CIO Tech Eksperten IT-JOB IT-Kurser Events Podcast Søg

Log ind eller opret profil

Du kan også logge ind via nedenstående tjenester

odie Nybegynder

27. marts 2009 - 08:19 Der er 6 kommentarer og
1 løsning

Min hjemmeside er blevet hacked

Hej Eksperter.

Min hjemmeside (http://www.thelastcall.dk) blev desværre hacked i tirsdags af angel25dz. Jeg har (ved at søge på google) fundet ud af at de hacker rigtig mange .dk sider i øjeblikket :(

Jeg har siden forsøgt at finde ud af hvordan, men kommer desværre ikke videre.

Jeg har fået loggen fra min internet udbyder, som viser nedenstående. Det giver mig desværre ikke nogen ide, om hvordan det er sket. Jeg har forsøgt at læse meget (en del) om injection, men på min forside (som jeg læser loggen) er den eneste side de var på, har jeg ikke en form (som man vistnok primært bruger ved injection/hacking af hjemmesider). Min side har jeg selv programmeret og bruger altså ikke noget CMS system eller lign. Jeg ved desværre ikke hvor/hvad jeg skal kikke efter på mine sider. Håber at der er nogen som kan hjælpe.

ps. Det "eneste" der skete, var at mine filer i roden af min hjemmeside blev slettet og de 3 nye filer blevet lagt ind. Der er ikke (efter hvad jeg kan se) sket ændringer overhovedet i min SQL database og underdir.

På forhånd tak for hjælpen.

Mvh.
Brian Lentz

2009-03-24 14:38:54 41.221.16.98 - GET /Default.asp - 200 7489 HTTP/1.1 Mozilla/5.0+(Windows;+U;+Windows+NT+5.1;+fr;+rv:1.9.0.7)+Gecko/2009021910+Firefox/3.0.7 -
2009-03-24 14:38:58 41.221.16.98 - GET /html/css/layout.css - 200 9889 HTTP/1.1 Mozilla/5.0+(Windows;+U;+Windows+NT+5.1;+fr;+rv:1.9.0.7)+Gecko/2009021910+Firefox/3.0.7 http://thelastcall.dk/
2009-03-24 14:39:00 41.221.16.98 - GET /js/mailprotectbrian.js - 200 812 HTTP/1.1 Mozilla/5.0+(Windows;+U;+Windows+NT+5.1;+fr;+rv:1.9.0.7)+Gecko/2009021910+Firefox/3.0.7 http://thelastcall.dk/
2009-03-24 14:39:01 41.221.16.98 - GET /html/css/dotlightbluelef.gif - 200 1057 HTTP/1.1 Mozilla/5.0+(Windows;+U;+Windows+NT+5.1;+fr;+rv:1.9.0.7)+Gecko/2009021910+Firefox/3.0.7 http://thelastcall.dk/html/css/layout.css
2009-03-24 14:39:01 41.221.16.98 - GET /html/css/dotlightbluebut.gif - 200 1057 HTTP/1.1 Mozilla/5.0+(Windows;+U;+Windows+NT+5.1;+fr;+rv:1.9.0.7)+Gecko/2009021910+Firefox/3.0.7 http://thelastcall.dk/html/css/layout.css
2009-03-24 14:39:01 41.221.16.98 - GET /html/css/dotlightbluetop.gif - 200 1057 HTTP/1.1 Mozilla/5.0+(Windows;+U;+Windows+NT+5.1;+fr;+rv:1.9.0.7)+Gecko/2009021910+Firefox/3.0.7 http://thelastcall.dk/html/css/layout.css
2009-03-24 14:39:01 41.221.16.98 - GET /html/css/blorange.gif - 200 371 HTTP/1.1 Mozilla/5.0+(Windows;+U;+Windows+NT+5.1;+fr;+rv:1.9.0.7)+Gecko/2009021910+Firefox/3.0.7 http://thelastcall.dk/html/css/layout.css
2009-03-24 14:39:01 41.221.16.98 - GET /html/css/dotlightbluerig.gif - 200 1057 HTTP/1.1 Mozilla/5.0+(Windows;+U;+Windows+NT+5.1;+fr;+rv:1.9.0.7)+Gecko/2009021910+Firefox/3.0.7 http://thelastcall.dk/html/css/layout.css
2009-03-24 14:39:01 41.221.16.98 - GET /html/css/brorange.gif - 200 370 HTTP/1.1 Mozilla/5.0+(Windows;+U;+Windows+NT+5.1;+fr;+rv:1.9.0.7)+Gecko/2009021910+Firefox/3.0.7 http://thelastcall.dk/html/css/layout.css
2009-03-24 14:39:01 41.221.16.98 - GET /html/css/tlorange.gif - 200 341 HTTP/1.1 Mozilla/5.0+(Windows;+U;+Windows+NT+5.1;+fr;+rv:1.9.0.7)+Gecko/2009021910+Firefox/3.0.7 http://thelastcall.dk/html/css/layout.css
2009-03-24 14:39:02 41.221.16.98 - GET /html/css/trorange.gif - 200 367 HTTP/1.1 Mozilla/5.0+(Windows;+U;+Windows+NT+5.1;+fr;+rv:1.9.0.7)+Gecko/2009021910+Firefox/3.0.7 http://thelastcall.dk/html/css/layout.css
2009-03-24 14:39:02 41.221.16.98 - GET /html/css/dotlightbluetop2.gif - 200 1057 HTTP/1.1 Mozilla/5.0+(Windows;+U;+Windows+NT+5.1;+fr;+rv:1.9.0.7)+Gecko/2009021910+Firefox/3.0.7 http://thelastcall.dk/html/css/layout.css
2009-03-24 14:39:02 41.221.16.98 - GET /html/css/dotlightbluebut2.gif - 200 1057 HTTP/1.1 Mozilla/5.0+(Windows;+U;+Windows+NT+5.1;+fr;+rv:1.9.0.7)+Gecko/2009021910+Firefox/3.0.7 http://thelastcall.dk/html/css/layout.css
2009-03-24 14:39:02 41.221.16.98 - GET /html/css/dotlightbluelef2.gif - 200 1057 HTTP/1.1 Mozilla/5.0+(Windows;+U;+Windows+NT+5.1;+fr;+rv:1.9.0.7)+Gecko/2009021910+Firefox/3.0.7 http://thelastcall.dk/html/css/layout.css
2009-03-24 14:39:03 41.221.16.98 - GET /html/css/dotlightbluerig2.gif - 200 1057 HTTP/1.1 Mozilla/5.0+(Windows;+U;+Windows+NT+5.1;+fr;+rv:1.9.0.7)+Gecko/2009021910+Firefox/3.0.7 http://thelastcall.dk/html/css/layout.css
2009-03-24 14:39:03 41.221.16.98 - GET /html/css/bl_inner.gif - 200 1104 HTTP/1.1 Mozilla/5.0+(Windows;+U;+Windows+NT+5.1;+fr;+rv:1.9.0.7)+Gecko/2009021910+Firefox/3.0.7 http://thelastcall.dk/html/css/layout.css
2009-03-24 14:39:03 41.221.16.98 - GET /html/css/br_inner.gif - 200 1104 HTTP/1.1 Mozilla/5.0+(Windows;+U;+Windows+NT+5.1;+fr;+rv:1.9.0.7)+Gecko/2009021910+Firefox/3.0.7 http://thelastcall.dk/html/css/layout.css
2009-03-24 14:39:03 41.221.16.98 - GET /html/css/tl_inner.gif - 200 1102 HTTP/1.1 Mozilla/5.0+(Windows;+U;+Windows+NT+5.1;+fr;+rv:1.9.0.7)+Gecko/2009021910+Firefox/3.0.7 http://thelastcall.dk/html/css/layout.css
2009-03-24 14:39:03 41.221.16.98 - GET /html/css/tr_inner.gif - 200 1099 HTTP/1.1 Mozilla/5.0+(Windows;+U;+Windows+NT+5.1;+fr;+rv:1.9.0.7)+Gecko/2009021910+Firefox/3.0.7 http://thelastcall.dk/html/css/layout.css
2009-03-24 14:39:04 41.221.16.98 - GET /html/css/menuitem.gif - 200 1263 HTTP/1.1 Mozilla/5.0+(Windows;+U;+Windows+NT+5.1;+fr;+rv:1.9.0.7)+Gecko/2009021910+Firefox/3.0.7 http://thelastcall.dk/html/css/layout.css
2009-03-24 14:39:04 41.221.16.98 - GET /html/css/menuitem_empty.gif - 200 1130 HTTP/1.1 Mozilla/5.0+(Windows;+U;+Windows+NT+5.1;+fr;+rv:1.9.0.7)+Gecko/2009021910+Firefox/3.0.7 http://thelastcall.dk/html/css/layout.css
2009-03-24 14:39:06 41.221.16.98 - GET /js/showgallery.asp gallery=0&showpic=11 200 17399 HTTP/1.1 Mozilla/5.0+(Windows;+U;+Windows+NT+5.1;+fr;+rv:1.9.0.7)+Gecko/2009021910+Firefox/3.0.7 http://thelastcall.dk/
2009-03-24 14:39:25 41.221.16.98 - GET /favicon.ico - 404 4203 HTTP/1.1 Mozilla/5.0+(Windows;+U;+Windows+NT+5.1;+fr;+rv:1.9.0.7)+Gecko/2009021910+Firefox/3.0.7 -
2009-03-24 14:39:27 41.221.16.98 - GET /favicon.ico - 404 4203 HTTP/1.1 Mozilla/5.0+(Windows;+U;+Windows+NT+5.1;+fr;+rv:1.9.0.7)+Gecko/2009021910+Firefox/3.0.7 -

2009-03-24 14:44:38 41.221.16.98 - GET /index.asp - 200 3960 HTTP/1.1 Mozilla/5.0+(Windows;+U;+Windows+NT+5.1;+fr;+rv:1.9.0.7)+Gecko/2009021910+Firefox/3.0.7 -
2009-03-24 14:44:43 41.221.16.98 - GET /angel25dz.jpg - 200 18071 HTTP/1.1 Mozilla/5.0+(Windows;+U;+Windows+NT+5.1;+fr;+rv:1.9.0.7)+Gecko/2009021910+Firefox/3.0.7 http://thelastcall.dk/
2009-03-24 14:44:46 41.221.16.98 - GET /dz.jpg - 200 41808 HTTP/1.1 Mozilla/5.0+(Windows;+U;+Windows+NT+5.1;+fr;+rv:1.9.0.7)+Gecko/2009021910+Firefox/3.0.7 http://thelastcall.dk/

Synes godt om

bufferzone Praktikant

27. marts 2009 - 11:06 #1

Du bruger formentlig en færdig CMS løsning der haqr en eller anden sårbarhed der er udnyttet. Det kunne se ud som om de anvender en eller anden billedhåndterings sårbarhed primært i gif, hvis ellers den stump at loggen du har fået indeholder det relevante af angeebet og ikke bare en del af scanningen.

Hvis du kan skrive hvilket system du anvender kan jeg muligvis sige noget om hvad der er sket,

Synes godt om

odie Nybegynder

27. marts 2009 - 11:25 #2

Hej Bufferzone

Jeg har selv programmeret min side (og bruger ikke noget CMS system) og de gif filer (fra /html/css/) som står i loggen er mine egne.

Det er desværre det eneste som står i loggen fra IP: 41.221.16.98.

Efter hvad jeg kan se, er det er sket i mellem 2009-03-24 14:39:25 og 2009-03-24 14:44:38, da det er 2009-03-24 14:44:38 at deres index.asp bliver loadet på mit site.

Synes godt om

bufferzone Praktikant

27. marts 2009 - 13:45 #3

Detvar værre. Den stump af loggen du har pastet viser kun get requests, så hvis der ikke er tale om et bufferoverflow, og det er der normalt ikke i denne sammenhæng, for så havde alle sites på serveren været defacet, så skal jeg bruge mere af loggen for at se hvad de har gjort.

Ud fra den del af loggen jeg kan se, er der tale om et scriptet angreb.

Bruger du nogen moduler eller scrits hentet fra nettet

Synes godt om

odie Nybegynder

27. marts 2009 - 13:54 #4

Det eneste jeg vistnok bruger af scripts/moduler er crossbrowser script. Men checker lige helt op på det når jeg kommer hjem fra arbejde i aften.

Skriver tilbage i aften

Synes godt om

odie Nybegynder

27. marts 2009 - 19:33 #5

De eneste 2 ting jeg har fundet ere TinyMCE, som jeg havde liggende i et underdir og noget mootools.v1.11.js, som jeg har forsøgt at lege med i forbindelse med noget fancymenu.

Jeg sletter de 2 og ser om "det bare var det".

Smider du et svar ?

Synes godt om

odie Nybegynder

12. april 2009 - 22:44 #6

Hej bufferzone

Vil du smide et svar ?

Synes godt om

odie Nybegynder

27. april 2009 - 10:14 #7

Nå Jeg lukker selv, da jeg ikke har fået noget svar fra Bufferzone.

Synes godt om

Ny bruger Nybegynder

Din løsning...

Tilladte BB-code-tags: [b]fed[/b] [i]kursiv[/i] [u]understreget[/u] Web- og emailadresser omdannes automatisk til links. Der sættes "nofollow" på alle links.

Følg dette spørgsmål

Opret Preview

Se alle it-kurser fra Computerworld Kurser

IT-kurser om Microsoft 365, sikkerhed, personlig vækst, udvikling, digital markedsføring, grafisk design, SAP og forretningsanalyse.

Se alle it-kurser

Flere spørgsmål fra Andet sikkerhed kategorien

Titel	Indlæg	Oprettet	Seneste aktivitet
Lovlig fremsøgning af personer bag fb profiler Af Tigo i Andet sikkerhed	3	05/12/202408:57	05/12/202417:21
Bilkøb Af arnepedersen i Andet sikkerhed	7	15/11/202415:55	18/11/202412:57
ONVIF??? Af johnnylassen i Andet sikkerhed	9	22/10/202412:50	24/10/202410:00
Synology surveillance bogmærker. Af johnnylassen i Andet sikkerhed	2	30/09/202408:37	30/09/202409:48
Kode på USB nøgle Af Peter Olsen i Andet sikkerhed	13	29/09/202409:55	01/10/202418:15

Se alle spørgsmål i kategorien Opret spørgsmål

Log ind eller opret profil

Hov!

For at kunne deltage på Computerworld Eksperten skal du være logget ind.

Det er heldigvis nemt at oprette en bruger: Det tager to minutter og du kan vælge at bruge enten e-mail, Facebook eller Google som login.

Du kan også logge ind via nedenstående tjenester

Alle kategorier på Eksperten

Seneste artiklerRSS