Helaas mijn site is gisteren gehackt. Niet zomaar een sql Injection. Nee, gewoon een echte hack.. index.htm is veranderd. Mijn virusscanner vond bij een paar php bestanden trojans.
Ik heb geen scripts die eval() gebruiken en ook geen die raren fwrites gebruiken.
Nu wil ik graag weten wat de oorzaak hier van is..
Kan dit aan mijn scripts liggen of is mijn hosting gewoon slecht beveiligd?
google eens op de tekst die in je index.htm staat. En zonder dat we weten hoe je server beveiligt is, wat voor scripts je verder uitvoerd etc. Kunnen we je geheel niet helpen.
Dat kan vanalles zijn, chmod, onveilige scripts, eenvoudige wachtwoorden op de ftp, slecht script, etc. etc.
Duik eens de logboeken in en ga achterhalen hoe men e.e.a. heeft uitgevoerd. Dat is een stuk eenvoudiger zoeken dan alle opties door te nemen. Neemt niet weg dat je alles moet controleren, maar voor deze ene hack is het logboek de aangewezen aanpak.
Je site is gehacked met een shell...
Als deze shell op je host staat, is er waarschijnlijk ergens een uploadform waar niet voldoende controle uitgevoerd is of een RFI-bug...
Rfis kunnen voorkomen worden door de include te beveiligen...
<?php
include ($_GET['x']);
// is rfi bugged
if (file_exists($_GET['x'].".php")) {
include ($_GET['x'].".php");
} else {
include ("home.php");
}
// is beveiligd tegen rfi ;)
?>
Have fun :)
?Onbekende gebruiker
02-10-2007 16:18
Bij shared hosting: Kan ook icm van jouw net niet goede beveiliging en die van een slechte andere website.
