Polskayahacking en -spamming en Google
Overtijd ben ik een serieuze hacking van Polskaya op het spoor gekomen, een beetje per ongeluk eigenlijk doordat ik een bestandje op mijn server opende omdat ik de naam er niet van kende: endix.php (huh?endix.php? wasda?). In dat bestandje stond een base64 encoded string. Wanneer ik dat bestandje opriep in mijn browser, kreeg ik een pagina voorgeschoteld die me een paswoord vroeg. Huh?
Ik heb dan de encoded string omgezet via deze online tool (twee keer, hij was twee keer encoded), en snel bleek dat ik met een script te maken had dat de naam ‘nstview’ had. Een search op Google bracht me bij een pagina waarvan ik u de url ga onthouden. De reden waarom ziet u op onderstaande afbeelding:
Nu de string ‘ontcijferd’ was, vond ik vanboven in de code een variabele met een default paswoord. Daarmee kon ik inloggen, en wat ik toen zag, verstomde mij.
Op 8 mei 2008 om 10:52 EDT om precies te zijn, had iemand zichzelf volledige controle over mijn server verschaft. Nstview is blijkbaar een publiekelijk beschikbaar script voor remote administration, en één of andere hacker was in staat geweest om dat script neer te poten in mijn rootdirectory, terwijl ik van niks wist. Hij had vrij spel om bestanden en mappen te uploaden, te editen of te deleten. Hij had ook toegang tot mijn databasebestanden, de vetzak.
Uh-Oh! Vandaar die onverklaarbare spam op de indexpagina van Polskaya, steevast verborgen dmv. de ‘hidden’-tag, maar heel goed zichtbaar in de broncode. Ik had geen idee waar die vandaan kwam, maar nu dus wel.
Wat gedaan? Wel, ik heb het bestand endix.php hernoemd en het paswoord veranderd (ik ga het niet verwijderen, een remote administrator proggietje is altijd handig. Thx hacker!), ik heb het paswoord en login van de server veranderd en ik heb het paswoord van polskaya.be veranderd. Wat me nu te doen staat is om met een fijne kam door _al_ mijn bestanden gaan om te zien welke rommel dat die spammer allemaal begraven heeft in mijnen hof. Dedju toch.
Soit, heel bovenstaande uitleg is eigenlijk een intro voor het volgende: hebt u ook de pest aan spam op uw site? Wilt u het ook niet zo snel mogelijk weten wanneer er reclame voor blauwe pilletjes wordt verstopt in uw blog? Aha, dat dacht ik al. En daar is een heel gemakkelijke oplossing voor: Google Alerts.
Google Alerts brent u per email op de hoogte van de nieuwste zoekresultaten op Google, gebaseerd op je zoekopdracht of het onderwerp dat je hebt opgegeven. Dankzij de geavanceerde zoekmogelijkheden die Google biedt, kunnen we voor Google Alerts een zoekstring maken die ons meteen verwittigd wanneer er typische spamwoorden opduiken in onze site. Die zoekstring kan er zo uitzien:
viagra OR cialis OR levitra OR Phentermine OR Xanax OR Loans OR Casino OR Poker site:polskaya.be
De spamwoorden die erin staan kiest u zelf. En voor de dommeriken: de domeinnaam op het einde moet u vervangen door uw eigen url.
Ga dan naar Google Alerts, en voer die zoekstring in bij ‘Create a Google Alert’. Vul de rest van de veldjes in et voila: vanaf nu wordt u per mail verwittigd wanneer Google één van de gekozen spamwoorden op je site vindt.
Zo simpel…
reacties (12)
