CMS Made Simple Forums

Hallo,

Sinds een tijdje is mijn website niet meer bereikbaar. Ik kan nog wel inloggen in het admin, maar de front-end is niet zichtbaar.

Na een tijdje ontdekte ik wat vreemde code in het index.php bestand.
De iframe code hoort daar niet te staan. Als ik dat verwijder dan werkt mijn site weer. Na een tijdje komt de code iets anders weer terug.

Heeft iemand dit al eens gehad en weet wat er aan de hand is?

Groeten,

Bas


// Rolf: Gehackte code onklaar gemaakt.

Heeft iemand dit al eens gehad en weet wat er aan de hand is?

Yep, jouw site is ftp gehackt...

Rolf

And what to do next...

- Ergens op jouw server staan 1 of meerdere scripts die de iFrames in jouw bestanden zet.
Bekijk maar eens wat andere bestanden, let hierbij op de laatste wijzigingsdatum.
Veel van de dummy index.html files zijn dan vaak gewijzigd.

- Raadpleeg de provider, zij kunnen (mogelijk) actie ondernemen of gaten dichten.

- Wijzig FTP-inloggegevens met sterkte wachtwoorden, bijv. fht34FGyQ oid. en niet zoiets als henk03.
Voor de zekerheid kun je ook altijd de admin inloggegevens nog even wijzigen. Al zal dat waarschijnlijk niet nodig zijn.

Door het maken van een backup op een pc met een goed Internet Security pakket zou je deze niet-cmsms bestanden wel kunnen vinden en verwijderen.
Maar het vinden van alle aangepaste/beschadigde bestanden is ondoenlijk...
CMSMS bestaat uit duizenden bestanden.

Heb recent een aantal van deze acties (op het forum) bij de hand gehad.
De conclusie hier was dat er eigenlijk maar twee opties zijn.

1. Terugzetten van een backup set die niet gehackt is, maar hierbij is het probleem: hoe weet je dit zeker?
Heb een site gezien die al jaren geplaagd werd met dit soort zaken, stiekem zat er toch nog ergens een fout bestandje verstopt...

2. Met een schone lei beginnen...
Zorg voor een goede backup van de huidige bestanden en database!
Verwijder alle bestanden van de server, maar laat de database gewoon bestaan!
Installeer een nieuwe cmsms versie mét de nog bestaande database!
Alle bestanden zijn nu nieuw en de site kan weer zonder enige risico op gehackte files verder draaien.
Maar let goed op wat je doet tijdens het installeren, kies NIET voor het aanmaken van tabellen in de database.
Anders wordt alles overschreven.
Heb gelukkig zelf nog niet zoiets gehad, dus zorg voor een goede backup en let op wat je doet...

Ik geloof dat ik nu alles wel heb omschreven. Heeft iemand nog een toevoeging?

Succes! Rolf

Dankjewel Rolf,

Ik zal je tips eens nalopen. Gelukkig is het alleen een test site, dus ik denk dat ik gewoon opnieuw begin.

Groet,

Bas

Voortaan dus voorzichtiger zijn met je FTP-gegevens!

Beveiliging begint op je eigen computer, er zijn virussen in omloop die de wachtwoorden die jij in een FTP-programma invoert onderscheppen, of van een openstaande FTP-verbinding gebruik maken om wat bestandjes als verstekeling mee te sturen...

Je FTP-gegevens hoeven het probleem niet te zijn. Een aantal hosters gebruiken shared-hosting, waardoor het soms mogelijk is om via een login, in de accounts van andere gebruikers te komen...

Ronny

ja voor zekerheid zou je even de logbestanden van je server door moeten spitten.