03. december 2006 - 20:56Der er
9 kommentarer og 1 løsning
Stort problem ang hacker på hjemmeside - gentagne gange!
Hej alle.
Har her i løbet af den sidste måneds tid haft store problemer med en person har forvoldt sig adgang til min ftp-server og enten overskrevet index.php / index.html og/eller slettet indholdet på hele min server..
Måden de har slettet ændret indholdet er ved at uploade en PHP fil til mit www bibliotek, som jeg ved en tilfældighed fik fat i før de slettede serveren. Var lige inde og fikse nogle ting nemlig. Denne php-fil indeholder en "gør-det-let-mini-guide" til at udføre diverse hackerkommandaoer-- Filen hedder denne gang: spaghycrew_c99.php
Det kan ses at denne fil er uploadet med www som owner i min ftp-client.
Da jeg har haft besøg af ham flere gange har jeg måtte bruge udlukkelsesmetoden, og har derfor minimeret hvad jeg har af funktioner i bla. mit admin system.. Deriblandt alle steder man kan uploade..
Derudover har jeg selvfølgelig skiftet Kodeord på Mysql og FTP til et 10 cifferet tilfældigt kodeord.
Forresten.. den forrige gang jeg havde besøg, var vha. en anden metode. Igen var der blevet uploadet en php.fil til min www folder , men dette fil var designet til at finde min kodeord til FTP-en ved at prøve sig frem med alle kombinationer af tal og bogstaver..
Som i kan gætte, har jeg i aftes opdaget denne fil som jeg beskrevede øverst i denne tråd, og har virkelig ingen andelse om hvordan denne fyr har fået denne fil op i mit www folder?
Hvad gør jeg? alle råd falder i god jord - og kan denne fejl ligge hos min udbyder i form af en fejl i deres apache-server eller lign:?
Det er ikke særligt smart, at fortælle at du bruge en 10-ciffret kode.. nu kan personen koncentrere sig på 10-ciffre.. i stedet for at skulle starte med 1 og op til 255 (eller derover)..
Jeg ville gøre følgende:
1) Fortæl udbyderen om angrebet 2) Download og kig i logs.. send dem evt videre til udbydereren 3) Søg på dit admin-system via en søgemaskine (f.eks. Google) og tilføj som "security", "leak" osv.. Søg for at INGEN af standard konti har standard kodeord! - Fjern alle konti, og opret kun dem du skal bruge 4) Hvis muligt: Lav vær med at kalde admin-kontoen for "admin".. kald den noget andet
Kan være alt mellem himmel og jord. Selvfølgelig er der jo et hul et sted. Det kan være et hul i din kode i en af dine filer, eller det kan være hos din udbyder, eller det kan være en kombination af begge dele.
1. Jeg ville spærre FTP adgangen hvis muligt hos din udbyder. Så det kun var muligt at uploade via FTP fra din egen IP adresse, eller f.eks. hvis du har TDC som ISP, så spærre så der kun kan uploades fra TDC adresser. Kommer an på om du har fast eller dynamisk IP.
2. Jeg ville anmelde det til politiet med det samme. Ikke fordi der kan gøres noget særligt tror jeg, men der er jo et indbrud der er sket i dit system, og dermed ville jeg mene at det bør politi anmeldes.
3. Ville evt. overveje at skifte udbyder. Hvis de har et hul i et af deres systemer, som de ikke kan finde, så kunne et skift til en anden udbyder jo løse problemet. Og hvis det efterfølgende fortsætter, så ved du at det med stor sansynlighed er din egen kode der er skyld i problemet.
Jeg havde angreb på min Windows 2003 server, hvor det efter nogen søgen viste sig at de kom ind via min Merak Mail server, som havde et sikkerhedshul i webmailen. De fik installeret FTP server på min maskine og kunne så uploade video, musik og spil til serveren den vej.
Bare for at beskrive for dig, hvor mange usansynlige huller der kan være i et system. Det kan altså være mange ting, som du slet ikke tænker over, der gør det muligt for dem at komme ind.
En 10 sifret kode, er faktisk ok. Ja, korrekt at min kan koncentrere sig om 10 cifre nu, men der bliver jo ikke sagt om koden indholder bogstaver, tal, tegn eller om det er STORE eller små bogstaver.
Så kombinationsmuligheder ved et 10 cifret kode er så stor at Brute Force nok ikke er den bedste måde at knække sådan en kode på! Ville tage MANGE MANGE MANGE år.
lasserasch> Det er rigtigt, men det er også lige meget, for det er ikke hackerens computer der er sat til det..
Hvis han får koden, er det en sejr.. ellers er det bare whatever.. næste server..
Der skal faktisk ikke meget til at hacke servere.. Så snart man finder ud af, at en komponent indeholder en sikkerheds fejl, kan man søge på komponenten på nettet, og se alle de sider der bruger komponenten.. og så er det bingo..
har nu undersøgt med fast ip.. Dette kan lade sig gøre, men da "owner" på filen var www. er det da næppe via ftp-en dette er sket? men derimod via en upload på sitet? - korrekt? eller dækker dette også over hjemmeside uploads?
mht. til udskiftning af udbyder, bliver dette kun aktuelt i yderste nødtilfælde, da vi har telefon og MEGET; MEGET andet hos dem..så det er sidste udvej.
til thesurfer
vi har kontaktet vores udbyder, men de henviser bare pænt til vores egen kode og benægter at det er noget af deres software der har en fejl, da der ikke er andre der har oplevet defacement for nylig.. de konkludere altså at der ivlle være flere på deres server hvis det var deres fejl!
Jeg har netop slettet alle vores brugerkonto i adminsystemet - så dette ikke bude kunne bruges..
derudover ved jeg ikke lige hvor jeg finder mine logfiler.. Har du et sted jeg skal lede efter disse?
og en politiandmeldelse er faktisk på vej selvom jeg nu ikke tror det hjælper noget andet end bare på papiret.!
Det lader til at jeg har luret hvad denne fyr nu har gjort.
Det "program" han har brugt kaldes for "c99shell" og er en .php fil som uploades forklædt som et billede.. altså c99shell.php.jpg og på en smart måde for han så adgang til min side vha. dette.
Så det handler vel kort sagt om at få startet med at fjerne alle muligheder for at uploade, som jo foregår et par steder i mit admin system..
thesurfer jeg har et par logfiler i logs mappen med de er ikke opdateret og er dateret til 5 marts 2005 ,,., GRRR:.
anyways.. Det var rart bare at få lidt råd og snak omkring dette, da det åbentbart hjalp mig til at finde hvad der "HØJST SANDSYNLIG" er problemet...
i er stadigvæk velkomne til at skrive herinde, da jeg helt sikkert stadigvæk vil læse og skrive videre her indtil der er gået en måneds tid uden problemer.:
tak alle.. Thesurfer.. giver lasserasch de 250point, men hvis du osse vil have kan jeg godt oprette en ny tråd så du lige kan få dine os? sig bare til
Tilladte BB-code-tags: [b]fed[/b] [i]kursiv[/i] [u]understreget[/u] Web- og emailadresser omdannes automatisk til links. Der sættes "nofollow" på alle links.
