Hackad sida!
 

Hej!

Jag fick ett mail från google att min sida blivit Suspected Hacking.
När jag logga in på ftp såg jag att det fanns en ny mapp med 100 tals konstiga filer.

Vilka möjligheter finns för att dessa skall ha kommit dit?

Nu står det i sökresultaten på vår sida hos google.
"Denna webbplats kan vara osäker att besöka"

Störst sannolikhet är att de kommit in via FTP. Därefter att de nyttjat en bugg i ditt CMS, förutsatt att du kör ett. Om inget av de två skett har de förmodligen laddat upp ett skript via ett formulär som de sedan kört som sedan genererat strukturen.

Jag förstår inte meningen med detta.
Gör dom det för att jävlas?

Borde jag byta ftp lösen nu?

Du borde först kolla att du har en ren icke infekterad backup av din site.
Sedan raderar du allt på siten.
Sedan byter du lösen
Sedan laddar du upp allt igen.
Tänk på att även databasen kan vara infekterad, så samma gäller här.

De kan lägga in flera bakdörrar på olika ställen, så därför får man vara ganska noga med rensandet.

Oftast är det nog bara kids som vill visa att de kan. Ibland säljer de bakdörrarna vidare till andra

Sajter "hackas" då botnet som letar efter kända sårbarheter där sajterna sedan nyttjas för att infektera besökare. Inte något folk gör för skojs skull utan en ren "affärsverksamhet" som omsätter miljarder årligen. Kidsen som det hänvisas till står för några procent av intrång men 99% av uppmärksamheten.

Uppdatera ditt CMS, FTP-server, lösenord etc. beroende på vad du använder. Rensa alla filer modifierade efter hackets tidpunkt.

Synd bara att polisen inte har kompetens att utreda brotten. Jag har en känsla av att hackarna lämnar ganska tydliga spår efter sig. Om polisen har ont om resurser så skulle detta ju kunna genererar pengar till kassan.

Så här har det sett ut.
En jäkla massa nya besök till filerna som tillkommit på servern.

/fure-azeri-seks-kino/ 700 150 20% 11
/adorn-foxconn-g31mv-n15235-motherboard-driver-win-7/ 700 90 11% 10
/oorsche-car-town-codigos-de-promocin/ 600 110 19% 11
/diversity-minecraft-pirated-version/ 600 60 11% 12
/gabenelli-investments-bodie-kane-and-marcus-8th/ 600 60 11% 5.1
/marlinballistics-xart-vip-lounge-dowload/ 600 60 9% 12
/absorbtion-kaspersky-antivirus-70-keygen/ 600 60 11% 10
/immortals-operating-manual-deh-4350ub-deh-3350ub-eng-esp-por-pdf/ 500 70 17% 9.0
/rdna-samsung-corby-2-r3850-java-games/ 500 70 14% 13
/gsxl-farsi-kardane-htc-wildfire/ 500 35 8% 6.2
/puncher-igo-primo-2012-download-gratis-completo/ 500 30 6% 11

Besöken är antagligen via phisingförsök. Hade samma problem med en kompis webbsajt (wordpress) och enda lösningen var att låsa ned i filstrukturen så att wordpress inte kunde skapa kataloger etc.

Jag tycker det snarare ser ut som blackhat-seo.

Det låter som att din kompis fortfarande har säkerhetshål kvar i Wordpress. Att ändra rättigheterna fungerar ju, men löser inte det ursprungliga problemet.

Kan det vara någon som försöker få ner våra sidor i googles sökresultat?
Får åtskilliga telefonsamtal från dessa skojare som säger sig vilja optimera vår sida.
Jag avvisar alltid dessa samtal.

Han kör senaste versionen av WP så det fanns inget mer att göra än att spärra i filsystemet.

Jag skulle nog vilja påstå att det bästa skyddet mot hackare är att inte köra Wordpress eller något annat populärt CMS. Eftersom utvecklingen där är så pass spretig och i princip alla använder ett gäng plugins som man inte har koll på så finns det ofta säkerhetshål. Förutom dessa risker så har man dessutom försett sig med världens populäraste mål för hackare och spammare. Flera av Sveriges största webbplatser har klarat sig bra mycket tack vare att de kör helt egenutvecklade system.

Det viktigaste är att man har kontroll över sin kod. Det räcker inte med att installera Wordpress och ett antal plugins och sen låta det rulla på. Inte heller att uppgradera när det släpps nya uppgraderingar. En hel del plugins, tema och hela script slutar utvecklas utan att man får information om det. Då gäller det att uppmärksamma detta och antingen ta över kontrollen själv, eller ta bort scriptet.

Att använda opensource-script sparar mycket tid och pengar, väljer man rätt script kan man också vara tämligen säker på att det redan kollats (och rättats) för många säkerhetshål.

Fler på wn har haft problem med wordpress: http://www.wn.se/t1052435.html
Men jag tycker som sagt fortfarande att det är en stor fördel om ens webbhotell använder mod_security, och jag är övertygad om att det hade hjälpt i båda fallen. Dock inte om ftp/mysql inloggningen kommer i orätta händer.

mod_security på IIS? :D

Hur som helst, hackad kan man bli på många sätt. Det svåra är att ta reda på hur och att täta läckan.

hehe, nä :D Ska jag vara ärlig så kan jag inte förstå hur man kan installera php och wordpress på en Windows burk.

Såna här ser man lite då och då, det jag hittat är att de kommit över kundens FTP-lösenord. Exakt hur detta skett vet jag inte eftersom jag inte har access till deras datorer, men de kunder som tagit våra råd och virusscannat hela datorn samt bytt alla lösenord har inte fått problem igen, så det känns rimligt att de fått in något skräp på datorn som sniffar och ger ut lösenord.

Kör man script utvecklade av tredje part så lägger man som sagt en hel del ansvar i deras händer. Jag hade återkommande problem med OpenX (inte bara jag, det var smått uppror på deras supportforum under en period) och valde rätt fort att köra något annat som jag litade mer på.

Om man som jag inte är nån php-kodare av rang så är det svårt att utveckla allt själv. Man får försöka ha lite grundläggande säkerhetstänkande istället. Inte köra FTP t.ex..

jag har slutat att skicka/ge inloggningsuppgifter digitalt till de småföretagare och organisationer jag gör webbplatser till. De får ett fysiskt papper eller en CD med allt. Min erfarenhet är att de sparar digitala dokument i sin mail (på datorn eller i webmailen) och så "får" de oväntat besök som plockar dem och annat. Mina kunder har egentligen ingen nytta av t ex FTP-lösenord men de ska naturligtvis ha dem, men inte i sin mail.

det förstår inte jag heller riktigt, vad jag förstår mig på ännu mindre är att man kan använda "silen" IIS. (läcker som f-n) :P

Verkar extremt osannolikt att attacken skulle vara riktad mot just dig personligen. Då är det mer troligt att de provar sig fram på måfå. Så fort en server med ftp-klient svarar så kör de en lista på vanliga lösenord och hoppas på att just din ftp har ett av dem.

Jag har några hundra inbrottsförsök i månaden på min NAS. Förmodligen ännu flera på servern. Det är ingenting att bry sig om så länge som man har ett lösenord som innehåller både stora och små bokstäver, siffror och specialtecken. Risken att de skulle få en träff är då minimal om inte helt obefintlig. Särskilt om man blockerar IP-adressen vid flera misslyckade inloggningsförsök i följd.

Jag använder Keepass Password Safe för att förvara mina användarnamn och lösenord till sajter och Ftp. När jag skall logga in så öppnar jag Keepass och trycker på CTRL+Alt+ A så blir jag inloggad utan att keyloggers får veta lösenorden.