website stuurt spam via class-phpmailer.php

Status
Niet open voor verdere reacties.
Als ik het goed begrijp kan de map wp-admin ook op 444?
Alleen de bestanden in deze map op 444 (de map zelf op 755 laten). Bestanden in onderliggende submappen gewoon op 644 laten staan.
Alsje wilt kan je dit verder dichtzetten maar google eerst even hierop.
 
Laatst bewerkt:
private_html kan ik niet op 755 zetten.
Ik heb dit bij sinterklaas geprobeerd en bij mijn eigen website.

set selection-> set permission 755

dit komt omdat het een doorverwijzing is.
Ik heb namelijk in de instellingen deze: “Use a symbolic link from private_html to public_html – allows for same data in http and https”

public_html staat wel op 755
 

Bijlagen

  • steun10.jpg
    steun10.jpg
    6,1 KB · Weergaven: 30
Laatst bewerkt:
Een symbolic link is een snelkoppeling, welke vermoedelijk volgens je SSL-instellingen naar je public_html gaat. Dan is dat voor die private-map niet nodig, nee.
 
Ja, dat klopt helemaal. Dus die moet op 777 en kan niet veranderd worden.

Nu, geen meldingen tot zover. In januari de wp-includes of wp-admin overschrijven, nu eerst uitzieken en daarna het vuurwerk ontvluchten.

Iedereen bedankt voor de hulp zover, heel interessant allemaal en echt top deze hulp!
 
Als je iets op 777 moet zetten moet jij of je hosting zich toch even achter de oren krabben!
Lees ook het artikel eens terug waarnaar ik gelinkt heb. Persoonlijk zou ik ook niet te lang wachten met actie te ondernemen, of laat het door iemand anders doen.

Mochten er kwade scripts zijn geïnstalleerd die voor ellende zorgen ben jij de verantwoordelijke! In het ergste geval zou je zelfs aansprakelijk kunnen zijn en schadevergoedingen moeten betalen. Ik ga er van uit dat het niet zover zal komen (heb het nooit echt gehoord), maar het is toch iets om even bij stil te blijven staan. ;)

Veel beterschap verder.
 
Laatst bewerkt:
Severity: enMaliciousThreatType
File: wp-content/plugins/nextgen-gallery/fre/.../FreemiusBase.php
File signature: 4160d44c13bc669d75f5a9f422b81562
Threat signature: 2c910b81c0955d48bd05a3250f3b3729
Threat name: Trojan.PHP.Base64.gen.361
Threat: $fn = 'base64' . '_d
Details: Detected malicious PHP script

Deze file behoort bij Nextgen Gallery. Ik heb hem nu 3x helemaal verwijderd en een nieuwe via Wordpress.org gedownload en via ftp geupload.
De scanner blijft deze file als verkeerd zien. Kan er niets over vinden, dus een beetje gek is dit wel.

Verder heb ik alle drie de websites via ftp opnieuw geïnstalleerd, (wp-includes en wp-admin helemaal verwijderd en opnieuw geupload, bepaalde files vernieuwd, alles gedaan zoals dit filmpje laat zien: https://www.sowmedia.nl/wordpress/o...dleiding-gehackte-wordpress-website-opschonen) en alles laten scannen.
geen class-phpmailer en zo meer die worden gevonden als niet oké, behalve dus deze ene.


ps. ninjascanner ziet er geen rare dingen in, Quterra scanner dus wel. valse report?
 
Laatst bewerkt:
Dat klinkt niet lekker....
Staat er vreemde coderingen, met voornamelijk eval(......) ,in de source van dat bestand? Zet het anders eens op Pastebin.
 
Goed, vanmorgen deze melding:

We urge you to take the necessary steps to fix this problem and to delete the script that is sending the spam. We also ask you to update the user's password and to update any open source scripts and plugins that is used by this user.

Infected script that is sending spam:
/home/janvabp321/domains/jfgbehangservice.nl/public_html/portfolio/wp-includes/class-phpmailer.php

Het gaat dus om de website waar de nextgen gallery opstaat.
Dus via die plugin zend men spam, dat moet wel.

Ik zal vandaag deze gallery verwijderen en een andere installeren, de hosting als ik klaar ben op de hoogte brengen dat ze de website weer online kunnen zetten.
 
Zet FreemiusBase.php eens op Pastebin. Ben benieuwd wat deze precies doet.
 
Code:
/**
		 * Base64 decoding that does not need to be urldecode()-ed.
		 *
		 * Exactly the same as PHP base64 encode except it uses
		 *   `-` instead of `+`
		 *   `_` instead of `/`
		 *   No padded =
		 *
		 * @param string $input Base64UrlEncoded() string
		 *
		 * @return string
		 */
		protected static function Base64UrlDecode( $input ) {
			/**
			 * IMPORTANT NOTE:
			 * This is a hack suggested by @otto42 and @greenshady from
			 * the theme's review team. The usage of base64 for API
			 * signature encoding was approved in a Slack meeting
			 * held on Tue (10/25 2016).
			 *
			 * @todo Remove this hack once the base64 error is removed from the Theme Check.
			 *
			 * @since 1.2.2
			 * @author Vova Feldman (@svovaf)
			 */
			$fn = 'base64' . '_decode';
			return $fn( strtr( $input, '-_', '+/' ) );
		}

		/**
		 * Base64 encoding that does not need to be urlencode()ed.
		 *
		 * Exactly the same as base64 encode except it uses
		 *   `-` instead of `+
		 *   `_` instead of `/`
		 *
		 * @param string $input string
		 *
		 * @return string Base64 encoded string
		 */
		protected static function Base64UrlEncode( $input ) {
			/**
			 * IMPORTANT NOTE:
			 * This is a hack suggested by @otto42 and @greenshady from
			 * the theme's review team. The usage of base64 for API
			 * signature encoding was approved in a Slack meeting
			 * held on Tue (10/25 2016).
			 *
			 * @todo Remove this hack once the base64 error is removed from the Theme Check.
			 *
			 * @since 1.2.2
			 * @author Vova Feldman (@svovaf)
			 */
			$fn = 'base64' . '_encode';
			$str = strtr( $fn( $input ), '+/', '-_' );
			$str = str_replace( '=', '', $str );

			return $str;
		}
	}
dit is een deel van de code in freemiusBase.php

Geen idee wat pastbin is, heb een account aangemaakt en de file erop gezet.
Maar eh...en dan?
 
Staat zelfs op de site?

Pastebin.com is the number one paste tool since 2002. Pastebin is a website where you can store text online for a set period of time.
Beter een losse pagina dan misschien wel 500 regels hier delen, wat uiteindelijk (gelukkig) aanzienlijk minder bleek te zijn.

Anyway, dit lijkt ook een false-positive te zijn. Die base64-string verontrustte mij omdat dit vaag gebruikt wordt om malafide code te verdoezelen.
Maar ik ben wel benieuwd waar er Base64UrlEncode() in gebruikt wordt.

Maar laat wel duidelijk zijn dat je in Wordpress nooit gratis gekraakte addon's en themes moet installeren waar je normaal voor moet betalen. In de meeste gevallen zit er rotzooi in verwerkt.
Ik zeg het maar eventjes :)
 
Maar laat wel duidelijk zijn dat je in Wordpress nooit gratis gekraakte addon's en themes moet installeren waar je normaal voor moet betalen. In de meeste gevallen zit er rotzooi in verwerkt.
Ik zeg het maar eventjes

ik weet het, dat doe ik dus nooit.

Ja, ik las dat wel. Heb de tekst erop gezet, maar ik vroeg me af wat er mee gebeurt?
 
Niks spannends. Ik heb liever een groot PHP script van onbekende grootte op Pastebin waar je heen linkt, dan dat ik hier 33 meter omlaag moet scrollen ;)
 
oh zo. Ik snap hem opeen.s Sorry, ben nog steeds ziek dus soms valt het kwartje later dan gepland.

Ga de websites van de behangservice helemaal opnieuw doen.
Ik maak van die 2, 1 website met een thema van Wordpress.org

Een hele nieuwe installatie dus, alles vers. Ik hoop het hiermee echt te verhelpen, en anders weet ik het echt niet meer.
 
Ga dan meteen naar PHP minimaal versie 7.3 of zelfs beter de meest recente 7.5... .die 7.03 die wordt toch als vulnerable/vrij easy hackbaar gezien.
Versio werkt met dus voor hosting met Linux, maar ook dat biedt geen garantie om geen hacks oid te krijgen, ook niet in Word Press onder Linux. En dat zal imho ook niet veranderen.
Succes verder.
 
Laatst bewerkt:
Haha.... In welke tijd leef jij Route66?
PHP 7.5 bestaat nog niet ;-)
 
Typo, we hebben wel met mensen te maken.... https://www.php.net/
V7.5 gaat er vast komen... ik liep wat voor.. ;)

In welke tijd leef jij dat je nog niet eens een naam over kunt typen die voor je neus staat...
spinonhead.gif
 
Onder Wine draait Word vast ook wel, maar dat is een ander verhaal :p
 
Status
Niet open voor verdere reacties.
Steun Ons

Nieuwste berichten

Terug
Bovenaan Onderaan