WN

WN (https://www.wn.se/forum/index.php)
-   Allmänt (https://www.wn.se/forum/forumdisplay.php?f=2)
-   -   sidan är hackad, men hur? (https://www.wn.se/forum/showthread.php?t=1064538)

naak2803 2015-04-02 11:14
sidan är hackad, men hur?
 
Hej, idag märkte jag att en utav mina sidor har blivit hackad.

Denna javascript-snutten fanns inbakad i Default.aspx

Kod:
<script>document.write ('<d' + 'iv st' + 'yle' + '="po' + 'sit' + 'io' + 'n:' + 'abso' + 'lu' + 'te;l' + 'ef' + 't:' + '-' + '65' + '00' + '0' + 'p' + 'x;' +
'"' + '>');</script><div>
<a href="/nike.asp?airmax-9.html">Air Max 90 Billigt</a><br>
<a href="/nike.asp?airmax-140.html">Nike Air Max</a><br>
<a href="/nike.asp?airmax-114.html">Nike Air Max 90 Cheap</a><br>

<script>document.write ('<' + '/d' + 'i' + 'v>');</script>
Problemet är att jag ser att filen har blivit ändrad idag, FAST i ftp-loggen är det endast mitt IP-nummer, hur kommer det sig.

samt att på det ställe i default.aspx finns ingen formulär eller liknande så de kan inte ha fulat sig genom injections.

ztream 2015-04-02 11:48
Har de hittat en exploit som ger tillgång till filsystemet kan de ha gjort det från vilken sida som helst och det skulle inte synas i ftp-loggen eftersom de inte kört ftp in.

naak2803 2015-04-02 11:59
"exploit som ger tillgång till filsystemet", kan du ge exempel på sådanna?

BarateaU 2015-04-02 12:53
Kan vara via annat script du kör och behöver således inte vara via FTP. Du kanske har uppsatt att siterna kan "smitta" varandra om de inte är avskilda filsystem/rättigheter. Stött på liknande trollande med htaccess filer och vanliga PHP filer när man haft risiga plugins med säkerhetshål.

lazat 2015-04-02 14:22
Kolla i FTP vem som äger filen. Jämför sedan med rättigheterna som din webbplats kör som. Är det olika så är det troligen en annan webbplats på samma server som har smittat dig. Om det är samma så kolla alla andra filer på webbplatsen efter ändringar. Även JPG filer kan innahålla virus/trojaner. Kolla alla filer efter när filen är modifierad. Detta hjälper till att hitta fler bakdörrar som de kan ha installerat. Säkra sedan upp webbplatsen. Om du har wordpress eller Jommla så är säkerhetshålet mest troligt där eller i installerade plugins.

AnOnYmUs 2015-04-02 22:48
Jag ställer frågan om vilket webbhotell du kör? Har haft ett himla problem med ett av de större webbhotellen på deras win-servers.

jonny 2015-04-03 21:23
Sannolikt rör det sig om ett intrång på annat sätt än FTP. Säkerheten i FTP kan för all del ifrågasättas, men det brukar sällan vara den vägen intrång sker. Detta mycket på grund av att de intrång som faktiskt sker snarare är automatiserade än en enskild individ som är ute efter specifik din webbplats.

naak2803 2015-04-04 11:43
Citat:
Ursprungligen postat av AnOnYmUs (Inlägg 20508182)
Jag ställer frågan om vilket webbhotell du kör? Har haft ett himla problem med ett av de större webbhotellen på deras win-servers.
Det är loopia detta gäller...

AnOnYmUs 2015-04-05 00:23
Precis som många här skriver så är det inte genom FTP eller någon av dina sidor som det här hacket görs. Det handlar om att den servern din sajt ligger på har en sårbarhet vilket gör att dom kommer åt alla kontona på servern. Jag hade fruktansvärt mkt spam-problem med kataloger som skapades med ytterligare kataloger. Tror det var 9x9x9x9x9x9x9, du kan ju gissa hur lång tid det tog att radera dessa.

Dom flyttade över mina sajter till den nya plattformen och då var problemet löst. Prata med dom bara.


Alla tider är GMT +2. Klockan är nu 23:45.

Programvara från: vBulletin® Version 3.8.2
Copyright ©2000 - 2025, Jelsoft Enterprises Ltd.
Svensk översättning av: Anders Pettersson