Avatar billede gregorian Nybegynder
03. december 2006 - 20:56 Der er 9 kommentarer og
1 løsning

Stort problem ang hacker på hjemmeside - gentagne gange!

Hej alle.

Har her i løbet af den sidste måneds tid haft store problemer med en  person har forvoldt sig adgang til min ftp-server og enten overskrevet index.php / index.html og/eller slettet indholdet på hele min server..

Måden de har slettet ændret indholdet er ved at uploade en PHP fil til mit www bibliotek, som jeg ved en tilfældighed fik fat i før de slettede serveren. Var lige inde og fikse nogle ting nemlig.
Denne php-fil indeholder en "gør-det-let-mini-guide" til at udføre diverse hackerkommandaoer--
Filen hedder denne gang: spaghycrew_c99.php


Det kan ses at denne fil er uploadet med www som owner i min ftp-client.


Da jeg har haft besøg af ham flere gange har jeg måtte bruge udlukkelsesmetoden, og har derfor minimeret hvad jeg har af funktioner i bla. mit admin system.. Deriblandt alle steder man kan uploade..

Derudover har jeg selvfølgelig skiftet Kodeord på Mysql og FTP til et 10 cifferet tilfældigt kodeord.



Forresten.. den forrige gang jeg havde besøg, var vha. en anden metode. Igen var der blevet uploadet en php.fil til min www folder , men dette fil var designet til at finde min kodeord til FTP-en ved at prøve sig frem med alle kombinationer af tal og bogstaver..



Som i kan gætte, har jeg i aftes opdaget denne fil som jeg beskrevede øverst i denne tråd, og har virkelig ingen andelse om hvordan denne fyr har fået denne fil op i mit www folder?

Hvad gør jeg? alle råd falder i god jord - og kan denne fejl ligge hos min udbyder i form af en fejl i deres apache-server eller lign:?


Håber du kan hjælpe!
TAK
Avatar billede thesurfer Nybegynder
03. december 2006 - 21:10 #1
Det er ikke særligt smart, at fortælle at du bruge en 10-ciffret kode.. nu kan personen koncentrere sig på 10-ciffre.. i stedet for at skulle starte med 1 og op til 255 (eller derover)..

Jeg ville gøre følgende:

1) Fortæl udbyderen om angrebet
2) Download og kig i logs.. send dem evt videre til udbydereren
3) Søg på dit admin-system via en søgemaskine (f.eks. Google) og tilføj som "security", "leak" osv.. Søg for at INGEN af standard konti har standard kodeord! - Fjern alle konti, og opret kun dem du skal bruge
4) Hvis muligt: Lav vær med at kalde admin-kontoen for "admin".. kald den noget andet
Avatar billede lasserasch Juniormester
03. december 2006 - 21:11 #2
Kan være alt mellem himmel og jord. Selvfølgelig er der jo et hul et sted. Det kan være et hul i din kode i en af dine filer, eller det kan være hos din udbyder, eller det kan være en kombination af begge dele.

1. Jeg ville spærre FTP adgangen hvis muligt hos din udbyder. Så det kun var muligt at uploade via FTP fra din egen IP adresse, eller f.eks. hvis du har TDC som ISP, så spærre så der kun kan uploades fra TDC adresser. Kommer an på om du har fast eller dynamisk IP.

2. Jeg ville anmelde det til politiet med det samme. Ikke fordi der kan gøres noget særligt tror jeg, men der er jo et indbrud der er sket i dit system, og dermed ville jeg mene at det bør politi anmeldes.

3. Ville evt. overveje at skifte udbyder. Hvis de har et hul i et af deres systemer, som de ikke kan finde, så kunne et skift til en anden udbyder jo løse problemet. Og hvis det efterfølgende fortsætter, så ved du at det med stor sansynlighed er din egen kode der er skyld i problemet.


Jeg havde angreb på min Windows 2003 server, hvor det efter nogen søgen viste sig at de kom ind via min Merak Mail server, som havde et sikkerhedshul i webmailen. De fik installeret FTP server på min maskine og kunne så uploade video, musik og spil til serveren den vej.

Bare for at beskrive for dig, hvor mange usansynlige huller der kan være i et system. Det kan altså være mange ting, som du slet ikke tænker over, der gør det muligt for dem at komme ind.

/Lasse
Avatar billede lasserasch Juniormester
03. december 2006 - 21:13 #3
En kommentar til Thesurfer.

En 10 sifret kode, er faktisk ok. Ja, korrekt at min kan koncentrere sig om 10 cifre nu, men der bliver jo ikke sagt om koden indholder bogstaver, tal, tegn eller om det er STORE eller små bogstaver.

Så kombinationsmuligheder ved et 10 cifret kode er så stor at Brute Force nok ikke er den bedste måde at knække sådan en kode på! Ville tage MANGE MANGE MANGE år.


/Lasse
Avatar billede gregorian Nybegynder
03. december 2006 - 21:18 #4
søgte lige på google som anbefalet og fandt nu dette:

http://www.zone-h.org/component/option,com_attacks/Itemid,43/filter_defacer,%5BOverclockiX%5D/

nogen der kan fortælle mig noget der kan hjælpe her?
Avatar billede thesurfer Nybegynder
03. december 2006 - 21:18 #5
lasserasch> Det er rigtigt, men det er også lige meget, for det er ikke hackerens computer der er sat til det..

Hvis han får koden, er det en sejr.. ellers er det bare whatever.. næste server..

Der skal faktisk ikke meget til at hacke servere.. Så snart man finder ud af, at en komponent indeholder en sikkerheds fejl, kan man søge på komponenten på nettet, og se alle de sider der bruger komponenten.. og så er det bingo..
Avatar billede gregorian Nybegynder
03. december 2006 - 21:20 #6
og google-søgningen viser kun index.php siden..intet andet.
http://www.google.dk/search?hl=da&q=site+bispebjergkickboxing.dk%2F&btnG=S%C3%B8g&meta=
Avatar billede gregorian Nybegynder
03. december 2006 - 21:36 #7
Okay..
til lasserasch

har nu undersøgt med fast ip.. Dette kan lade sig gøre, men da "owner" på filen var www. er det da næppe via ftp-en dette er sket? men derimod via en upload på sitet? - korrekt? eller dækker dette også over hjemmeside uploads?

mht. til udskiftning af udbyder, bliver dette kun aktuelt i yderste nødtilfælde, da vi har telefon og MEGET; MEGET andet hos dem..så det er sidste udvej.






til thesurfer

vi har kontaktet vores udbyder, men de henviser bare pænt til vores egen kode og benægter at det er noget af deres software der har en fejl, da der ikke er andre der har oplevet defacement for nylig.. de konkludere altså at der ivlle være flere på deres server hvis det var deres fejl!


Jeg har netop slettet alle vores brugerkonto i adminsystemet - så dette ikke bude kunne bruges..


derudover ved jeg ikke lige hvor jeg finder mine logfiler.. Har du et sted jeg skal lede efter disse?


og en politiandmeldelse er faktisk på vej selvom jeg nu ikke tror det hjælper noget andet end bare på papiret.!
Avatar billede thesurfer Nybegynder
03. december 2006 - 21:53 #8
På en Windows server, er der en "logs"-mappe ude i roden af websitet..

Jeg ved ikke hvordan det ser ud på en Linux/Apache server.

Bed din udbyder om at sende dig logs, for perioden omkring angrebet. Sig til dem, at det skal indgå som en del af en politianmeldelse.

Jeg håber at det kan hjælpe dig.
Avatar billede gregorian Nybegynder
03. december 2006 - 22:01 #9
Det lader til at jeg har luret hvad denne fyr nu har gjort.

Det "program" han har brugt kaldes for "c99shell" og er en .php fil som uploades forklædt som et billede.. altså c99shell.php.jpg og på en smart måde for han så adgang til min side vha. dette.

Så det handler vel kort sagt om at få startet med at fjerne alle muligheder for at uploade, som jo foregår et par steder i mit admin system..


thesurfer
jeg har et par logfiler i logs mappen med de er ikke opdateret og er dateret til 5 marts 2005 ,,., GRRR:.


anyways..
Det var rart bare at få lidt råd og snak omkring dette, da det åbentbart hjalp mig til at finde hvad der "HØJST SANDSYNLIG" er problemet...


i er stadigvæk velkomne til at skrive herinde, da jeg helt sikkert stadigvæk vil læse og skrive videre her indtil der er gået en måneds tid uden problemer.:


tak alle.. Thesurfer.. giver lasserasch de 250point, men hvis du osse vil have kan jeg godt oprette en ny tråd så du lige kan få dine os? sig bare til
Avatar billede thesurfer Nybegynder
03. december 2006 - 22:11 #10
Undersøg lige hvorfor logs ikke bliver opdateret/oprettet. Der skulle jo gerne oprettes logs på dagsbasis.

Ingen points til mig, tak.

PS:
Max antal points er 200, og man må ikke give flere points, ved at opdele dem på flere spørgsmål.

Ekspertens regler: http://www.eksperten.dk/regler.phtml
Avatar billede Ny bruger Nybegynder

Din løsning...

Tilladte BB-code-tags: [b]fed[/b] [i]kursiv[/i] [u]understreget[/u] Web- og emailadresser omdannes automatisk til links. Der sættes "nofollow" på alle links.

Loading billede Opret Preview
Kategori
IT-kurser om Microsoft 365, sikkerhed, personlig vækst, udvikling, digital markedsføring, grafisk design, SAP og forretningsanalyse.

Log ind eller opret profil

Hov!

For at kunne deltage på Computerworld Eksperten skal du være logget ind.

Det er heldigvis nemt at oprette en bruger: Det tager to minutter og du kan vælge at bruge enten e-mail, Facebook eller Google som login.

Du kan også logge ind via nedenstående tjenester