CMS Made Simple Forums

Beste CMSMS-ers,

Ik heb een eenvoudige site gemaakt voor een bevriende winkelier. Plots krijgt hij een mailtje:

Een script op uw website wordt misbruikt voor het versturen van spamberichten, zie de log-entries hieronder:
....
Het bestand /modules/Search/sm2.php wordt hiervoor misbruikt, wij zijn genoodzaakt om uw website af te sluiten.

Dit bestand sm2.php bevat de volgende code: Alhoewel ik weinig verstand heb van php lijkt mij deze code klinklare onzin...
Dit bestand lijkt te zijn aangemaakt op een datum dat er niemand met die site bezig is geweest.

Wie weet wat ik moet doen om dit probleem te verhelpen. Allereerst moet ik even toegang krijgen tot de site, maar dat zal de webhoster wel kunnen regelen lijkt me. Nu is de site afgesloten.

Het gaat om http://www.hotspotfishing.nl.

Groeten Evert

Ik heb meerdere soortgelijke meldingen hierover gelezen.
Draaide de site in kwestie op de allerlaatste CMSms versie?

Wat vervelend, Evert

Er zijn inderdaad enkele meldingen geweest van soortgelijke problemen, maar we hebben dit nog niet kunnen herleiden naar een probleem binnen de Search module (oude of nieuwe versies) Te weinig, tot geen bruikbare informatie.

Als je de code tussen de " " hierin plakt, dan zal het een stuk duidelijker worden:
(10:42:25 AM) reneh: http://tools.scriptz-team.info/2010/str ... 64_decode/ (Dank je, Reneh )

Op het eerste gezicht (genoemd bestand is géén CMSMS bestand) lijkt het hier om een ftp-gehackte website te gaan (Lees http://forum.cmsmadesimple.org/viewtopi ... 52&t=45525) , en niet direct een CMS hack. Maar laten we hier voor de zekerheid maar wel even serieus mee omgaan! Gezien de andere meldingen...

Zou je in ieder geval kunnen beginnen met een kopie te maken van zowel bestanden als de database!! En dit op een computer met een goed werkende virusscanner! Je hebt dan in ieder geval de website tot zover veilig gesteld. Maak ook even een afdruk van de Systeem Informatie in de admin naar een .txt file. Deze heb je later nodig om de website weer te herstellen. Lees dus ook even http://forum.cmsmadesimple.org/viewtopi ... 52&t=45525 goed door!

Daarnaast als je er beschikking over hebt een kopie willen hebben van jouw php_errorlog en de ftp access_log. Deze mag je me wel mailen. Niet via forum

Zou je ook een kopie van het zoekmodule resultaat sjabloon willen mailen (in .txt file)

Je moet ook even de juiste checksum file downloaden in de Forge die bij de cmsms release hoort die je gebruikt. Hiermee kun je in de admin kijken welke cmsms bestanden besmet zijn.

Succes, Rolf

ps. heb je op dezelfde server/account nog meer websites staan? Zo ja, dan zul je deze ook even goed moeten controleren!

Whoah Rolf,

Dat zijn een hoop dingen!

Deze site heb ik gemaakt voor iemand die zelf de hosting geregeld heeft, dus ik heb hier verder geen sites op staan.
Ik moet eerst toegang tot de site krijgen voordat ik alle kopietjes kan maken, maar ik zal in elk geval beginnen met een goede backup te maken.

Ik zal alles proberen te doen zoals je aangeeft, en dan kom ik er weer op terug.

Thanks Evert

Evert B. wrote:Ik zal alles proberen te doen zoals je aangeeft, en dan kom ik er weer op terug.

Nog nieuws?

Of er nog nieuws is... het is nog niet opgelost maar zo is nu de situatie:

Ik heb het allemaal in etappes geprobeerd.
1. De hoster gaf mijn IP-adres toegang tot de website. De front-end was prima.
2. De admin bleek echter vol met (terechte) foutmeldingen m.b.t. de bestanden in de map modules/search. Via de admin kwam ik dus niet verder. Heb dit nog in andere browsers geprobeerd maar dat maakte niets uit.
3. De corrupte mappen en bestanden die niet in de map modules/search hoorden bleken ook nog eens van een andere gebruiker te zijn. Ik kon ze niet verwijderen of de rechten wijzigen etc (550 errors).
4. De hoster heeft toen op mijn verzoek alle bestanden weer aan mijn gebruiker toegekend en toen kon ik ze verwijderen.
5. Ze kwamen echter weer terug!
6. Toen dacht ik; ach, het betreft een simpele site met iets van 10 pagina's zonder extra modules etc; ik gooi alles van de server en start opnieuw. Alle teksten had ik al wel van de front-end gekopieerd.
Ik heb de hoster gevraagd om te controleren of alles echt verwijderd was. Er waren een paar mappen die niets met CMSMS te maken hadden maar die ik niet durfde te verwijderen, dat laatste heeft de hoster dus geregeld.

Tja en nu ben ik bezig om de nieuwste CMSMS versie er op te zetten en maak ik de site gewoon opnieuw. Dit lijtk goed te gaan.
Dit leek mij de simpelste oplossing want voor een nette reparatie had ik heel veel hulp van zowel de hoster als van jullie nodig gehad.

De conclusie van het host bedrijf was overigens dat het niet zozeer aan CMSMS lag maar dat een of ander script de FTP accound had gehackt. De kans op herhaling is gering.
Zelf heb ik meerdere CMSMS sites bij een andere hoster waar ik zoiets in 6 jaar tijd nog nooit heb meegemaakt. Ik denk dus dat de hoster zelf ook iets achter zijn oren mag krabben.

Hopelijk heb ik er met de nieuwe site geen last meer van.

Juhh, een gehackte website is geen pretje...

Maar vanuit CMSMS gezien ben ik blij dat er geen verdenking onze kant op komt. Zoals eerder gezegd zijn er meerdere soortgelijke meldingen geweest, maar nergens een duidelijke aanwijzing dat de oorzaak bij ons ligt.
Jouw verhaal bekrachtigd het gevoel dat we al hadden dat de problemen elders weg komen. Pfew gelukkig

Bedankt voor je feedback!

grt. Rolf

Rolf wrote:Pfew gelukkig

Ik ben er ook blij mee omdat ik meerdere sites heb met cmsms. Die lopen allemaal op een andere hoster. Ik denk eerder dat dat de reden is waarom de site gehackt was.

Ik heb de nieuwe site inmiddels af. Nu is het IP adres nog afgesloten maar vanaf morgen vind je hem hier.

De nieuwe site moet echter een webshop hebben... Dit heb ik al eens eerder geprobeerd met CMSMS maar ik stokte steeds bij iDeal dat ik niet werkend kreeg.

Weer een leuk klusje!

Groeten en thanks - Evert