Iemand heeft de site source onder versiebeheer gezet (google maar eens op "git" ). Zodat alle wijzigingen zijn te zien en je oudere versies kan terughalen. Blijkbaar wil men zich indekken tegen slecht beheer van de inhoud. Lijkt me heel verstandig.

Als je googlet op de bestandsnamen dan kom je al vrij snel bij malware van buitenlandse mogendheden uit. Ik vertrouw dit niet! Beste is je server opnieuw van scratch af aan op te bouwen.
Of je doen zelf een beetje onderzoek - dat kan natuurlijk ook

Trobi

https://git-scm.com/
https://nl.wikipedia.org/wiki/Git_%28software%29

Als jij noch je klant git gebruiken dan moet je toch eens kijken wie dat wel doet. "Downloaden van github" valt er ook onderr. github zijn wat handige jongens die git verhercentraliseerd in gebruik hebben om advertentieinkomsten naar zich toe te trekken.

Waarschijnlijk heeft iemand NoNonsenseForum op de website gezet. Als jij 100% zeker de enige bent die de website beheert en toegang heeft dan zou ik me zorgen maken, anders niet.

De .gitignore file vertelt GIT welke files wel en welke niet moeten worden beheerd.

Ze zijn niet schadelijk. Hoe die files er komen kun je het beste vragen aan iedereen die er files kan uploaden. Het is mogelijk dat iemand forum software heeft getest, maar niet de 'onzichtbare' files die met een puntje beginnen heeft opgeruimd.

GIT is een versioncontrol system, daarmee kun je wijzigingen in files opslaan en terughalen, vooral gebruikt door programeurs. NoNonsenseForum kun je hier vinden https://github.com/Kroc/NoNonsenseForum. Ik zou zelf nooit forum software gebruiken die maar een paar versies kent en al 3 jaar niet meer in ontwikkeling is daar zitten vast beveiligings problemen in.

Hallo Jan,

Ik heb hier ook niet super veel verstand van maar ik heb net ongeveer 5 minuten besteed aan het googlen van 'gitignore' en 'NoNonsenseForum'. Heel verhelderend, zou je ook eens moeten proberen.

Spoiler: gitignore is een bestand voor git (je weet wel, het versiebeheersysteem) om aan te geven welke mappen wel en niet moeten worden gesynchroniseerd. Vrij standaard dus voor dingen die met git worden bewaard, zoals bijvoorbeeld...NoNonsenseForum (https://github.com/Kroc/NoNonsenseForum). Gebruikt die website die je beheert toevallig dit als forum?

https://git-scm.com/docs/gitignore

Al eens opgezocht wat dat voor bestanden zijn? Al gekeken sinds wanneer de bestanden er staan? Al gekeken wie s eigenaar van de bestanden is? Al in logbestanden gekeken? Kan je shared hosting provider verklaren hoe de bestanden daar komen, als je zeker weet dat jij het niet was? Als je beheerder bent, waarom heb je dan niet al de juist informatie beschikbaar om misbruik uit te sluiten? Beheerder spelen en geen moeite doen is wel erg onprofessioneel.

Ik kom niet bij malware van buitenlandse mogendheden uit. Hoe jij wel?

Het is 100% zeker: alleen ik beheer die website.

Dat had ik al gedaan voordat ik mijn vraag hier postte.

Dan lijkt het alsof iemand anders het er ongeoorloofd heeft kunnen neerzetten.

Jij beheert de website, maar ook de server dan?

Eerste paar dingen die ik zou doen:
- voordat je iets aanpast, kopieer alle bestanden, logs, databases, configuratiebestanden zodat je de huidige 'gehackte' (moet nog blijken maar noem het even zo) situatie vastlegd is.
- vergelijk alles met je backups, dan is te zien wat er veranderd is.
- dan is het moeilijkste om te achterhalen HOE het gedaan is. Even server schoon installeren lost het probleem niet op (ja je bent de onverwachte bestanden kwijt maar de kwetsbaarheid kan er nog zijn...).

Het eerst wat je kunt doen is de bestanden op de server op datum sorteren. Als er malware opstaat is die vaak geupload, en de datum is dan relatief recent. Inspecteer vervolgens die bestanden (ook als ze bijvoorbeeld de extensie .txt hebben). Kijk of er php code of een script in staat en probeer te volgen wat het doet.

Je kunt bijvoorbeeld de datum van installatie zien in nieuw aangemaakte directories. Kijk of dat binnen de normale tijden valt waarop jij zelf of de site eigenaar werk op de server verricht.

Als een crimineel software heeft geinstalleerd, dan gaat dat vaak gepaard met meerdere scripts (achterdeurtjes), waarlangs hij weer naar binnen kan.

Met een tool als Midnight Commander kun je timestamps zien en bestanden snel inhoudelijk bekijken.

Voordat je begint eerst een forensische kopie (zoek op: "forensic copy") maken.

Tenslotte: iedereen die toegang heeft tot de server moet zijn eigen PC grondig scannen met meerdere scanners. Vaak worden wachtwoorden gestolen via malware op besmette computers. Ook die van vorige beheerders of eigenaren.

@10:28 door Anoniem,

"Jij beheert de website, maar ook de server dan?"

De server wordt beheerd door provider Hosting2GO, al kan ik natuurlijk zelf ook enige dingen configureren.

@10:59 door Anoniem,

Ik zie op de ftp-server geen vreemde veranderingen: geen toegevoegde of verwijderde bestanden of gewijzigde datums.

Alleen IK heb toegang tot de server en ik heb mijn computer altijd in topconditie. Die wordt elke dag gescanned op virus en malware. En in de map php zie ik geen vreemde dingen.

Wat voor datum staat er bij de GIT-bestanden? En welke eigenaar? Heb je recent het weergeven van verborgen bestanden (die beginnen met een punt) aangezet en nu pas die GIT-bestanden gezien? (Die er allang opstonden). Is er ook een .git directory aanwezig?

Doordat ik de bewuste bestanden bij ontdekking direct heb verplaatst van de ftp-server naar mijn computer is de datum gewijzigd naar die dag. Ik kijk geregeld op de server en daarbij zijn mij nooit vreemde dingen opgevallen. Verborgen bestanden, zoals bv. .htaccess, heb ik altijd zichtbaar. Er is geen git-map aanwezig en evenmin zijn andere vreemde wijziging te zien in de mappen- en bestandenstructuur.

Dan heeft de provider volledige toegang en die kan besluiten extra software voor alle sites toe te voegen. Als je slechts een site afneemt, heb je daar niet zoveel over te vertellen. Vraag dus aan de provider of ze deze software hebben toegevoegd.

Wil je niet dat iemand bij je server kan, overweeg dan een VPS (Virtual Private Server) of een dedicated server.

Bij VPS heeft de provider wel nog het beheer over de machine en hypervisor en soms ook kernels en bepaalde extra software die voor VM's (Virtual Machines) nodig zijn. In principe kan de provider het beheer overnemen, bijvoorbeeld door het user/wachtwoordbestand aan te passen.

Bel hen op en vraag wat ze kunnen zien in hun logbestanden.

Ik had de provider al gevraagd wat zij ervan dachten, maar die weet niets anders te melden dan dat ze in de logs zien dat het bestand er neer werd gezet. Overigens heb ik goede ervaringen met die provider.

Dan kunnen toch ook zien vanaf welk IP-adres het er werd neergezet. En wanneer.

Ik heb zojuist alle xferlog-bestanden van de ftp-server gedownload en erin gezocht naar de twee verdachte bestanden. Ik zie daarin alleen de acties die ik zelf heb uitgevoerd: verplaatsen naar mijn computer en later terugzetten op de server om ze de provider te laten zien en tot slot verplaatste ik ze weer naar mijn computer.

Dat heeft de provider gedaan en toen zagen zij alleen mijn acties die ik hierboven (12:40) beschrijf.

Dan ga je er nooit achter komen. Het zijn sowieso onschuldige bestanden. Bovendien gebruik je alleen statische HTML. Laat het maar rusten.

Ook ik heb de indruk dat ik mij geen zorgen hoef te maken, al is er wel iets gebeurd wat niet deugt. Voor de zekerheid heb ik het ftp-wachtwoord gewijzigd en sterker gemaakt en de provider gevraagd hoe ik i.p.v. ftp sftp kan gebruiken. Maar ik krijg zojuist de mededeling: SFTP is op ons hostingpakket niet beschikbaar.

Er wordt kennelijk aan gewerkt:

Ho! Geen secure FTP? Dat is erg kwalijk! Want met regulier FTP gaat de gebruikersnaam en het wachtwoord in plaintext over internet :-(

JanAnoniem:

JanAnoniem:

Hier spreek je jezelf tegen. Als je alleen webhosting afneemt ben je zeker niet de enige die toegang heeft tot de server, de provider is degene die ook toegang heeft. En elke klant heeft toegang tot de eigen site. Elke site op de server kan worden besmet door onzorgvuldig handelen van websitebeheerders. Als daarbij root toegang wordt verkregen kan de hele server, dus alle sites die erop worden gehost worden besmet.

Maar goed, dit geval lijkt veel meer op een provider die wat software installeert dan een malwarebesmetting.

Overigens: logbestanden van alleen ftp zegt niet veel, de software kan op geheel andere wijze op de server terecht komen. Alleen bij logbestanden op server-netwerkniveau kun je mogelijk iets zeggen over andere toegang.

Krakatau:

Het maakt niet uit of de website alleen HTML gebruikt als er wel PHP op is geinstalleerd. Als daar een lek in zit kan de site alsnog worden besmet. PHP wordt meestal in voorspelbare directories geinstalleerd, vaak ook toegankelijk als de hele site er niet naar linkt. Alleen als PHP uitvoeren daadwerkelijk is uitgeschakeld is het veilig.

Dat dacht ik ook!

Voor de zekerheid ben ik een back-up van de website aan het ftp-en zodat illegaal gewijzigde bestanden eventueel overschreven worden.

@13:08 door Anoniem,

"Hier spreek je jezelf tegen. Als je alleen webhosting afneemt ben je zeker niet de enige die toegang heeft tot de server, de provider is degene die ook toegang heeft. En elke klant heeft toegang tot de eigen site. Elke site op de server kan worden besmet door onzorgvuldig handelen van websitebeheerders. Als daarbij root toegang wordt verkregen kan de hele server, dus alle sites die erop worden gehost worden besmet."

Als je het zo bedoelt, dat begrijp ik wel. En de provider levert shared hosting.

Je kan een hash trekken van de files en deze uploaden naar Virustotal.com