[Olis]

Citat:

Ursprungligen postat av nim

FTP är ett klartext protokoll, så du kan ha lösenord på 100 tecken och folk kan komma åt det ändå.

Oavsett, kolla igenom loopia koden ännu en gång. Kanske är några JS filer som är ändrade eller tillagda.
Kolla senast ändrad datum & tid

Tack för feedbacken.

Tänkte att i princip alla attacker sker via någon automatiserad BOT och Brute Force så då bra med långt lösenord.
Själv försöker jag vara noga med att ha SSL på i FTP-klienten där det går.

Crystones attack har jag mer förståelse för då det var ett mer eller mindre avvecklat system som säkerligen inte blivit patchad på ett tag och där var hela servern infekterad. Inte bara min del. Samt att man direkt hittade fysiska filer och kod.

Men det på Loopia hittar jag ingen som helst logik och första gången jag stött på något liknande.

Inga konstiga JS-filer och inga filers ändringsdatum som är konstiga.
Allt ser schysst och bra ut på själva servern. (Även från hemsidorna som länkar dit)

Känns nästan som HOST/DNS-hack eller något mot deras CACHE-server.

[Clarence]

Citat:

Ursprungligen postat av Olis

Tack för feedbacken.

Tänkte att i princip alla attacker sker via någon automatiserad BOT och Brute Force så då bra med långt lösenord.
Själv försöker jag vara noga med att ha SSL på i FTP-klienten där det går.

Nej, 99% av alla lyckade attacker sker genom dålig kod hos sajten. Att det händer dig hos 2 olika leverantörer gör det ytterst sannolikt att hacket sker genom säkerhetsbrister i din egen kod.

Det är möjligt att det är global.asa-filerna som producerar HTML-koden (jag har inte gjort något under Windows på 10+ år så minns inte ens vad dessa filer gör), men oavsett om du upplever att problemet försvann har du inte osannolikt kvar ett säkerhethål som isåfall gör att de inom kort kommer lägga tillbaka filen (eller något nytt/annat).

[Olis]

Citat:

Ursprungligen postat av Clarence

Nej, 99% av alla lyckade attacker sker genom dålig kod hos sajten. Att det händer dig hos 2 olika leverantörer gör det ytterst sannolikt att hacket sker genom säkerhetsbrister i din egen kod.

Det är möjligt att det är global.asa-filerna som producerar HTML-koden (jag har inte gjort något under Windows på 10+ år så minns inte ens vad dessa filer gör), men oavsett om du upplever att problemet försvann har du inte osannolikt kvar ett säkerhethål som isåfall gör att de inom kort kommer lägga tillbaka filen (eller något nytt/annat).

Ja visst beror många av intrång på hål i koden som injections och liknande och även där tror jag nog 99% är BOTar som scannar sidor och inte riktade attacker.

Men de jag råkat ut för är knappast detta. Framförallt om en hel server drabbas eller om de fysiskt kan ladda upp filer och skapa kataloger.
Renodlade HTML-sidor kan inte ställa till så mycket direkt som skedde i första fallet.

Tror det snarare handlar om icke patchade system och komponenter som man som användare till webhotell inte kan påverka eller ha kontroll över.

Därför jag tycker det är fascinerande hur de lyckas genomföra denna typ av attack då för ca 1-2 år sedan var på var och varannan sida på flera av de största webhotellen i Sverige som borde har en väldigt hög säkerhet.
Ett hundratal sidor jag hittade med liknande spamlänkar och som inte var sidor som jag låg bakom. Ganska osynligt hack då länkarna ofta ligger dold på sidan eller på någon undersida som sen i sin tur länkas från spamforum och liknande. Antar att det var någon form av SEO-spam.