaat:

Hartelijk dank voor uw bericht. Uw website is tijdelijk offline, omdat er een veiligheidsprobleem m.b.t. uw website speelt. Dit probleem kan de inhoud van uw site beschadigen en dit houdt eveneens een veiligheidsrisico voor onze webserver in.

Het specifieke veiligheidsprobleem houdt in dat derden gegevens hebben toegevoegd aan uw website, omdat hiervoor software (het CMS) werd gebruikt die dit mogelijk maakte.

Zo kunnen er bijvoorbeeld op afstand bestanden worden opgehaald, maar
ook bots, configuraties, shell servers, irc clients etc. Ook heeft men
volledige toegang tot bijvoorbeeld uw bestanden.

Het is belangrijk dat u het voor derden onmogelijk maakt gegevens toe te voegen, te wijzigen en te misbruiken.

Het probleem ontstaat doorgaans door de scripts binnen het CMS dat u voor de site gebruikt. In dit geval gaat het om php scripts.

PHP kan gemakkelijk zijn, maar eveneens gevaarlijk voor belangrijke bestanden. Het is daarom aan te raden enkele instellingen aan te passen om de website ontoegankelijker te maken voor kwaadwillenden.

Voorbeelden:
* Zet de zelfgemaakte php.ini in uw eigen cgi-bin/directory en niet in
htdocs of ergens anders.
* Gebruik strikte code, dit verkleint de kans op fouten.
* Zet de mogelijkheid uit dat PHP zich adverteert en daardoor aangeeft
dat u PHP gebruikt en welke versie u gebruikt.
* Stel een logbestand in. Zorg ervoor dat bezoekers geen foutmeldingen
te zien krijgen en u wel.
* Houdt updates bij om veiligheidslekken en bugs te voorkomen.
* Stel een limiet aan het geheugengebruik van de scripts (stel daardoor
limieten aan het uploaden).
* Zorg voor een 'safe mode', waardoor iemand die zich toegang probeert
te verschaffen tot bestanden direct geblokkeerd wordt.
* Zet in de php.ini geen inloggegevens voor MYSQL, anders zijn deze
gegevens zichtbaar via 'phpinfo'.
* Stel allow_url_fopen in op 'Off' in uw php.ini, zo kunnen kwaadwillenden geen bestanden van buitenaf via uw website benaderen.

Voor nadere uitleg en uitgewerkte voorbeelden kunt u terecht op:
http://finalx.nl/codex/php

Meer uitleg m.b.t. het fenomeen php injection in het algemeen kunt u
vinden op: http://www.securephpwiki.com/index.php/ ... _Injection

Bij mij duizeld het natuurlijk gelijk bij al die aangegeven mogelijkheden. Ik vertrouw dus weer helemaal op jou, om aan te geven wat in dit geval wijsheid is. $:-\$

Ben weer benieuwd naar je respons

groejes
Edida

Signex · Post by **Signex** » Fri Oct 19, 2007 11:04 am

Dit lijkt aardig op een standaard bericht van XS4ALL, ik zou gewoon nog een keer mailen wat er volgens hun mis is, en of je uberhuapt gehacked bent of dat ze je website uit voorzorg offline gehaald hebben en waarom.

RonnyK · Post by **RonnyK** » Fri Oct 19, 2007 2:20 pm

Edith,

het lijkt mij ook een standaardmail. Ik zou inderdaad specifiek vragen wat er is, upgraden naar 1.2 en vervolgens aangeven aan hen dat je op de laatste versie zit.

Ronny

Edida · Post by **Edida** » Fri Oct 19, 2007 10:48 pm

Hallo allebei,

Heb een berichtje gestuurd naar XS4ALL - ben benieuwd wat ik voor antwoord krijg.

NB. heb net toch maar de backup die ik op het Service Centre van XS4ALL had gemaakt, teruggezet en ja hoor...
de site is weer zichtbaar. (Geen idee of collega's voor alle ellende nog pagina's hebben aangepast en of die wel of niet verdwenen zijn, maar dat hoor ik maandag wel weer)

Alleen kan ik nog steeds niet ftp-en - heel vreemd.
Dus heb ik er nog maar een mailtje achteraan gestuurd met het verzoek me die mogelijkheid weer te geven.
Zodat ik de broodnodige updates kan uitvoeren.
Ik wacht weer af.

Nu wil ik wel muurkrant.org gaan updaten. Mijn vraag is nog even (voor alle zekerheid) - wanneer mij gevraagd wordt om bestanden te overschrijven, zeg ik dan 'ja' of juist 'nee'. (ik word altijd onzeker van dit soort vragen)

Bedank weer voor zover en tot het volgende bericht.

Edida

Heren,

Bedankt voor jullie hulp.
Het heeft even geduurd, voordat XS4ALL bereid was de filtering op te heffen (gevolg: ook de mail op school kwam niet meer binnen), maar uiteindelijk heb ik alles weer recht kunnen breien. En natuurlijk meteen de updates uitgevoerd.

Ik heb nog één probleem, maar daar maak ik ff een nieuwe Topic van. Tot dan.

groetjes Edida

CMS Made Simple Forums