FAQ |
Kalender |
2015-04-02, 11:14 | #1 | ||
|
|||
Mycket flitig postare
|
Hej, idag märkte jag att en utav mina sidor har blivit hackad.
Denna javascript-snutten fanns inbakad i Default.aspx Kod:
<script>document.write ('<d' + 'iv st' + 'yle' + '="po' + 'sit' + 'io' + 'n:' + 'abso' + 'lu' + 'te;l' + 'ef' + 't:' + '-' + '65' + '00' + '0' + 'p' + 'x;' + '"' + '>');</script><div> <a href="/nike.asp?airmax-9.html">Air Max 90 Billigt</a><br> <a href="/nike.asp?airmax-140.html">Nike Air Max</a><br> <a href="/nike.asp?airmax-114.html">Nike Air Max 90 Cheap</a><br> <script>document.write ('<' + '/d' + 'i' + 'v>');</script> samt att på det ställe i default.aspx finns ingen formulär eller liknande så de kan inte ha fulat sig genom injections. |
||
Svara med citat |
2015-04-02, 11:48 | #2 | |||
|
||||
Supermoderator
|
Har de hittat en exploit som ger tillgång till filsystemet kan de ha gjort det från vilken sida som helst och det skulle inte synas i ftp-loggen eftersom de inte kört ftp in.
|
|||
Svara med citat |
2015-04-02, 11:59 | #3 | ||
|
|||
Mycket flitig postare
|
"exploit som ger tillgång till filsystemet", kan du ge exempel på sådanna?
|
||
Svara med citat |
2015-04-02, 12:53 | #4 | |||
|
||||
Klarade millennium-buggen
|
Kan vara via annat script du kör och behöver således inte vara via FTP. Du kanske har uppsatt att siterna kan "smitta" varandra om de inte är avskilda filsystem/rättigheter. Stött på liknande trollande med htaccess filer och vanliga PHP filer när man haft risiga plugins med säkerhetshål.
|
|||
Svara med citat |
2015-04-02, 14:22 | #5 | |||
|
||||
Mycket flitig postare
|
Kolla i FTP vem som äger filen. Jämför sedan med rättigheterna som din webbplats kör som. Är det olika så är det troligen en annan webbplats på samma server som har smittat dig. Om det är samma så kolla alla andra filer på webbplatsen efter ändringar. Även JPG filer kan innahålla virus/trojaner. Kolla alla filer efter när filen är modifierad. Detta hjälper till att hitta fler bakdörrar som de kan ha installerat. Säkra sedan upp webbplatsen. Om du har wordpress eller Jommla så är säkerhetshålet mest troligt där eller i installerade plugins.
Senast redigerad av lazat den 2015-04-02 klockan 14:24 Anledning: stavfel |
|||
Svara med citat |
2015-04-02, 22:48 | #6 | ||
|
|||
Mycket flitig postare
|
Jag ställer frågan om vilket webbhotell du kör? Har haft ett himla problem med ett av de större webbhotellen på deras win-servers.
|
||
Svara med citat |
2015-04-03, 21:23 | #7 | ||
|
|||
Supermoderator
|
Sannolikt rör det sig om ett intrång på annat sätt än FTP. Säkerheten i FTP kan för all del ifrågasättas, men det brukar sällan vara den vägen intrång sker. Detta mycket på grund av att de intrång som faktiskt sker snarare är automatiserade än en enskild individ som är ute efter specifik din webbplats.
__________________
Jonny Zetterström se.linkedin.com/in/jonnyz | bjz.se | sajthotellet.com | kalsongkungen.se | zretail.se | zetterstromnetworks.se | webbhotellsguide.se | ekonominyheter24.se | nyamobiltelefoner.se | gapskratt.se | antivirusguiden.se | jonny.nu |
||
Svara med citat |
2015-04-04, 11:43 | #8 | ||
|
|||
Mycket flitig postare
|
|||
Svara med citat |
2015-04-05, 00:23 | #9 | ||
|
|||
Mycket flitig postare
|
Precis som många här skriver så är det inte genom FTP eller någon av dina sidor som det här hacket görs. Det handlar om att den servern din sajt ligger på har en sårbarhet vilket gör att dom kommer åt alla kontona på servern. Jag hade fruktansvärt mkt spam-problem med kataloger som skapades med ytterligare kataloger. Tror det var 9x9x9x9x9x9x9, du kan ju gissa hur lång tid det tog att radera dessa.
Dom flyttade över mina sajter till den nya plattformen och då var problemet löst. Prata med dom bara. |
||
Svara med citat |
Svara |
|
|