Controleren of site gehackt is!

Hallo,

ergens anders op de site is een vraag van een lid dat zijn site was of is gehackt.
Hij melde dat er in de bron van bepaalde pagina's een kwaadaardig script stond.
Zelf heb ik deze site gecontroleerd met:
sitecheck.sucuri.net/
mxtoolbox.com/
En AVG 2015

Allen waren negatief dus in mijn ogen spam/virus/maleware vrij.
Een van de andere leden zegt dat site degelijk onveilig is.

Dus mij vraag is aan iedereen hoe scannen jullie een website als deze (misschien) gehackt is.

Alvast bedankt voor jullie reacties.

Groeten Ron

Hallo,

aanvulling op bovenstaande vraag.

Met onderstaande heb ik de site nogmaals gescand en die zag het script wel.
Natuurlijk blijft de vraag nog open staan hoe jullie dit controleren.

Groeten Ron

Deze was toevallig heel eenvoudig uit de broncode te halen. Bij mij gaan bij dit soort meldingen alle alarmbellen rinkelen: Daarnaast vond ik het nodig om in te grijpen in dat draadje omdat jij Beddesprei een vals gevoel van veiligheid gaf door je voorbarige en onjuiste conclusie. Als moderator zou je toch beter moeten weten.

Wat ik zeker zal doen is de logfiles van apache eens goed doornemen. Daar zie je al snel wat voor bestanden er worden geladen. Mocht je toegang hebben met ssh dan zou ik een scan uitvoeren op base64code om te kijken wat voor bestanden er eventueel al een backdoor hebben bv met: find . -type f -name '*.php' | xargs grep base64_ > results.txt nu zijn er veel bestanden in joomla waar die regel in voorkomt maar je ziet vanzelf als deze bestanden in je template directory staan dat het foute boel is.

Als je deze code tegenkomt in php bestanden: \x65\x76\x61\x6C\x28\x67\x7A\x69\x6E\x66\x6C\x61\x74\x65\x28\x62\x61\x73\x65\x36\x34\x5F\x64\x65\x63\x6F\x64\x65\x28 dan is het vaak foute boel.

Mocht je geen ssh toegang hebben dan is het soms handig om een bestand te uploaden die dat voor je checkt, zie: aw-snap.info/articles/base64-decode.php


suc6