CMS Made Simple Forums

Content management as it is meant to be
https://forum.cmsmadesimple.org/

Site gehacked, maar hoe?

https://forum.cmsmadesimple.org/viewtopic.php?t=43843

Page 1 of 1

Site gehacked, maar hoe?

Posted: Thu May 06, 2010 7:46 pm
by Rednes
Goedendag,

Nou ja, voor mij niet echt dus. Mijn site is gehacked. Er is aan de index.php en alle .js bestanden JavaScript code toegevoegd.
Kaspersky gaf dit aan onder de naam HEUR:Trojan.Downloader.Script.Generic.

Nu heb ik dus gelijk heel de installatie van CMSMS verwijderd, inclusief database. Erg vervelend allemaal, maar het valt wel weer te herstellen, alleen zou ik graag willen weten hoe dit is gebeurd en hoe ik dit kan voorkomen.

Kan iemand mij op weg helpen? Alvast bedankt!


edit: het was trouwens een vrij schone installatie met alleen gallery module, captcha module en formbuilder. Het was CMSMS 1.6.6. Het theme "Internet Corporation" stond ook geinstalleerd.

Re: Site gehacked, maar hoe?

Posted: Thu May 06, 2010 7:49 pm
by replytomk3
1) Backup http://wiki.cmsmadesimple.org/index.php/How_to#How_to_properly_and_completely_backup_your_installation_of_CMS_Made_Simple

2) Recover: reinstall from scratch, on step 5 uncheck two boxes. Connect to old database

3) How to prevent: it is your hosting provider's fault. On your end, have a secure .htaccess, 444 file permissions on config.php.

4) Change all passwords. Hosting, ftp, database, admin.

Re: Site gehacked, maar hoe?

Posted: Thu May 06, 2010 7:53 pm
by Rednes
Can you elaborate on "secure .htaccess"?

En is het zeker weten mijn host zijn fout? Want dan mail ik ze gelijk.
Als dat niet zeker is, dan sta ik voor joker als ik hun aanwijs als schuldige...

Re: Site gehacked, maar hoe?

Posted: Thu May 06, 2010 7:58 pm
by replytomk3
.htaccess filtering (url filtering)

turn off server signature

example:

Code: Select all

Options +FollowSymLinks
Options -Indexes
ServerSignature Off

# Deny access to config.php
# This can be useful if php ever breaks or dies
# Use with caution, this may break other functions of CMSms that use a config.php
# file.  This may also break other programs you have running under your CMSms
# install that use config.php.  You may need to add another .htaccess file to those
# directories to specifically allow config.php.
<Files "config.php">
order allow,deny
deny from all
</Files>

# URL Filtering helps stop some hack attempts
#IF the URI contains a "http:"
RewriteCond %{QUERY_STRING} http\: [OR]
#OR if the URI contains a "["
RewriteCond %{QUERY_STRING} \[ [OR]
#OR if the URI contains a "]"
RewriteCond %{QUERY_STRING} \] [OR]
#OR if the URI contains a "<__script__>"
RewriteCond %{QUERY_STRING} (\<|%3C).*script.*(\>|%3E) [NC,OR]
#OR script trying to set a PHP GLOBALS variable via URL
RewriteCond %{QUERY_STRING} GLOBALS(=|\[|\%[0-9A-Z]{0,2}) [OR]
#OR any script trying to modify a _REQUEST variable via URL
RewriteCond %{QUERY_STRING} _REQUEST(=|\[|\%[0-9A-Z]{0,2}) 
RewriteRule ^.*$ - [F,L] 
# END Filtering
All times are UTC
Page 1 of 1

Powered by phpBB® Forum Software © phpBB Limited