Feedback website

[Tom]

Citaat:

Oorspronkelijk geplaatst door Bo Blanckenburg Writer

helaas, ik ben geinfecteerd. Wordt aan gewerkt. op zich had ik er niks aan gratis' extra's op staan, ik heb me laten vertellen dat dit een virus is. Maar ben er nog niet helemaal uit hoe of wat, dus als er iemand is die dit al eens eerder is overkomen...
Tips blijven welkom!
bo

Zie hier: http://drupal.org/node/475772

Ik weet niet wat het doet, maar ik zou je aanraden om, terwijl het geinfecteerd is, je website offline te halen. Potentiële klanten een infectie bezorgen lijkt me geen goed plan.

[ramon fincken]

Upload of contactfomulieren wellicht?

[HildeW]

Hoi allemaal!

Ik ben degene die de website voor Bo in elkaar heeft gezet. Bo verblijft momenteel in het buitenland en heeft niet de mogelijkheid om actief te zijn op het forum. Toch wil ik graag dat de website weer normaal de lucht in kan, en zelf kom ik er niet uit.

Bo gaf aan mij door dat de website geinfecteerd is, dus ik ben meteen gaan kijken. Ik heb geen gratis toepassingen zoals tellers ofzo op de website staan. Wel stond plotseling de volgende code onderaan mijn index.php file:

!Voor de veiligheid weggehaald!

Ik heb het daar niet geplaatst en heb ook geen idee wat het is of doet. Ik heb het ook onmiddelijk verwijderd die dag. Nu (drie dagen later) staat het er weer! Er is blijkbaar iets of iemand die dit er continu op zet. Het staat overigens alleen op de index.php pagina, alle andere pagina's zijn ongewijzigd. Er zijn ook geen nieuwe pagina's toegevoegd.


Nu mijn vragen:

Wat is dit?
Wie of wat voegt het toe? Of hoe kom ik erachter wie of wat het doet?
Hoe krijg ik het (permanent) weg?

[Tom]

Citaat:

Oorspronkelijk geplaatst door HildeW

Hoi allemaal!

Ik ben degene die de website voor Bo in elkaar heeft gezet. Bo verblijft momenteel in het buitenland en heeft niet de mogelijkheid om actief te zijn op het forum.

Ze gaf mij door dat de website geinfecteerd is, dus ik ben meteen gaan kijken. Ik heb geen gratis toepassingen zoals tellers ofzo op de website staan. Wel stond plotseling de volgende code onderaan mijn index.php file:

En je gebruikt Drupal?

[HildeW]

Drupal zegt me niets. Ik kan websites schrijven, maar ben echt een leek in vergelijking met jullie volgens mij. Ik schrijf alles gewoon in kladblok...

[illutic]

Citaat:

Oorspronkelijk geplaatst door HildeW

Drupal zegt me niets. Ik kan websites schrijven, maar ben echt een leek in vergelijking met jullie volgens mij. Ik schrijf alles gewoon in kladblok...

Drupal is een CMS, maar zoiets gebruik je dus niet.

[HildeW]

Citaat:

Oorspronkelijk geplaatst door illutic

Drupal is een CMS, maar zoiets gebruik je dus niet.

Aha, nee ik ben zo'n eigenwijs die denk dat ze zelf alles in de hand kan en moet houden

[Tom]

Haal die code even hier weg, straks wordt het forum hier ook als besmet aangemerkt.

Gebruik je een database?

Sowieso even de rechten op index.php aanpassen, zodat alleen de owner het bestand mag aanpassen, zie dat linkje wat ik eerder gaf.

[ramon fincken]

Chmod, uploadforms, out-dated (open-source) software, contact/mailforms dat soort geintjes moet je naar kijken.

Ook naar zwakke FTP wachtwoorden.

Ik zou per direct de host op de hoogte stellen van dit probleem!

[illutic]

Citaat:

Oorspronkelijk geplaatst door HildeW

Wat is dit?
Wie of wat voegt het toe? Of hoe kom ik erachter wie of wat het doet?
Hoe krijg ik het (permanent) weg?

1. het is een JavaScript script (gecodeerd). Ik heb eens gezocht op Google en blijkbaar maakt het een iframe aan die je doorstuurt naar een andere (geïnfecteerde) website.
2. Geen idee wie/wat het doet, helaas.
3. Wijzig gebruikersnaam/wachtwoord FTP, kijk ook alle bestanden/mappen goed na of ze wel de juiste permissies hebben (CHMOD). Bestanden een CHMOD van 0644 en mappen 0755 (staat bij mij op de server standaard zo ingesteld). Kijk ook eigen code na om eventuele veiligheidslekken te dichten.