Hej,

Jag insåg för någon dag sen att mitt andra webbhotell jag har parallellt med Proinet också blev hackat i samband med Proinet-hacket. Jag hade dumt nog samma lösenord på båda webbhotellen och de la in en phishing-site på min mest välbesökta sida (det var så jag upptäckte det) samt en massa osynliga länkar (som jag bara ser i källkoden) på samtliga andra.

Så, ni som har/hade Proinet och har samma lösenordspolicy som jag (dvs en dålig). Kolla igenom andra webbhotell mm som ni har samma lösenord på.

// Clirre

Ja, det är alltid bra att kolla genom sin lösenordspolicy, det låter dock som de har kommit in via någon svaghet i den koden du använder.
Kolla om du har senaste version av all programvara och att du inte har några gamla "test" script liggandes på kontot.

Senaste versionen av all programvara? Han driver ju inte eget webbhotell =)

:-) alltså cms system, blogg , forum osv
menade ej os, kanske lite klantigt utryckt.

Det är möjligt att det inte var från Proinet. Jag upptäckte det dock efteråt och alla mappar och filer hade permission 777. Jag har hittat filer som hette door.php i image-mappen på en sida (som jag förstås tog bort).

Vad är vanliga fel att göra som de kan komma in i och ändra permissions? Submitrutor för injektioner?

Jag har rensat bort allt jag sett är fel samt kollat att alla sidor inte har några länkar som inte ska vara där. Vad kan de mer göra för fanstyg?

tad har rätt, jag driver inte eget webbhotell.

Kan jag förvänta mig att de har en dörr in till min sida? Vad bör jag göra mer?

Jag tycker också att det låter som säkerhetsluckor i något av dina script... SQL-injection är allt för vanligt förekommande, så det är det första jag hade kontrollerat.

Lägger min röst på det likaså. Som Oderland skrev bör du också kontrollera eventuella forum och liknande du använder dig av. Utgår från att du redan bytt lösenord till dina databaser.

Yep, har bytt alla lösenord.

Använder mig av WordPress och PhpBB men inte på detta webbhotell. Däremot har jag phpLD på detta webbhotell.

Eller menar du om jag skulle ha samma lösenord på forum så att de snott lösenordet där? Det är omöjligt, använder inte samma lösenord för detta.

Hur skydddar man sig från SQL-injection? Om jag förstår det rätt så kan man göra ändringar i databasen genom det men inte skriva filer eller ändra CHMOD, eller? Det känns ju som om de kommit över lösenordet och jag hade samma på Proinet, samt jag är till 90 % säker på att det hände någon dag efter Proinet-hacket.

Hur vet jag om mitt konto är "rent"?

Tack för alla svar!

Är det bekräftat att lösenorden från Proinet är på vift? I sådana fall, vad föreslår ni för åtgärder åt det hela?
Jag kan ju omöjligt veta vart jag använder samma lösenord som jag hade på Proinet, om jag ens har samma
någon annanstans. Vet inte...

Om du har tillgång till access-loggen så dra ner den och leta igenom efter typiska SQL-injections.

Exempel från ett Joomla tilläggs hack (delar av url'en bortklippt):
/M

Jag skulle gissa på att det är phpLD som är problemet. Använder du gratisversionen (2.0?) så tycker jag du ska uppdatera.

va?

Om du hittar en door.php i imagemappen låter det som du kanske tillåter uppladdning av bilder och att det gick bra att ladda upp phpscript också; vilket inte är lysande direkt...

daniel: uppdatera till betalvarianten?

jonny: jag har inte aktiverat något sådant.

Vad är normala Permissions på mappar respektive filer?

Uppenbarligen så fungerade inte mitt förra ingrepp. Det var med sannolikhet alltså inte lösenord på vift.

Kan man ladda upp filer på en server med hjälp av SQL-injections?

Uppenbarligen så fungerade inte mitt förra ingrepp. Det var med sannolikhet alltså inte lösenord på vift.

Kan man ladda upp filer på en server med hjälp av SQL-injections alt. mha databasen ändra permissions på mappar så att man kan ladda upp scripts?

Hittade många bra trådar här om SQL-injections tex. http://www.webmasternetwork.se/index.php?a...=injection&s=wn

men jag som är ganska mkt nybörjare med php när det gäller avancerade funktioner undrar ändå. Logiskt sett så tycker jag att man inte borde kunna ändra skrivrättigheter och plantera skript via databasskrivningar. Eller?

Det står ganska klart att sql-injections är ett hål i säkerheten men vad borde jag leta efter mer? M.a.p. att skript har laddats upp och skrivrättigheterna ändrats två gånger där jag bytte alla lösenord emellan.

SQL Injections kan endast påverka databasen (såvida man inte kommer åt annan information därigenom då).

Hade du bytt webbhotell? Säkerhetsbristen kan ligga där. Kontrollerat din egen dator?

Var rädd för att sql-injections inte var det enda problemet. Jag har phpLD installerat på samma server, vilket någon påpekade. Jag hittade en tråd där någon annan haft phpLD och fått samma problem. Det reddes dock aldrig ut om detta var anledningen.

Det skedde på Servage.com och de har jag haft ett tag, kanske ett år.

Har ett antivirusprogram som verkar väldigt mycket på hugget men kan inte svära på att jag inte har nåt skit på datorn.

Ifall det finns tillräckliga rättigheter på databasen kan man både läsa och skapa filer med SQL injektioner.

T.ex för att läsa en fil:
SELECT LOAD_FILE('/etc/passwd');

Skapa:
SELECT '<?php system($_GET[\'cmd\']); ?>' INTO DUMPFILE '/tmp/shell.php';

Mjo, iofs, men jag tror väl de flesta webbhotell inte tillåter det på delade burkar?

Vad bör man ha för rättigheter på kataloger och filer? Jag har aldrig ändrat grundinställningen på dem men blir lite osäker nu när de ändrats av hackermiffot och jag själv ändrat tillbaka.

nej