gehacked....

[Maurice_69]

hmmmm ik ontdek nu een vreemd mapje met wat bestandjes op een webserver domein op mijn DS713+ die ik zelf niet aangemaakt heb.  Iemand vaker ook zoiets meegemaakt en hoe ga ik hiermee om want ik kan het wel weghalen, maar dat zal vast weer terugkomen vrees ik 

[Briolet]

Dat fongu bestand roep een site op die als kwaadaardig omschreven staat, als ik op die naam google. o.a: https://map.httpcs.com/alert/83327

En die php files zijn zo gemodificeerd dat ze niet simpel leesbaar zijn. Maar op zich kunnen deze files niets, als ze niet aangeroepen worden, dus moet er meer aangepast zijn op je website.

[Maurice_69]

Dank je! Heb je enig idee hoe ze dit op mijn NAS krijgen, de website die er draait is eigenlijk.... uhm vrij blanco ;-) (webpagina met 1 regel tekst)

[Hempie]

Update je wel je Wordpress? Dit lijkt op een sql-injection waarbij ze toegang krijgen tot je wp map. Dit zou ook nog gedaan kunnen zijn door een illegale plug-in met backdoor. Beste is om je gehele 1 regel site te verwijderen inclusief db en opnieuw maken en bijhouden qua updates.   

[aliazzz]

Voordat iedereen hier van alles roept...

Huiswerk, ofwel, graag zien wij de onderstaande vragen beantwoord;
1) wat is je huidige netwerktopologie?
2) hoe hangt jouw nas aan het internet? (portforwards, etc etc?)
3) moet dat ding uberhaupt aan het internet hangen?
4) draai je regelmatig updates van DSM en de packages?
5) welke versie DSM?
6) staat er een virusscanner op je nas?
7) Draait die scanner minstens elke dag of nacht tenminste 1 keer?
Welke versie wordpress draai je?

kortom we willen info, info, info. Ennuh een wordpress site kapen is tamelijk simpel zoals al eerder is aangegeven.

[Maurice_69]

Dank je voor de reacties. Inderdaad het wordt snel een wildgroei ;-)

1) SBS2011 server - DS713+ - 2x Windows10 Werkstations
2) NAS aan internet, port fw poorten: 22 - 80 - 1723 - 5000 - 8080
3) ja voor websites bouwen/testen/eigen gebruik
4) Updates worden keurig bijgehouden en verwerkt
5) DSM 6.1.2-15132 (laatste)
6) Nee, maakte de keer dat ik hem getest had zo traag, maar zal hem eens draaien.
7) zal hem eens installeren

Wordpress -> staat er niet op!

Ik heb het zelf niet geïnstalleerd staan, de hacker had een paar WP bestanden neergezet wellicht dat je hierdoor op het verkeerde been werd gezet dat ik achterliep met updaten oid 

De site met 1 regel is ook echt blanco HTML pagina met 1 regel tekst, dus geen MySQL erbij in gebruik.

Nu maar eens even virusscanner installen en draaien!

[Maurice_69]

Nou die Synology Virusscanner is ook niet echt om vrolijk van te worden, druk je op updaten, gebeurd er niets. Staat al een paar uur in beeld maar weinig update. Iemand dezelfde of betere ervaring of tips?

[Birdy]

Die Virusscanner is ook echt een ramp.
Ik draai dan ook geen Virusscanner op m'n NASsen.
Ik vraag mij ook af of deze die hack zou herkennen.
De vraag is n.l. of dit wel een virus is.

[Ben(V)]

Het is waarschijnlijk wel malware, maar voor windows gemaakt.
bcd.exe is namelijk een programma om aanpassingen te maken aan de windows bootmanager.

[Birdy]

Ok....maar, zou de Virusscanner op de NAS die wel herkennen als (Windows) malware ?

[Ben(V)]

Nee bcd.exe is gewoon een normale applicatie waarmee je de windows bootmanager kunt aanpassen.
Ik heb het in het verleden gebruikt om een multiboot windows omgeving aan te passen.
Je weet wel zo'n opstart scherm die vraag van welke windows versie moet booten.

Als die echter samen met wat php files op een systeem komen te staan zonder dat je weet hoe en waarom dan ruikt dat naar een script kiddy die iets aan het proberen is.

Niet een echt doorwrocht virus, maar kan natuurlijk nog steeds bijzonder kwaadaardig zijn.

[Briolet]

Ik had voor de aardigheid de html en 3 php files op mijn nas gezet en AE deze map laten scannen. Dit wordt niet als kwaadaardig herkend, ondanks dat de html file naar een site wijst die al ¾ jaar als kwaadaardige te boek staat.

druk je op updaten, gebeurd er niets.

Daar was recentelijk ook een melding van. Ik heb ingesteld om voor elke scan een update te doen. Via die optie duurt een update ca 1 minuut. Ik gebruik AE eigenlijk nooit rechtstreeks, maar via de MailServer voor het scannen van binnenkomende mail.

[Maurice_69]

Nou het ergste vind ik eigenlijk dat ik niet weet hoe deze kerel de bestanden daar heeft gekregen, dat maakt me wel angstig moet ik zeggen!