[naak2803]

Hej, idag märkte jag att en utav mina sidor har blivit hackad.

Denna javascript-snutten fanns inbakad i Default.aspx

Kod:

<script>document.write ('<d' + 'iv st' + 'yle' + '="po' + 'sit' + 'io' + 'n:' + 'abso' + 'lu' + 'te;l' + 'ef' + 't:' + '-' + '65' + '00' + '0' + 'p' + 'x;' + 
'"' + '>');</script><div>
<a href="/nike.asp?airmax-9.html">Air Max 90 Billigt</a><br>
<a href="/nike.asp?airmax-140.html">Nike Air Max</a><br>
<a href="/nike.asp?airmax-114.html">Nike Air Max 90 Cheap</a><br>

<script>document.write ('<' + '/d' + 'i' + 'v>');</script>

Problemet är att jag ser att filen har blivit ändrad idag, FAST i ftp-loggen är det endast mitt IP-nummer, hur kommer det sig.

samt att på det ställe i default.aspx finns ingen formulär eller liknande så de kan inte ha fulat sig genom injections.

[ztream]

Har de hittat en exploit som ger tillgång till filsystemet kan de ha gjort det från vilken sida som helst och det skulle inte synas i ftp-loggen eftersom de inte kört ftp in.

[naak2803]

"exploit som ger tillgång till filsystemet", kan du ge exempel på sådanna?

[BarateaU]

Kan vara via annat script du kör och behöver således inte vara via FTP. Du kanske har uppsatt att siterna kan "smitta" varandra om de inte är avskilda filsystem/rättigheter. Stött på liknande trollande med htaccess filer och vanliga PHP filer när man haft risiga plugins med säkerhetshål.

[lazat]

Kolla i FTP vem som äger filen. Jämför sedan med rättigheterna som din webbplats kör som. Är det olika så är det troligen en annan webbplats på samma server som har smittat dig. Om det är samma så kolla alla andra filer på webbplatsen efter ändringar. Även JPG filer kan innahålla virus/trojaner. Kolla alla filer efter när filen är modifierad. Detta hjälper till att hitta fler bakdörrar som de kan ha installerat. Säkra sedan upp webbplatsen. Om du har wordpress eller Jommla så är säkerhetshålet mest troligt där eller i installerade plugins.

[AnOnYmUs]

Jag ställer frågan om vilket webbhotell du kör? Har haft ett himla problem med ett av de större webbhotellen på deras win-servers.

[jonny]

Sannolikt rör det sig om ett intrång på annat sätt än FTP. Säkerheten i FTP kan för all del ifrågasättas, men det brukar sällan vara den vägen intrång sker. Detta mycket på grund av att de intrång som faktiskt sker snarare är automatiserade än en enskild individ som är ute efter specifik din webbplats.

[naak2803]

Citat:

Ursprungligen postat av AnOnYmUs

Jag ställer frågan om vilket webbhotell du kör? Har haft ett himla problem med ett av de större webbhotellen på deras win-servers.

Det är loopia detta gäller...

[AnOnYmUs]

Precis som många här skriver så är det inte genom FTP eller någon av dina sidor som det här hacket görs. Det handlar om att den servern din sajt ligger på har en sårbarhet vilket gör att dom kommer åt alla kontona på servern. Jag hade fruktansvärt mkt spam-problem med kataloger som skapades med ytterligare kataloger. Tror det var 9x9x9x9x9x9x9, du kan ju gissa hur lång tid det tog att radera dessa.

Dom flyttade över mina sajter till den nya plattformen och då var problemet löst. Prata med dom bara.