Jo, precis, det är omöjligt att säga exakt vad som hänt. Även om svaret från F5-data var ett typiskt goddag yxskaft-svar som tyvärr är ganska vanligt i supportsammanhang så har de ingen anledning att undersöka en sådan sak närmare på ett enskilt konto. Misstänker de att felet ligger hos dom så ska de givetvis titta närmare på det hela men nu finns det ingenting alls som tyder på det.

Om det sker på fler konton får man börja undersöka.
Det är ganska tydligt i det här fallet att det är lösenordet eller dåliga chmod som gjort att de kunnat skriva över.

Antingen genom någon form av exekviering via era script, eller en PUT via http om ni har felaktiga chmod's.

Detta är rätt vanligt förekommande säkerhetshål på kundens sida som nyttjas för att sprida maskar på det här viset.

Körs php i safe mode? Kan du köra include() eller fread() på andra kontos filer?

Finns det verkligen något vettigt webbhotell som har allow_url_include på?

Om filerna är på samma server behövs inte url include, räcker med vanlig fil include.

Dvs om du har ditt konto på /home/mittkonto/www kan du där köra
include('/home/annatkonto/www/filsominkluderas.php');
samt köra fwrite eller fopen på samma fil.

Och du kan ju inte slå av include på en server, då funkar ju nästan ingenting, däremot safe mode och lite annat måste till.

Först skriver du om ftp-loggen, men sedan är det inte där du har tittat?

Ja, FTP är ett osäkert protokoll och lösenord skickas i klartext, men intrång sker i princip aldrig via FTP.

Förmodligen är det ett säkerhetshål i din phpkod eller i värsta fall i någon annan kunds phpkod på samma server.

Det senaste året är det många som har drabbats och det är tydligen så att hackarna verkar ha kommit åt FTP-uppgifterna. Detta har skett i många olika system. Är datorn eller servern övervakad så bör det inte vara några problem att komma över FTP-uppgifter som skickas i klartext, inte heller om du har drabbats av en keylogger.

Tack för allt intresse.
Det är väldigt skumt.

Jag förstår verkligen inte hur någon skulle kunna komma åt några inloggningsuppgifter via cms:ett.

Även om de på något vis skulle kunna göra en SQL-Injektion, så finns det inte känsliga uppgifter sparade någonstans.

Angående chmod, så går det inte att skriva till någon mapp, förutom i en mapp längre in i filsystemet.

/www/images/user_image/

SKulel det kunna vara en risk? och vad gör jag för att skydda mig i så fall?

Har du kollat så att du inte har en keylogger?
I och för sig har du det så återkommer säkerligen hacket.
Här kan du läsa mer:
http://billing.handsonwebhosting.com...article&id=220

Tack för svaret, scannar datorn nu. ska be kunden scanna sin oxå. Det låter ju högst sannolikt.