Jeg har nu 2 gange haft virus angre på min side - det der sker er, at der
bliver lagt en masse index.php filer ind i masse af bibliotekerne, der
bliver lagt images ind alle mulige steder. Jeg var så i går inde og
reinstallere back up, slette samtlige brugere der er oprettet af spammere
(flere end 400) - og mente at nu havde jeg ryddet op. Jeg har endvidere sat
sikkerhedsnivauet på HØJT i indstillinger.
Her til aften har der så igen været et angreb, der dog ikke som de sidste
foregående gange har lagt siden ned, men der er indlagt en masse index.php
filer.
Er der en eller flere der kan hjælpe til, hvad jeg skal gøre ??
På forhånd tak.
Thomas
krabsen
Administrator
Indlæg: 863 Oprettet: 4/8/02 Status: Offline
indsendt den 20/5/09 kl. 07:16
Du bør vel starte med at udskifte _alle_ passwords (FTP, admin m.v.) og evt
herefter også (med brug af de nye pw) udskifte brugernavne på admin. og
herefter disable de gamle adminbrugere
Har du checket med web-hotellet, om de har samme problem på andre domæner
på samme server?
____________________ Krabsen krabsen.dk mfl.
kimenemark
Administrator
Indlæg: 2578 Oprettet: 25/3/02 Status: Offline
indsendt den 22/5/09 kl. 08:20
Nu er PN.726 en ret gammel version og der er frigivet flere
sikkerhedspatche.
Derudover kan du jo have moduler installeret, som er potentielt udsatte
ifm. SQL injection.
1) Hvad har du gjort for at sikre din nuværende PN.726 installation?
2) Hvilke moduler har du liggende på dit site. IKKE kun dem der er
aktiveret, men alle i modul mappen?
Vi skal også bruge versionen af de forskellige moduler.
3) Hvilke rettigheder har almindeligt registrerede brugere til hvilke
moduler på dit site?
Mht. #2 tænker jeg udelukkende 3. parts moduler!
____________________ /KimE
---------------------------------------------------------
"Der findes 2 måder at udvikle fejlfri software på, men det er kun den 3.
der virker!!"
THOMASPAPE
Posting freak
Indlæg: 262 Oprettet: 20/7/03 Status: Offline
indsendt den 3/8/09 kl. 13:31
Hej Alle
Jeg rammes ca. 1 gang ugentligt af en virus, der får siden til at lægg ned
- jeg har ellers været ude med grovilen og fjernet alle de moduler, der
ikke bruges.
Men det fortsætter og det vil det nok blive ved med indtil jeg opdatere til
en nyere version end 726.
Er der en der vil gøre dette for mig, mod betaling naturligvis `? - evt
mail til thomaspape (a)privat.dk
vh Thomas
kimenemark
Administrator
Indlæg: 2578 Oprettet: 25/3/02 Status: Offline
indsendt den 5/8/09 kl. 00:32
Du kan opgradere lige så tosset du vil, men hvis du har moduler kørende der
er modtagelige for SQL injection vil dine problemer fortsætte.
Først og fremmest er du nødt til at finde kilden til dine problemer... dvs.
hvor kommer hackeren ind.
Din serverlog er bl.a. din ven her
____________________ /KimE
---------------------------------------------------------
"Der findes 2 måder at udvikle fejlfri software på, men det er kun den 3.
der virker!!"
THOMASPAPE
Posting freak
Indlæg: 262 Oprettet: 20/7/03 Status: Offline
indsendt den 5/8/09 kl. 07:29
Hej Kim
Tak for dit hurtige svar.
Nu spørger jeg så ganske dumt (måske) hvor finder jeg min server log og
hvad specielt i denne skal jeg se efter - kan jeg så finde frem til hvor
hcakerne kommer ind, altså i hvilket modul.
Jeg har mange underlige brugernavne der løbende opretter sig, så formoder
at dette kan være et problem ?
vh Thomas
kimenemark
Administrator
Indlæg: 2578 Oprettet: 25/3/02 Status: Offline
indsendt den 6/8/09 kl. 07:18
Der er ingen dumme spørgsmål
Det afhænger af udbyder, men spørg dem de burde vide hvor den er!
Du skal kigge efter modulkald med "mærkelige"/unormale parametre!
Dem har vi også her
____________________ /KimE
---------------------------------------------------------
"Der findes 2 måder at udvikle fejlfri software på, men det er kun den 3.
der virker!!"
THOMASPAPE
Posting freak
Indlæg: 262 Oprettet: 20/7/03 Status: Offline
indsendt den 12/8/09 kl. 19:12
Hej igen Kim
Jeg har meget svært ved at se hvor fejlen er henne - jeg har lagt log filen
her hvis du vil kaste et blok på denne
Generelt bør du trimme sikkerheden på webhotellet med nye komplekse
passwords og gennemgå filsikkerhed på webhotellet - de moduler som har
skriveadgang kan du evt. fjerne skriveadgang en periode og evt disable
modulet.
Du bør sikre (udelukke) adgang for spammere ved at blokere adgang i
htaccess
Je har selv haft angreb på updownload modulet og formexpress se under
spammer spørsgmålet.
1. Du bør se på hvilke af dine moduler er ramt af angrebet
2. til din hjælp kan du anvende last-seen modulet men det kræver at du
jævnligt skimmer besøg.
3. Du SKAL sikre din configuration.php fil med adgang 644 ellers kan de
have fået adgang til dit system og databasen - hvis du har glemt det skal
du rette de passwords og reconnecte til din database
Jeg har selv været ramt på samme måde og det eneste der hjalp var
ovenstående samt at flytte til egen server - et denne tekst har også en vis
effekt "Spam og Hacking vil blive taget alvorligt" - håber du får det løst
.MVH Dennis
____________________ Postnuke forsker - Postnuke v. 0.764 PHP 5
Postnuke - IT turns me on !
dannyboyd
Posting freak
Indlæg: 520 Oprettet: 18/6/06 Status: Offline
indsendt den 16/9/09 kl. 23:55
Ja og du kan frit hente det upload patch til v 762->764 upgrade
....Virker fint
____________________ Postnuke forsker - Postnuke v. 0.764 PHP 5
Postnuke - IT turns me on !
dannyboyd
Posting freak
Indlæg: 520 Oprettet: 18/6/06 Status: Offline
indsendt den 17/9/09 kl. 07:40
Hej - jeg læste lige din log
Men det ser ud til at de har adgang til pure-ftp til din side - det ses
allerede i de første linier
srv30/ftp-20090601.bz2:Jun 1 11:27:33 srv30 pure-ftpd: (?@122.168.24.98)
[INFO] byggeside.dk is now logged in
srv30/ftp-20090601.bz2:Jun 1 11:27:35 srv30 pure-ftpd:
(byggeside.dk@122.168.24.98) [NOTICE]
/customers/byggeside.dk/byggeside.dk/httpd.www//index.php downloaded (7286
bytes, 378.35KB/sec)
srv30/ftp-20090601.bz2:Jun 1 11:27:39 srv30 pure-ftpd: (?@117.200.83.47)
[INFO] byggeside.dk is now logged in
srv30/ftp-20090601.bz2:Jun 1 11:27:41 srv30 pure-ftpd:
(byggeside.dk@117.200.83.47) [INFO] Logout.
srv30/ftp-20090601.bz2:Jun 1 11:27:42 srv30 pure-ftpd: (?@117.200.83.47)
[INFO] byggeside.dk is now logged in
srv30/ftp-20090601.bz2:Jun 1 11:27:43 srv30 pure-ftpd:
(byggeside.dk@122.168.24.98) [NOTICE]
/customers/byggeside.dk/byggeside.dk/httpd.www//index.php uploaded (8152
bytes, 1.24KB/sec)
srv30/ftp-20090601.bz2:Jun 1 11:27:44 srv30 pure-ftpd:
(byggeside.dk@122.168.24.98) [INFO] Logout.
srv30/ftp-20090601.bz2:Jun 1 11:27:44 srv30 pure-ftpd:
(byggeside.dk@117.200.83.47) [INFO] Logout.
srv30/ftp-20090601.bz2:Jun 1 11:27:45 srv30 pure-ftpd: (?@122.168.24.98)
[INFO] byggeside.dk is now logged in
srv30/ftp-20090601.bz2:Jun 1 11:27:45 srv30 pure-ftpd: (?@117.200.83.47)
[INFO] byggeside.dk is now logged in
srv30/ftp-20090601.bz2:Jun 1 11:27:47 srv30 pure-ftpd:
(byggeside.dk@122.168.24.98) [INFO] Logout.
srv30/ftp-20090601.bz2:Jun 1 11:27:47 srv30 pure-ftpd:
(byggeside.dk@117.200.83.47) [INFO] Logout.
srv30/ftp-20090601.bz2:Jun 1 11:27:48 srv30 pure-ftpd: (?@122.168.24.98)
[INFO] byggeside.dk is now logged in
srv30/ftp-20090601.bz2:Jun 1 11:27:48 srv30 pure-ftpd: (?@117.200.83.47)
[INFO] byggeside.dk is now logged in
srv30/ftp-20090601.bz2:Jun 1 11:27:49 srv30 pure-ftpd:
(byggeside.dk@122.168.24.98) [INFO] Logout.
srv30/ftp-20090601.bz2:Jun 1 11:27:50 srv30 pure-ftpd: (?@122.168.24.98)
[INFO] byggeside.dk is now logged in
srv30/ftp-20090601.bz2:Jun 1 11:27:50 srv30 pure-ftpd:
(byggeside.dk@117.200.83.47) [INFO] Logout.
srv30/ftp-20090601.bz2:Jun 1 11:27:51 srv30 pure-ftpd: (?@117.200.83.47)
[INFO] byggeside.dk is now logged in
srv30/ftp-20090601.bz2:Jun 1 11:27:52 srv30 pure-ftpd:
(byggeside.dk@122.168.24.98) [INFO] Logout.
srv30/ftp-20090601.bz2:Jun 1 11:27:53 srv30 pure-ftpd: (?@122.168.24.98)
[INFO] byggeside.dk is now logged in
srv30/ftp-20090601.bz2:Jun 1 11:27:53 srv30 pure-ftpd:
(byggeside.dk@117.200.83.47) [INFO] Logout.
srv30/ftp-20090601.bz2:Jun 1 11:27:54 srv30 pure-ftpd: (?@117.200.83.47)
[INFO] byggeside.dk is now logged in
srv30/ftp-20090601.bz2:Jun 1 11:27:54 srv30 pure-ftpd:
(byggeside.dk@122.168.24.98) [INFO] Logout.
srv30/ftp-20090601.bz2:Jun 1 11:27:55 srv30 pure-ftpd: (?@122.168.24.98)
[INFO] byggeside.dk is now logged in
srv30/ftp-20090601.bz2:Jun 1 11:27:56 srv30 pure-ftpd:
(byggeside.dk@117.200.83.47) [INFO] Logout.
srv30/ftp-20090601.bz2:Jun 1 11:27:57 srv30 pure-ftpd:
(byggeside.dk@122.168.24.98) [INFO] Logout.
srv30/ftp-20090601.bz2:Jun 1 11:27:57 srv30 pure-ftpd: (?@117.200.83.47)
[INFO] byggeside.dk is now logged in
srv30/ftp-20090601.bz2:Jun 1 11:27:58 srv30 pure-ftpd: (?@122.168.24.98)
[INFO] byggeside.dk is now logged in
srv30/ftp-20090601.bz2:Jun 1 11:27:59 srv30 pure-ftpd:
(byggeside.dk@117.200.83.47) [INFO] Logout.
srv30/ftp-20090601.bz2:Jun 1 11:28:00 srv30 pure-ftpd:
(byggeside.dk@122.168.24.98) [INFO] Logout.
srv30/ftp-20090601.bz2:Jun 1 11:28:00 srv30 pure-ftpd: (?@117.200.83.47)
[INFO] byggeside.dk is now logged in
srv30/ftp-20090601.bz2:Jun 1 11:28:00 srv30 pure-ftpd: (?@122.168.24.98)
[INFO] byggeside.dk is now logged in
srv30/ftp-20090601.bz2:Jun 1 11:28:03 srv30 pure-ftpd:
(byggeside.dk@122.168.24.98) [NOTICE]
/customers/byggeside.dk/byggeside.dk/httpd.www//docs/index.html downloaded
(1847 bytes, 384.36KB/sec)
srv30/ftp-20090601.bz2:Jun 1 11:28:03 srv30 pure-ftpd:
(byggeside.dk@117.200.83.47) [NOTICE]
/customers/byggeside.dk/byggeside.dk/httpd.www//docs/index.html downloaded
(1847 bytes, 27311.60KB/sec)
srv30/ftp-20090601.bz2:Jun 1 11:28:04 srv30 pure-ftpd:
(byggeside.dk@122.168.24.98) [NOTICE]
/customers/byggeside.dk/byggeside.dk/httpd.www//docs/index.html uploaded
(1851 bytes, 5.80KB/sec)
srv30/ftp-20090601.bz2:Jun 1 11:28:05 srv30 pure-ftpd:
(byggeside.dk@122.168.24.98) [INFO] Logout.
Du bør sikre din ftp adgang med nye komplekse passwords - og hvis du har
givet andre brugere ftp adgang må du gøre det samme her.
____________________ Postnuke forsker - Postnuke v. 0.764 PHP 5
Postnuke - IT turns me on !
kimenemark
Administrator
Indlæg: 2578 Oprettet: 25/3/02 Status: Offline
indsendt den 18/9/09 kl. 11:44
Vi har styr på det
Det var en kombination af et for svagt kodeord og for svag sikring af
indhold med filrettigheder der var årsag til hackningen.
Alle index.html filer var inficerede og en del .php filer var ligeledes
inficerede.
Desuden var mange .php filer i de forskellige modulmapper blevet
fjernet!
____________________ /KimE
---------------------------------------------------------
"Der findes 2 måder at udvikle fejlfri software på, men det er kun den 3.
der virker!!"
dannyboyd
Posting freak
Indlæg: 520 Oprettet: 18/6/06 Status: Offline
indsendt den 18/9/09 kl. 16:13
Kanon - jeg vidste ikke du var blevet sat på sagen - men lyder som om det
er sikret godt nu...
____________________ Postnuke forsker - Postnuke v. 0.764 PHP 5
indsendt den 22/5/09 kl. 08:20
