16 July, 2008

Polskayahacking en -spamming en Google

Te vinden onder: Uncategorized — @ 14:21

Overtijd ben ik een serieuze hacking van Polskaya op het spoor gekomen, een beetje per ongeluk eigenlijk doordat ik een bestandje op mijn server opende omdat ik de naam er niet van kende: endix.php (huh?endix.php? wasda?). In dat bestandje stond een base64 encoded string. Wanneer ik dat bestandje opriep in mijn browser, kreeg ik een pagina voorgeschoteld die me een paswoord vroeg. Huh?
Ik heb dan de encoded string omgezet via deze online tool (twee keer, hij was twee keer encoded), en snel bleek dat ik met een script te maken had dat de naam ‘nstview’ had. Een search op Google bracht me bij een pagina waarvan ik u de url ga onthouden. De reden waarom ziet u op onderstaande afbeelding:

Nu de string ‘ontcijferd’ was, vond ik vanboven in de code een variabele met een default paswoord. Daarmee kon ik inloggen, en wat ik toen zag, verstomde mij.
Op 8 mei 2008 om 10:52 EDT om precies te zijn, had iemand zichzelf volledige controle over mijn server verschaft. Nstview is blijkbaar een publiekelijk beschikbaar script voor remote administration, en één of andere hacker was in staat geweest om dat script neer te poten in mijn rootdirectory, terwijl ik van niks wist. Hij had vrij spel om bestanden en mappen te uploaden, te editen of te deleten. Hij had ook toegang tot mijn databasebestanden, de vetzak.

Uh-Oh! Vandaar die onverklaarbare spam op de indexpagina van Polskaya, steevast verborgen dmv. de ‘hidden’-tag, maar heel goed zichtbaar in de broncode. Ik had geen idee waar die vandaan kwam, maar nu dus wel.
Wat gedaan? Wel, ik heb het bestand endix.php hernoemd en het paswoord veranderd (ik ga het niet verwijderen, een remote administrator proggietje is altijd handig. Thx hacker!), ik heb het paswoord en login van de server veranderd en ik heb het paswoord van polskaya.be veranderd. Wat me nu te doen staat is om met een fijne kam door _al_ mijn bestanden gaan om te zien welke rommel dat die spammer allemaal begraven heeft in mijnen hof. Dedju toch.

Soit, heel bovenstaande uitleg is eigenlijk een intro voor het volgende: hebt u ook de pest aan spam op uw site? Wilt u het ook niet zo snel mogelijk weten wanneer er reclame voor blauwe pilletjes wordt verstopt in uw blog? Aha, dat dacht ik al. En daar is een heel gemakkelijke oplossing voor: Google Alerts.
Google Alerts brent u per email op de hoogte van de nieuwste zoekresultaten op Google, gebaseerd op je zoekopdracht of het onderwerp dat je hebt opgegeven. Dankzij de geavanceerde zoekmogelijkheden die Google biedt, kunnen we voor Google Alerts een zoekstring maken die ons meteen verwittigd wanneer er typische spamwoorden opduiken in onze site. Die zoekstring kan er zo uitzien:

viagra OR cialis OR levitra OR Phentermine OR Xanax OR Loans OR Casino OR Poker site:polskaya.be

De spamwoorden die erin staan kiest u zelf. En voor de dommeriken: de domeinnaam op het einde moet u vervangen door uw eigen url.
Ga dan naar Google Alerts, en voer die zoekstring in bij ‘Create a Google Alert’. Vul de rest van de veldjes in et voila: vanaf nu wordt u per mail verwittigd wanneer Google één van de gekozen spamwoorden op je site vindt.

Zo simpel…

via: www.blogstorm.co.uk


reacties (12)


12 reacties, »

  1.   Reactie van Izzydorio , op 16 July, 2008 @ 15:59

    Nice… tijdje geleden t zelfde voorgehad.

  2.   Reactie van Maarten Schenk , op 16 July, 2008 @ 22:02

    Je kan natuurlijk ook veilige blogsoftware installeren :-)

  3.   Reactie van Dirk , op 16 July, 2008 @ 23:15

    Ik peins dat uw Google Alert zoekstring “AND site:polskaya.be” ipv “OR site:polskaya.be” moet hebben op het eind.
    Tenzij je echt àlle sites wil leren kennen waar er viagra, cialis etc. op gespamd wordt…

  4.   Reactie van ine , op 16 July, 2008 @ 23:56

    hey, zelfste voor hier, gezocht en dacht dat ik het had gevonden, maar driewerf, de hackers sloegen weer toe, hoewel de site geupgradet was en de files dacht ik uitgekuist. waar vond jij je file precies. btw: mijn wp install was gewijzigd in de template files. gevonden via last adapted die verschilde van de rest.

  5.   Reactie van Polski , op 17 July, 2008 @ 2:39

    Heb je een aanrader?
    :P

  6.   Reactie van Polski , op 17 July, 2008 @ 2:28

    Hey Ine, ik vond die kl*tefile in mijn root onder de naam endix.php (index andersom) Maar hij kan ook vermomd zijn als iets doodnormaals als ‘thumb.db’ in een map met afbeeldingen. Begin er maar aan.
    Verder: ik open nu elke avond mijn ftp, mijn phpmyadmin, en mijn cpanel. Ik ga kijken naar al de bestanden die het laatst zijn geupdate en als ik er niks mee te maken heb dan is het fout. Serverlog liegt niet. Weet ik bijna zeker.

  7.   Reactie van Wim , op 17 July, 2008 @ 5:28

    Ik heb hetzelfde voor met een paar blogs en hierdoor worden die door google altijd gemarkeerd als ‘gevaarlijk’.

    Je hebt wel een klein foutje in je search string. De laatste OR (dus voor) site:polskaya.be moet weg. Probeer maar eens in google en zie het verschil. Ik denk dat je anders veel alerts zult binnen krijgen.

    Wel bedankt voor de tip.

  8.   Reactie van Marnik , op 17 July, 2008 @ 9:38

    Die OR in de zoekstring voor de site, ik denk dat die daar niet thuishoort. Handige tip.

  9.   Reactie van Polski , op 17 July, 2008 @ 10:06

    @wim & marnik: die OR stond daar inderdaad nie juist, bedankt voor de opmerking!

  10.   Reactie van steven , op 17 July, 2008 @ 10:46

    hmm. Ik zit nu gewoon op wordpress, wegens complete tech noob heb ik mijn blog nog niet overgezet op eigen serverruimte. Heb daar precies ook niet veel zin meer in… :(

  11.   Reactie van Polski , op 17 July, 2008 @ 12:07

    Steven, ik heb mijn eigen serverruimte voor polskaya.be nu in augustus zeven jaar lang. Dit is de eerste keer dat ik zoiets voorheb. Dus…

  12.   Reactie van steven , op 18 July, 2008 @ 10:08

    Mja heb gisteren mijn blog overgezet… loopt nog niet helemaal kom il foo maar goed, de sprong is genomen ;-)
    Niet leuk hoor als je van toeten of blazen weet, dacht even dat ik alles kwijt was

RSS feed voor deze reacties.

Voeg een reactie toe:

Powered by WordPress