Ja da's het IP van de site die ik noemde (http://www.topclick-prospects.nl)
- Hulp bij discussie - exploit via javascript?
-
28-11-2012, 12:42 #16Bedrijfgegevens op aanvraag
- Berichten
- 1.031
- Lid sinds
- 16 Jaar
Re: Hulp bij discussie - exploit via javascript?
-
28-11-2012, 12:45 #17
- Berichten
- 1.901
- Lid sinds
- 18 Jaar
Re: Hulp bij discussie - exploit via javascript?
My thoughts exactly.. maar ik hoef niet met zo'n commentaar naar hem toe te gaan want ik heb er geen verstand van want ik weet niet hoe de hack werkt want javascript doet alles aanpassen.. en er draaien klanten als de ING op die hosting ("shared hosting",.. well done ING, well done).
Lijkt dus met geen geweld wat zinnigs uit te kunnen komen verder, site is in elk geval clean nu. Maar volgens mij is het een kwestie van afwachten voordat er wat nieuws aanwezig is.
Zoals ik al zei, FTP probleem kan volgens mij uitgesloten worden, bestanden worden via een script aangepast, het vaste ritme aan wijzigingen wat wordt doorgevoerd geeft die al een klein beetje aan. Handmatig werk zou vast en zeker anders verwerkt zitten.
Wat ik in de logs kan vinden (en dan zoek ik alleen even op "POST" request i.v.m. eventuele uploads en dergelijk is het volgende:
203.142.24.116 - - [19/Nov/2012:15:58:19 +0100] "POST /phpmyadmin/scripts/setup.php HTTP/1.1" 404 - "http://****.com/phpmyadmin/scripts/setup.php" "Opera"
Waarbij ****.com dus niet de website is wat ik gemaakt heb. Het bestand bestaat verder ook niet, maar dit heb ik wel eens eerder voorbij zien komen in logfiles bij websites die doel waren van een hack op de een of andere manier.
-
28-11-2012, 12:50 #18Webblish Content & Publishing
- Berichten
- 5.633
- Lid sinds
- 17 Jaar
Re: Hulp bij discussie - exploit via javascript?
Ja da's het IP van de site die ik noemde (http://www.topclick-prospects.nl)
Ik kom dat IP-adres namelijk in bezoekersstatistieken van over de hele wereld tegen...
Edit: over dat andere IP adres: http://www.bizimbal.com/odb/ln/de/de...tml?id=1254674
Edit 2: http://www.devarticles.in/miscellene...-on-my-server/Laatst aangepast door B. van der Weerd : 28-11-2012 om 12:56 Reden: aanvulling
-
28-11-2012, 12:50 #19Bedrijfgegevens op aanvraag
- Berichten
- 1.031
- Lid sinds
- 16 Jaar
Re: Hulp bij discussie - exploit via javascript?
Da's een manier die hackers gebruiken opzoek naar (beveiligins)lekken. Die hebben gewoon crawlers/spiders/bots draaien en verzamelen zo servers/sites die mogelijk een beveiliginglek hebben.
Aanvullend bericht:
Omdat het een BOT is, net als google-bot. Tuurlijk zie je die dan in de webalizer-stats... (daarom zijn die webalizer-stats ook waardeloos, aantal echte bezoekers ligt altijd veeeeel lager).Laatst aangepast door jopie t : 28-11-2012 om 12:51 Reden: Automatisch samengevoegd.
-
28-11-2012, 12:58 #20Webblish Content & Publishing
- Berichten
- 5.633
- Lid sinds
- 17 Jaar
Re: Hulp bij discussie - exploit via javascript?
Zie mijn laatste aanvullingen (we reageren iets te snel geloof ik..)
-
28-11-2012, 13:00 #21
- Berichten
- 1.901
- Lid sinds
- 18 Jaar
Re: Hulp bij discussie - exploit via javascript?
Die laatste link van je kan ik geloof ik wel wat mee, in combinatie met wat we gevonden hebben in de code kan dat dus een draadje zijn wat de oorzaak kan zijn van alle ellende..
En de PHPMyAdmin directory bestaat inderdaad op die locatie, alleen de bestanden niet (meer).
En dit is misschien ook de moeite waard; uit de logfiles (gezien de hack via GET-params gaat las ik):
http://pastebin.com/ivFRfCn7Laatst aangepast door Joshua de Gier : 28-11-2012 om 13:09
-
28-11-2012, 13:05 #22Webblish Content & Publishing
- Berichten
- 5.633
- Lid sinds
- 17 Jaar
Re: Hulp bij discussie - exploit via javascript?
Verder gaat het heel ver boven mijn pet, dus ik wens je heel veel succes met het oplossen.
-
28-11-2012, 13:10 #23
- Berichten
- 1.901
- Lid sinds
- 18 Jaar
Re: Hulp bij discussie - exploit via javascript?
Haha geen probleem, maar met die link kan ik wel wat, want zowel het IP adres wat erin genoemd wordt als de bestanden die aangeroepen komen terug in de logfiles, daarnaast heb je ook nog eens dat het lek in PHPMyAdmin wat exploited wordt zou kunnen doen wat wij tegenkomen:
After Googling a bit i learned that it was a part of “phpMyAdmin PHP Code Injection Exploit” attempt. The configuration setup script (aka scripts/setup.php) in phpMyAdmin 2.11.x before 2.11.9.5 does not properly restrict key names in its output file, which allows remote attackers to execute arbitrary PHP code via a crafted POST request. (Ref. http://www.cvedetails.com/cve/CVE-2010-3055/)
En verder leuke informatie, de websites die door hen gemaakt zijn, zijn ook niet bepaald veilig te noemen, het is maar een stom onschuldig voorbeeldje, maar er staat op een van de andere websites een iframe.php wat zonder mekkeren het volgende accepteert:
PHP Code:http://www.*****.nl/site/iframe.php?file3=../directory_mijn_website_old/site/index.php
Laatst aangepast door Joshua de Gier : 28-11-2012 om 13:17
-
28-11-2012, 13:18 #2464BitsWebhosting.EU
- Berichten
- 2.092
- Lid sinds
- 17 Jaar
Re: Hulp bij discussie - exploit via javascript?
Haha geen probleem, maar met die link kan ik wel wat, want zowel het IP adres wat erin genoemd wordt als de bestanden die aangeroepen komen terug in de logfiles, daarnaast heb je ook nog eens dat het lek in PHPMyAdmin wat exploited wordt zou kunnen doen wat wij tegenkomen:
Alleen is de versie op de hosting 3.3+, ik weet natuurlijk niet of dit een recente upgrade is of niet. Ik verwacht het eigenlijk niet, maar dan nog.. wel weer een aanknooppunt.
En verder leuke informatie, de websites die door hen gemaakt zijn, zijn ook niet bepaald veilig te noemen, het is maar een stom onschuldig voorbeeldje, maar er staat op een van de andere websites een iframe.php wat zonder mekkeren het volgende accepteert:
PHP Code:http://www.*****.nl/site/iframe.php?file3=../directory_mijn_website_old/site/index.php
-
28-11-2012, 13:21 #25
- Berichten
- 1.901
- Lid sinds
- 18 Jaar
Re: Hulp bij discussie - exploit via javascript?
Weet ik, maar volgens bugreport op http://www.cvedetails.com/cve/CVE-2010-3055/ gaat het om versies "phpMyAdmin 2.11.x before 2.11.10.1".
-
28-11-2012, 13:27 #2664BitsWebhosting.EU
- Berichten
- 2.092
- Lid sinds
- 17 Jaar
Re: Hulp bij discussie - exploit via javascript?
Weet ik, maar volgens bugreport op http://www.cvedetails.com/cve/CVE-2010-3055/ gaat het om versies "phpMyAdmin 2.11.x before 2.11.10.1".
-
28-11-2012, 13:29 #27
- Berichten
- 1.901
- Lid sinds
- 18 Jaar
Re: Hulp bij discussie - exploit via javascript?
Was al eens op zoek gegaan ja, in 3.3 zat zelfs een soortgelijke bug, alleen zie ik de file die daarbij hoort niet aangeroepen worden. Wel zie ik een sessie-exploit, maar die lijkt verder niet zo heel bijster kritiek.
-
29-11-2012, 08:57 #28
- Berichten
- 980
- Lid sinds
- 17 Jaar
Re: Hulp bij discussie - exploit via javascript?
PHP Code:%3A%22PMA_Confi g%22%3A1%3A%7Bs%3A6%3A%22source%22%3Bs%3A50%3A%22% 2Ftmp%2Fsess_4d4083c0f798a055c746f9eb776ff0c067dd4 9cb%22%3B%7D%7D
-
29-11-2012, 11:40 #29
- Berichten
- 1.901
- Lid sinds
- 18 Jaar
Re: Hulp bij discussie - exploit via javascript?
PHP Code:%3A%22PMA_Confi g%22%3A1%3A%7Bs%3A6%3A%22source%22%3Bs%3A50%3A%22% 2Ftmp%2Fsess_4d4083c0f798a055c746f9eb776ff0c067dd4 9cb%22%3B%7D%7D
Plaats een
- + Advertentie
- + Onderwerp
Marktplaats
Webmasterforum
- Websites algemeen
- Sitechecks
- Marketing
- Domeinen algemeen
- Waardebepaling
- CMS
- Wordpress
- Joomla
- Magento
- Google algemeen
- SEO
- Analytics
- Adsense
- Adwords
- HTML / XHTML
- CSS
- Programmeren
- PHP
- Javascript
- JQuery
- MySQL
- Ondernemen algemeen
- Belastingen
- Juridisch
- Grafisch ontwerp
- Hosting Algemeen
- Hardware Info
- Offtopic