[ZynX]

Citat:

Ursprungligen postat av redrum

Jag kanske borde skrivit "Server hos Levonline hackad" för att det skulle vara mer korrekt.

Om det nu år så som ni tror, att det är ett hål i WP/Joomla som orsakat detta. Är det då inte konstigt om det även drabbats sidor som inte använder WP/Joomla och att det ligger filer med root som user på FTP'n?

Det skulle i så fall kunna vara så att "joomla" kunden inte är chrootad och på så vis kunnat exekvera script i servern. Ett stort misstag många oftast glömmer är att disable php-exec. Har dom tillgång till det kan dom iprincip om inte andra hemkataloger är chrootade mecka till sig så pass hög access så att de lyckas att skriva över alla index.* till de dom önskar. Det är i alla fall väldigt vanligt i osäkra miljöer. Och då måste man antingen chroota alla användare eller att helt enkelt patcha systemet så att man inte har execute rättigheter i t.e.x /tmp eller någon annan del av systemet som man kan komma åt om man har ett shell likt c99 c101 och vad nu alla dom där heter som du kan styra iprincip en hel server om man inte säkrat dessa korrekt.

Men för att återgå till topic så håller jag mig till att en server i så fall varit attackerad. Att återställa index.* kan inte tagit så lång tid för dem genom att bara skicka ut alla ändringar en dag tillbaka på alla index filer som ändrats och sedan fokusera snabbt på vad som hänt och hur man kan göra det bättre. Vet bland annat att använder man sig utav Directadmin som ej är chrootad så måste du göra en hel del justeringar i ditt linux system innan du kan känna dig lugn