Polskayahacking en -spamming en Google
Overtijd ben ik een serieuze hacking van Polskaya op het spoor gekomen, een beetje per ongeluk eigenlijk doordat ik een bestandje op mijn server opende omdat ik de naam er niet van kende: endix.php (huh?endix.php? wasda?). In dat bestandje stond een base64 encoded string. Wanneer ik dat bestandje opriep in mijn browser, kreeg ik een pagina voorgeschoteld die me een paswoord vroeg. Huh?
Ik heb dan de encoded string omgezet via deze online tool (twee keer, hij was twee keer encoded), en snel bleek dat ik met een script te maken had dat de naam ‘nstview’ had. Een search op Google bracht me bij een pagina waarvan ik u de url ga onthouden. De reden waarom ziet u op onderstaande afbeelding:
Nu de string ‘ontcijferd’ was, vond ik vanboven in de code een variabele met een default paswoord. Daarmee kon ik inloggen, en wat ik toen zag, verstomde mij.
Op 8 mei 2008 om 10:52 EDT om precies te zijn, had iemand zichzelf volledige controle over mijn server verschaft. Nstview is blijkbaar een publiekelijk beschikbaar script voor remote administration, en één of andere hacker was in staat geweest om dat script neer te poten in mijn rootdirectory, terwijl ik van niks wist. Hij had vrij spel om bestanden en mappen te uploaden, te editen of te deleten. Hij had ook toegang tot mijn databasebestanden, de vetzak.
Uh-Oh! Vandaar die onverklaarbare spam op de indexpagina van Polskaya, steevast verborgen dmv. de ‘hidden’-tag, maar heel goed zichtbaar in de broncode. Ik had geen idee waar die vandaan kwam, maar nu dus wel.
Wat gedaan? Wel, ik heb het bestand endix.php hernoemd en het paswoord veranderd (ik ga het niet verwijderen, een remote administrator proggietje is altijd handig. Thx hacker!), ik heb het paswoord en login van de server veranderd en ik heb het paswoord van polskaya.be veranderd. Wat me nu te doen staat is om met een fijne kam door _al_ mijn bestanden gaan om te zien welke rommel dat die spammer allemaal begraven heeft in mijnen hof. Dedju toch.
Soit, heel bovenstaande uitleg is eigenlijk een intro voor het volgende: hebt u ook de pest aan spam op uw site? Wilt u het ook niet zo snel mogelijk weten wanneer er reclame voor blauwe pilletjes wordt verstopt in uw blog? Aha, dat dacht ik al. En daar is een heel gemakkelijke oplossing voor: Google Alerts.
Google Alerts brent u per email op de hoogte van de nieuwste zoekresultaten op Google, gebaseerd op je zoekopdracht of het onderwerp dat je hebt opgegeven. Dankzij de geavanceerde zoekmogelijkheden die Google biedt, kunnen we voor Google Alerts een zoekstring maken die ons meteen verwittigd wanneer er typische spamwoorden opduiken in onze site. Die zoekstring kan er zo uitzien:
viagra OR cialis OR levitra OR Phentermine OR Xanax OR Loans OR Casino OR Poker site:polskaya.be
De spamwoorden die erin staan kiest u zelf. En voor de dommeriken: de domeinnaam op het einde moet u vervangen door uw eigen url.
Ga dan naar Google Alerts, en voer die zoekstring in bij ‘Create a Google Alert’. Vul de rest van de veldjes in et voila: vanaf nu wordt u per mail verwittigd wanneer Google één van de gekozen spamwoorden op je site vindt.
Zo simpel…
reacties (12)
Nice… tijdje geleden t zelfde voorgehad.
Je kan natuurlijk ook veilige blogsoftware installeren
Ik peins dat uw Google Alert zoekstring “AND site:polskaya.be” ipv “OR site:polskaya.be” moet hebben op het eind.
Tenzij je echt à lle sites wil leren kennen waar er viagra, cialis etc. op gespamd wordt…
hey, zelfste voor hier, gezocht en dacht dat ik het had gevonden, maar driewerf, de hackers sloegen weer toe, hoewel de site geupgradet was en de files dacht ik uitgekuist. waar vond jij je file precies. btw: mijn wp install was gewijzigd in de template files. gevonden via last adapted die verschilde van de rest.
Heb je een aanrader?
Hey Ine, ik vond die kl*tefile in mijn root onder de naam endix.php (index andersom) Maar hij kan ook vermomd zijn als iets doodnormaals als ‘thumb.db’ in een map met afbeeldingen. Begin er maar aan.
Verder: ik open nu elke avond mijn ftp, mijn phpmyadmin, en mijn cpanel. Ik ga kijken naar al de bestanden die het laatst zijn geupdate en als ik er niks mee te maken heb dan is het fout. Serverlog liegt niet. Weet ik bijna zeker.
Ik heb hetzelfde voor met een paar blogs en hierdoor worden die door google altijd gemarkeerd als ‘gevaarlijk’.
Je hebt wel een klein foutje in je search string. De laatste OR (dus voor) site:polskaya.be moet weg. Probeer maar eens in google en zie het verschil. Ik denk dat je anders veel alerts zult binnen krijgen.
Wel bedankt voor de tip.
Die OR in de zoekstring voor de site, ik denk dat die daar niet thuishoort. Handige tip.
@wim & marnik: die OR stond daar inderdaad nie juist, bedankt voor de opmerking!
hmm. Ik zit nu gewoon op wordpress, wegens complete tech noob heb ik mijn blog nog niet overgezet op eigen serverruimte. Heb daar precies ook niet veel zin meer in…
Steven, ik heb mijn eigen serverruimte voor polskaya.be nu in augustus zeven jaar lang. Dit is de eerste keer dat ik zoiets voorheb. Dus…
Mja heb gisteren mijn blog overgezet… loopt nog niet helemaal kom il foo maar goed, de sprong is genomen
Niet leuk hoor als je van toeten of blazen weet, dacht even dat ik alles kwijt was