CIO Tech Eksperten IT-JOB IT-Kurser Events Podcast Søg
Cookie ikon
Avatar billede odie Nybegynder
27. marts 2009 - 08:19 Der er 6 kommentarer og
1 løsning

Min hjemmeside er blevet hacked

Hej Eksperter.

Min hjemmeside (http://www.thelastcall.dk) blev desværre hacked i tirsdags af angel25dz. Jeg har (ved at søge på google) fundet ud af at de hacker rigtig mange .dk sider i øjeblikket :(

Jeg har siden forsøgt at finde ud af hvordan, men kommer desværre ikke videre.

Jeg har fået loggen fra min internet udbyder, som viser nedenstående. Det giver mig desværre ikke nogen ide, om hvordan det er sket. Jeg har forsøgt at læse meget (en del) om injection, men på min forside (som jeg læser loggen) er den eneste side de var på, har jeg ikke en form (som man vistnok primært bruger ved injection/hacking af hjemmesider). Min side har jeg selv programmeret og bruger altså ikke noget CMS system eller lign. Jeg ved desværre ikke hvor/hvad jeg skal kikke efter på mine sider. Håber at der er nogen som kan hjælpe.

ps. Det "eneste" der skete, var at mine filer i roden af min hjemmeside blev slettet og de 3 nye filer blevet lagt ind. Der er ikke (efter hvad jeg kan se) sket ændringer overhovedet i min SQL database og underdir.

På forhånd tak for hjælpen.

Mvh.
Brian Lentz


2009-03-24 14:38:54 41.221.16.98 - GET /Default.asp - 200 7489 HTTP/1.1 Mozilla/5.0+(Windows;+U;+Windows+NT+5.1;+fr;+rv:1.9.0.7)+Gecko/2009021910+Firefox/3.0.7 -
2009-03-24 14:38:58 41.221.16.98 - GET /html/css/layout.css - 200 9889 HTTP/1.1 Mozilla/5.0+(Windows;+U;+Windows+NT+5.1;+fr;+rv:1.9.0.7)+Gecko/2009021910+Firefox/3.0.7 http://thelastcall.dk/
2009-03-24 14:39:00 41.221.16.98 - GET /js/mailprotectbrian.js - 200 812 HTTP/1.1 Mozilla/5.0+(Windows;+U;+Windows+NT+5.1;+fr;+rv:1.9.0.7)+Gecko/2009021910+Firefox/3.0.7 http://thelastcall.dk/
2009-03-24 14:39:01 41.221.16.98 - GET /html/css/dotlightbluelef.gif - 200 1057 HTTP/1.1 Mozilla/5.0+(Windows;+U;+Windows+NT+5.1;+fr;+rv:1.9.0.7)+Gecko/2009021910+Firefox/3.0.7 http://thelastcall.dk/html/css/layout.css
2009-03-24 14:39:01 41.221.16.98 - GET /html/css/dotlightbluebut.gif - 200 1057 HTTP/1.1 Mozilla/5.0+(Windows;+U;+Windows+NT+5.1;+fr;+rv:1.9.0.7)+Gecko/2009021910+Firefox/3.0.7 http://thelastcall.dk/html/css/layout.css
2009-03-24 14:39:01 41.221.16.98 - GET /html/css/dotlightbluetop.gif - 200 1057 HTTP/1.1 Mozilla/5.0+(Windows;+U;+Windows+NT+5.1;+fr;+rv:1.9.0.7)+Gecko/2009021910+Firefox/3.0.7 http://thelastcall.dk/html/css/layout.css
2009-03-24 14:39:01 41.221.16.98 - GET /html/css/blorange.gif - 200 371 HTTP/1.1 Mozilla/5.0+(Windows;+U;+Windows+NT+5.1;+fr;+rv:1.9.0.7)+Gecko/2009021910+Firefox/3.0.7 http://thelastcall.dk/html/css/layout.css
2009-03-24 14:39:01 41.221.16.98 - GET /html/css/dotlightbluerig.gif - 200 1057 HTTP/1.1 Mozilla/5.0+(Windows;+U;+Windows+NT+5.1;+fr;+rv:1.9.0.7)+Gecko/2009021910+Firefox/3.0.7 http://thelastcall.dk/html/css/layout.css
2009-03-24 14:39:01 41.221.16.98 - GET /html/css/brorange.gif - 200 370 HTTP/1.1 Mozilla/5.0+(Windows;+U;+Windows+NT+5.1;+fr;+rv:1.9.0.7)+Gecko/2009021910+Firefox/3.0.7 http://thelastcall.dk/html/css/layout.css
2009-03-24 14:39:01 41.221.16.98 - GET /html/css/tlorange.gif - 200 341 HTTP/1.1 Mozilla/5.0+(Windows;+U;+Windows+NT+5.1;+fr;+rv:1.9.0.7)+Gecko/2009021910+Firefox/3.0.7 http://thelastcall.dk/html/css/layout.css
2009-03-24 14:39:02 41.221.16.98 - GET /html/css/trorange.gif - 200 367 HTTP/1.1 Mozilla/5.0+(Windows;+U;+Windows+NT+5.1;+fr;+rv:1.9.0.7)+Gecko/2009021910+Firefox/3.0.7 http://thelastcall.dk/html/css/layout.css
2009-03-24 14:39:02 41.221.16.98 - GET /html/css/dotlightbluetop2.gif - 200 1057 HTTP/1.1 Mozilla/5.0+(Windows;+U;+Windows+NT+5.1;+fr;+rv:1.9.0.7)+Gecko/2009021910+Firefox/3.0.7 http://thelastcall.dk/html/css/layout.css
2009-03-24 14:39:02 41.221.16.98 - GET /html/css/dotlightbluebut2.gif - 200 1057 HTTP/1.1 Mozilla/5.0+(Windows;+U;+Windows+NT+5.1;+fr;+rv:1.9.0.7)+Gecko/2009021910+Firefox/3.0.7 http://thelastcall.dk/html/css/layout.css
2009-03-24 14:39:02 41.221.16.98 - GET /html/css/dotlightbluelef2.gif - 200 1057 HTTP/1.1 Mozilla/5.0+(Windows;+U;+Windows+NT+5.1;+fr;+rv:1.9.0.7)+Gecko/2009021910+Firefox/3.0.7 http://thelastcall.dk/html/css/layout.css
2009-03-24 14:39:03 41.221.16.98 - GET /html/css/dotlightbluerig2.gif - 200 1057 HTTP/1.1 Mozilla/5.0+(Windows;+U;+Windows+NT+5.1;+fr;+rv:1.9.0.7)+Gecko/2009021910+Firefox/3.0.7 http://thelastcall.dk/html/css/layout.css
2009-03-24 14:39:03 41.221.16.98 - GET /html/css/bl_inner.gif - 200 1104 HTTP/1.1 Mozilla/5.0+(Windows;+U;+Windows+NT+5.1;+fr;+rv:1.9.0.7)+Gecko/2009021910+Firefox/3.0.7 http://thelastcall.dk/html/css/layout.css
2009-03-24 14:39:03 41.221.16.98 - GET /html/css/br_inner.gif - 200 1104 HTTP/1.1 Mozilla/5.0+(Windows;+U;+Windows+NT+5.1;+fr;+rv:1.9.0.7)+Gecko/2009021910+Firefox/3.0.7 http://thelastcall.dk/html/css/layout.css
2009-03-24 14:39:03 41.221.16.98 - GET /html/css/tl_inner.gif - 200 1102 HTTP/1.1 Mozilla/5.0+(Windows;+U;+Windows+NT+5.1;+fr;+rv:1.9.0.7)+Gecko/2009021910+Firefox/3.0.7 http://thelastcall.dk/html/css/layout.css
2009-03-24 14:39:03 41.221.16.98 - GET /html/css/tr_inner.gif - 200 1099 HTTP/1.1 Mozilla/5.0+(Windows;+U;+Windows+NT+5.1;+fr;+rv:1.9.0.7)+Gecko/2009021910+Firefox/3.0.7 http://thelastcall.dk/html/css/layout.css
2009-03-24 14:39:04 41.221.16.98 - GET /html/css/menuitem.gif - 200 1263 HTTP/1.1 Mozilla/5.0+(Windows;+U;+Windows+NT+5.1;+fr;+rv:1.9.0.7)+Gecko/2009021910+Firefox/3.0.7 http://thelastcall.dk/html/css/layout.css
2009-03-24 14:39:04 41.221.16.98 - GET /html/css/menuitem_empty.gif - 200 1130 HTTP/1.1 Mozilla/5.0+(Windows;+U;+Windows+NT+5.1;+fr;+rv:1.9.0.7)+Gecko/2009021910+Firefox/3.0.7 http://thelastcall.dk/html/css/layout.css
2009-03-24 14:39:06 41.221.16.98 - GET /js/showgallery.asp gallery=0&showpic=11 200 17399 HTTP/1.1 Mozilla/5.0+(Windows;+U;+Windows+NT+5.1;+fr;+rv:1.9.0.7)+Gecko/2009021910+Firefox/3.0.7 http://thelastcall.dk/
2009-03-24 14:39:25 41.221.16.98 - GET /favicon.ico - 404 4203 HTTP/1.1 Mozilla/5.0+(Windows;+U;+Windows+NT+5.1;+fr;+rv:1.9.0.7)+Gecko/2009021910+Firefox/3.0.7 -
2009-03-24 14:39:27 41.221.16.98 - GET /favicon.ico - 404 4203 HTTP/1.1 Mozilla/5.0+(Windows;+U;+Windows+NT+5.1;+fr;+rv:1.9.0.7)+Gecko/2009021910+Firefox/3.0.7 -

2009-03-24 14:44:38 41.221.16.98 - GET /index.asp - 200 3960 HTTP/1.1 Mozilla/5.0+(Windows;+U;+Windows+NT+5.1;+fr;+rv:1.9.0.7)+Gecko/2009021910+Firefox/3.0.7 -
2009-03-24 14:44:43 41.221.16.98 - GET /angel25dz.jpg - 200 18071 HTTP/1.1 Mozilla/5.0+(Windows;+U;+Windows+NT+5.1;+fr;+rv:1.9.0.7)+Gecko/2009021910+Firefox/3.0.7 http://thelastcall.dk/
2009-03-24 14:44:46 41.221.16.98 - GET /dz.jpg - 200 41808 HTTP/1.1 Mozilla/5.0+(Windows;+U;+Windows+NT+5.1;+fr;+rv:1.9.0.7)+Gecko/2009021910+Firefox/3.0.7 http://thelastcall.dk/
Avatar billede bufferzone Praktikant
27. marts 2009 - 11:06 #1
Du bruger formentlig en færdig CMS løsning der haqr en eller anden sårbarhed der er udnyttet. Det kunne se ud som om de anvender en eller anden billedhåndterings sårbarhed primært i gif, hvis ellers den stump at loggen du har fået indeholder det relevante af angeebet og ikke bare en del af scanningen.

Hvis du kan skrive hvilket system du anvender kan jeg muligvis sige noget om hvad der er sket,
Avatar billede odie Nybegynder
27. marts 2009 - 11:25 #2
Hej Bufferzone

Jeg har selv programmeret min side (og bruger ikke noget CMS system) og de gif filer (fra /html/css/) som står i loggen er mine egne.

Det er desværre det eneste som står i loggen fra IP: 41.221.16.98.

Efter hvad jeg kan se, er det er sket i mellem 2009-03-24 14:39:25 og 2009-03-24 14:44:38, da det er 2009-03-24 14:44:38 at deres index.asp bliver loadet på mit site.
Avatar billede bufferzone Praktikant
27. marts 2009 - 13:45 #3
Detvar værre. Den stump af loggen du har pastet viser kun get requests, så hvis der ikke er tale om et bufferoverflow, og det er der normalt ikke i denne sammenhæng, for så havde alle sites på serveren været defacet, så skal jeg bruge mere af loggen for at se hvad de har gjort.

Ud fra den del af loggen jeg kan se, er der tale om et scriptet angreb.

Bruger du nogen moduler eller scrits hentet fra nettet
Avatar billede odie Nybegynder
27. marts 2009 - 13:54 #4
Det eneste jeg vistnok bruger af scripts/moduler er crossbrowser script. Men checker lige helt op på det når jeg kommer hjem fra arbejde i aften.

Skriver tilbage i aften
Avatar billede odie Nybegynder
27. marts 2009 - 19:33 #5
De eneste 2 ting jeg har fundet ere TinyMCE, som jeg havde liggende i et underdir og noget mootools.v1.11.js, som jeg har forsøgt at lege med i forbindelse med noget fancymenu.

Jeg sletter de 2 og ser om "det bare var det".

Smider du et svar ?
Avatar billede odie Nybegynder
12. april 2009 - 22:44 #6
Hej bufferzone

Vil du smide et svar ?
Avatar billede odie Nybegynder
27. april 2009 - 10:14 #7
Nå Jeg lukker selv, da jeg ikke har fået noget svar fra Bufferzone.
Avatar billede Ny bruger Nybegynder

Din løsning...

Tilladte BB-code-tags: [b]fed[/b] [i]kursiv[/i] [u]understreget[/u] Web- og emailadresser omdannes automatisk til links. Der sættes "nofollow" på alle links.

Loading billede Opret Preview
Kategori
Se alle it-kurser fra Computerworld Kurser
IT-kurser om Microsoft 365, sikkerhed, personlig vækst, udvikling, digital markedsføring, grafisk design, SAP og forretningsanalyse.
Se alle it-kurser

Flere spørgsmål fra Andet sikkerhed kategorien

Titel Indlæg Oprettet Seneste aktivitet
Password sikkerhed Af jhjorsal i Andet sikkerhed 2 13/07/202413:12 13/07/202422:46
Automatisering af certifikat proces - Danske virksomheder Af Søren i Andet sikkerhed 1 29/05/202414:23 30/05/202409:03
VPN i forhold til facebook? Af Novice-1 i Andet sikkerhed 2 26/05/202412:09 26/05/202420:54
Fjerne adgangskode Af Geo" søster i Andet sikkerhed 4 25/04/202418:19 26/04/202422:46
Krypetring af USB -stick Af FinBalance i Andet sikkerhed 16 04/03/202412:39 08/03/202415:52
Se alle spørgsmål i kategorien Opret spørgsmål

Log ind eller opret profil

Hov!

For at kunne deltage på Computerworld Eksperten skal du være logget ind.

Det er heldigvis nemt at oprette en bruger: Det tager to minutter og du kan vælge at bruge enten e-mail, Facebook eller Google som login.

Opret Log ind

Du kan også logge ind via nedenstående tjenester



Alle kategorier på Eksperten
Seneste spørgsmål Seneste aktivitet
I dag 20:17 vlc viser kegle-icon Af casablanca i Andet software
I dag 14:01 Oprette / gemme et par fotos i en mappe - Samsung Galaxy A 14 5G ? Af Ikke-ekspert i Mobiltelefoner
I dag 11:14 Bærbar til Sims 3? Af idamarie i PC
I dag 10:49 Adobe til excel Af densortehingst i Andet software
I dag 09:26 Chrome Af fjorbak i Andet netværk
White papers
Flere white papers »


Premium
Teaser billede
5.000 flyafgange i verden blev aflyst som følge af Crowdstrike-nedbrud: Vil Københavns Lufthavn søge erstatning?
Læs mere »
Hackere udnytter CrowdStrike-nedbruddet: Spreder malware ved hjælp af falske løsninger
Microsoft skyder dele af skylden for CrowdStrike-nedbrud på 15 år gammel EU-aftale
Derfor står Danske Bank foran en kæmpe AWS-transformation: Ellers skulle vi bygge en ny infrastruktur for at følge med
Se alle »
Computerworld
Teaser billede
Microsoft-nedbrud spreder sig: It-systemer i lufthavne verden over er ramt
Læs mere »
Test: Denne mikro-pc er smartere end de stærkeste desktop-maskiner - men flopper alligevel
Elon Musk dropper CrowdStrike efter kæmpe nedbrud
Hundredevis af flyafgange ramt af stort Microsoft-nedbrud
Se alle »
CIO
Teaser billede
Microsoft er på sagen: I gang med at løse kæmpe nedbrud efter katastrofal Crowdstrike-fejl
Læs mere »
Så mange Microsoft-enheder blev ramt af gigantisk Crowdstrike-koks
Telenor skrotter ældre it-system: Nyt system er en hyldevare
Peter Lüth udlever CTO-drømmen: Bygger et system fra bunden og tjener kassen på det
Se alle »
Job & Karriere
Teaser billede
Efter 12 år er NNIT's hovedkvarter i Søborg nu ryddet og tomt - alle arbejder hjemme: "Det er med et vist vemod"
Læs mere »
Norlys skal splittes op i fem selskaber: Nu bliver flere ansatte og ledere fyret
Dansk top-profil trækker sig fra Microsoft: Skal være direktør i TDC Erhverv
KMD-direktør forlader selskabet: Det skal hun nu
Se alle »
White paper
Teaser billede
Samlet platform sikrer sammenhæng, kontrol og sikkerhed i hybrid cloud
Læs mere »
Unbreakable - sådan sikrer du dig vedvarende og uafbrudt adgang til dine data
Optimering af Source-to-Pay: Identificér oplagte gevinster og skær omkostninger
Sådan: Sikker, hurtig og fleksibel storage til dine kritiske data
Se alle »

Events
Flere events »
White papers
Flere white papers »
IT-Kurser
Se alle vores it-kurser »