Mijn naam is Michel en voor het eerst op dit forum, ben ook zeker een beginneling op het gebied van PHP.
Mijn vraag is als volgt,
Mijn host heeft een site welke ik beheer (probeer,) tijdelijk uit de lucht gehaald omdat hij denkt dat het gehackt is.
Hij geeft aan in een bericht dat er extreem veel dataverkeer werd gegenereerd. Als ik mijn log op de server bekijk zie ik dat er veel gebeurd via een Frans IP adres zie hieronder.
France PAGES 601,395 HITS 601,395 BANDWIDTH 27.93 GB 17 Nov 2016 - 00:13
France PAGES 889 HITS 889 BANDWIDTH 33.70 MB 16 Nov 2016 - 23:00
>> Dat er iets niet goed zit is duidelijk, we hebben de website weer uit de lucht gehaald. Er zijn in Joomla een aantal gebruikers aangemaakt welke admin of super rechten hebben.
Klinkt alsof de boel gehackt is. In dat geval kun je beter de hele server opnieuw installeren vrees ik.
Die code is wellicht een proxy waardoor anderen jouw server gebruiken om dingen te doen die illegaal zijn. Gezien het aantal GB aan traffic zou het kunnen dat je server is gebruikt om mediabestanden (bijv. films) te downloaden. Dat loopt dan via het ip-adres van jouw server.
Tip: bewaar die logbestanden minimaal een jaar voor het geval je ineens door iemand wordt aangeklaagd omdat jouw IP-adres is gebruikt bij illegale praktijken.
Misschien een riskante actie, maar kun je niet zelf met je webbrowser dat verdachte bestand opzoeken alsof je zelf een site bezoeker bent, en dan kijken wat je krijgt?
Dan kom je misschien meer te weten.
Het is dus waarschijnlijk een proxy script zoals gezegd. Wat je ook kunt doen, is het bestand zodanig veranderen, dat je te weten kunt komen van welke bronnen het script gegevens ophaalt en doorgeeft.
Of maakt het bestand leeg, stuurt 404 (nnot found) responses voor een tijdje en hoopt dan dat de request-zender (franse IP's) stoppen met jou te gebruiken als doorgeefluik, omdat ze misschien gaan denken dat het niet meer werkt.
(Net zoals niet reageren op spam mails)
Juist, een honey-pot dus. Dan weet je precies wat ze willen opvragen.
Gewoon de POST-requests even gezellig loggen dus, en voor de rest een dummy-tekst tonen.
Als je het toch verwijderd, dan krijgen ze toch een 404.
Maar ik zou sowieso op safe spelen en de boel laten herinstalleren.
Als er nu naar het bestand gepost wordt, ontvang jij een mail en kun je zien wat er gepost wordt en welke URLs of bestanden ze proberen op te vragen. In alle gevallen wordt het script gestopt (door exit) dus verder gebeurt er niks, maar nu kun je in ieder geval zien wat ze proberen te doen.
Als er nu naar het bestand gepost wordt, ontvang jij een mail en kun je zien wat er gepost wordt en welke URLs of bestanden ze proberen op te vragen. In alle gevallen wordt het script gestopt (door exit) dus verder gebeurt er niks, maar nu kun je in ieder geval zien wat ze proberen te doen.
Laat het ons hier ook even weten!
Ozzie,
Ik zou wel willen proberen, maar mijn host zet de site niet meer online in opdracht van de site eigenaar, dus kan ook vanaf vanmiddag niets meer testen.
Wanneer wil de hosting de website weer vrijgeven dan? Je zult toch eerst moeten kijken of het probleem opgelost is. Het feit dat er nu actie op ondernomen wordt, lijkt mij toch een reden dat de hosting de boel weer vrij moet geven.
Wanneer wil de hosting de website weer vrijgeven dan? Je zult toch eerst moeten kijken of het probleem opgelost is. Het feit dat er nu actie op ondernomen wordt, lijkt mij toch een reden dat de hosting de boel weer vrij moet geven.
De Host en de eigenaar van de website hebben in samenspraak besloten de oude website niet meer online te zetten, zij vinden het risico te groot.
Ik heb hierop weer vanavond de eigenaar van de website gesproken.
Hij heeft mij te kennen gegeven dat er een nieuwe website voor hem gebouwd moet worden, zolang deze niet gereed is zal er geen website draaien van hem.
