Hallo allemaal.

Ik heb een website. Het probleem is dat iemand de site heeft gehackt waardoor die op meerdere accounts is geweest. We hebben al alle mogelijke manieren geprobeerd en ook beveiligd, maar op de één of andere manier blijft die erin kunnen komen. Ook hebben we wel 400+ mails via het contactformulier gekregen met allerlei rare dingen zoals hieronder.

ci00P01y\';select pg_sleep(15); --

En dan nog verschillende mailtjes van dit soort dingen.

Weet iemand hoe dit kan? Wie kan mij daarmee helpen?

Budget is aanwezig.

Met vriendelijke groet,
A Prins.

1. Blokkeer alle traffic tijdelijk tot je stap 2 en 3 voltooit hebt, alleen je eigen IP accepteren.
2. Verander altijd alle wachtwoorden, niks mag ongewijzigd blijven!
3. Scan de hele FTP op malafide bestanden (rare benaming/codes).

Betreft dit een eigen server of een basic hostingpakket, daar zit namelijk nogal verschil in als je hulp nodig hebt hierbij.

Aan "select pg_sleep(15)" te zien, zou je wel eens last kunnen hebben van iemand die een (totally) timebased sql injectie heeft uitgevoerd via je contact formulier. Als dit de oorzaak is, dan zal ook dit probleem opgelost moeten worden.

De kans bestaat dan ook deze hacker ook toegang heeft/had tot je sql server. Ook daar zou naar gekeken moeten worden.

Zoals iceblock al aangeeft gaat het waarschijnlijk om een SQL injectie gezien hij het contactformulier spamt met verschillende pogingen. Sta je toevallig ook het uploaden van bijlages toe? Dan kan het namelijk zijn dat hij een shell heeft geupload, deze geeft hem een soort FTP toegang tot de bestanden waardoor hij direct weer toegang heeft tot de site.

Maak voor jezelf een chronologisch plaatje van alles wat er is gebeurd/logboeken. Waarschijnlijk heb je dan al een aardige indicatie waar het mis gaat. Helaas zal hij waarschijnlijk dus volledig toegang hebben gehad over je DB gezien er stevige aanwijzigingen zijn van een SQ: injectie. Dit zal betekenen dat je uit voorzorg zeker de gebruikers moet mailen en alle wachtwoorden resetten.

De wachtwoorden hebben we al een paar keer aangepast. Maar heb inderdaad een upload script op me site om een eigen avatar in te stellen. Heb die zojuist verwijderd en uit voorzorg dan ook de map met de avatars. Maar na het veranderen is die er alweer in gekomen.
Waar wordt zo een shell dan geupload? Echt in de map waar de andere avatars ook terecht komen of kan dat ook ergens anders terecht komen? En heeft die dan ook de wachtwoord van mijn sql database en moet ik die ook veranderen of heeft het daar niets mee te maken?

Heb je een PM gestuurd.

Hallo,

om welke site gaat het? Desnoods kun je het via pm sturen.

Vriendelijke groeten,

Ron

Origineel gepost door A Prins

De wachtwoorden hebben we al een paar keer aangepast. Maar heb inderdaad een upload script op me site om een eigen avatar in te stellen. Heb die zojuist verwijderd en uit voorzorg dan ook de map met de avatars. Maar na het veranderen is die er alweer in gekomen.
Waar wordt zo een shell dan geupload? Echt in de map waar de andere avatars ook terecht komen of kan dat ook ergens anders terecht komen? En heeft die dan ook de wachtwoord van mijn sql database en moet ik die ook veranderen of heeft het daar niets mee te maken?

Antwoord is ja, ze kunnen de shell overal plaatsen binnen het hostingpakket, daarom moet je goed zoeken waar zoiets gezet is. Met de shell kunnen ze config bestanden uitlezen die weer verbinding maken met jouw database, niet zo lastig dus.

Even andersom gedacht… Ik weet natuurlijk niet over welke site je het hebt, hoeveel content en hoe vaak dit wijzigt enzo… Maar heb je een backup van voordat dit gebeurde? Als je die terug zet weet je nagenoeg zeker dat je zijn wijzigingen weg hebt. Daarna alle wachtwoorden aanpassen, contactformulier even uitzetten…

Of: Al je content exporteren, website volledig opnieuw installeren, content weer importeren. Ook in dit geval, andere wachtwoorden, contactformulier beter beveiligen, etc...

Heb het zelf een paar jaar terug gehad, er was ook code aangemaakt in bestaande bestanden. Uiteindelijk was de oplossing met de backup voor mij genoeg...