[ZynX]

Citat:

Ursprungligen postat av redrum

Det verkar som mist ett 100-tal sidor på Levonline blivit hackade, tex http://www.djurgarden.net/

Är det dags att lämna Levonline kanske?

Känns som en väldigt felaktig topic. Jag är nästan till 100% säker att de beror på kassa uppdateringar av kunder på sina joomla/wordpress sajter. Men samtidigt kan de varit en liten del av systemet som drabbats, eftersom dom säkerligen inte kör alla sina webbhotell på en och samma server. Så drabbar detta bara en liten mängd kunden och är det då en bott som är ute efter kryphål så skannar dom gärna igenom hela servern.

[redrum]

Citat:

Ursprungligen postat av ZynX

Känns som en väldigt felaktig topic. Jag är nästan till 100% säker att de beror på kassa uppdateringar av kunder på sina joomla/wordpress sajter. Men samtidigt kan de varit en liten del av systemet som drabbats, eftersom dom säkerligen inte kör alla sina webbhotell på en och samma server. Så drabbar detta bara en liten mängd kunden och är det då en bott som är ute efter kryphål så skannar dom gärna igenom hela servern.

Jag kanske borde skrivit "Server hos Levonline hackad" för att det skulle vara mer korrekt.

Om det nu år så som ni tror, att det är ett hål i WP/Joomla som orsakat detta. Är det då inte konstigt om det även drabbats sidor som inte använder WP/Joomla och att det ligger filer med root som user på FTP'n?

[ZynX]

Citat:

Ursprungligen postat av redrum

Jag kanske borde skrivit "Server hos Levonline hackad" för att det skulle vara mer korrekt.

Om det nu år så som ni tror, att det är ett hål i WP/Joomla som orsakat detta. Är det då inte konstigt om det även drabbats sidor som inte använder WP/Joomla och att det ligger filer med root som user på FTP'n?

Det skulle i så fall kunna vara så att "joomla" kunden inte är chrootad och på så vis kunnat exekvera script i servern. Ett stort misstag många oftast glömmer är att disable php-exec. Har dom tillgång till det kan dom iprincip om inte andra hemkataloger är chrootade mecka till sig så pass hög access så att de lyckas att skriva över alla index.* till de dom önskar. Det är i alla fall väldigt vanligt i osäkra miljöer. Och då måste man antingen chroota alla användare eller att helt enkelt patcha systemet så att man inte har execute rättigheter i t.e.x /tmp eller någon annan del av systemet som man kan komma åt om man har ett shell likt c99 c101 och vad nu alla dom där heter som du kan styra iprincip en hel server om man inte säkrat dessa korrekt.

Men för att återgå till topic så håller jag mig till att en server i så fall varit attackerad. Att återställa index.* kan inte tagit så lång tid för dem genom att bara skicka ut alla ändringar en dag tillbaka på alla index filer som ändrats och sedan fokusera snabbt på vad som hänt och hur man kan göra det bättre. Vet bland annat att använder man sig utav Directadmin som ej är chrootad så måste du göra en hel del justeringar i ditt linux system innan du kan känna dig lugn

[redrum]

Citat:

Ursprungligen postat av ZynX

Det skulle i så fall kunna vara så att "joomla" kunden inte är chrootad och på så vis kunnat exekvera script i servern. Ett stort misstag många oftast glömmer är att disable php-exec. Har dom tillgång till det kan dom iprincip om inte andra hemkataloger är chrootade mecka till sig så pass hög access så att de lyckas att skriva över alla index.* till de dom önskar. Det är i alla fall väldigt vanligt i osäkra miljöer. Och då måste man antingen chroota alla användare eller att helt enkelt patcha systemet så att man inte har execute rättigheter i t.e.x /tmp eller någon annan del av systemet som man kan komma åt om man har ett shell likt c99 c101 och vad nu alla dom där heter som du kan styra iprincip en hel server om man inte säkrat dessa korrekt.

Men för att återgå till topic så håller jag mig till att en server i så fall varit attackerad. Att återställa index.* kan inte tagit så lång tid för dem genom att bara skicka ut alla ändringar en dag tillbaka på alla index filer som ändrats och sedan fokusera snabbt på vad som hänt och hur man kan göra det bättre. Vet bland annat att använder man sig utav Directadmin som ej är chrootad så måste du göra en hel del justeringar i ditt linux system innan du kan känna dig lugn

Stort tack för att du tar dig tid att förklara mer i detalj
Vad vi har märkt så är det många filer med namn innehållande index och main som blivit hackade, dock inte alla.
Så om jag förstår dig rätt så är risken att man kan vara ganska utsatt i en delad miljö.

Mitt syfte är verkligen inte att kasta någon skit på Levonline, jag beklagar om min ton verkat så här. Vi har varit kund hos dem länge, ca 8-9 år, och de flesta erfarenheter av dem är goda.
Men dock så ser jag fortfarande sidor som inte återställts, och våran sida återställde vi själva.

[foks]

Citat:

Ursprungligen postat av redrum

Stort tack för att du tar dig tid att förklara mer i detalj
Vad vi har märkt så är det många filer med namn innehållande index och main som blivit hackade, dock inte alla.
Så om jag förstår dig rätt så är risken att man kan vara ganska utsatt i en delad miljö.

Mitt syfte är verkligen inte att kasta någon skit på Levonline, jag beklagar om min ton verkat så här. Vi har varit kund hos dem länge, ca 8-9 år, och de flesta erfarenheter av dem är goda.
Men dock så ser jag fortfarande sidor som inte återställts, och våran sida återställde vi själva.

Vad sa Levonlines support när du kontaktade dem? De kan utan problem se hur intrånget har skett och kan ge bättre svar än de spekulationer du får här.

[ZynX]

Finns ju även en massa öppna script som skannar joomla till exempel joomscan är ett perl script som används för att upptäcka säkerhetshål i just joomla.

Om man säger så här är joomla 1.5.x som en ihålig ost och denna har en hel del man måste göra för att leva kvar med denna.

[taz76]

Virus i datorn som snott lagrade lösenord ifrån ftp-programmet?

[redrum]

Sjukt sent svar här. Men här kommer det iaf;
Levonline meddelade att någon lyckats anskaffa sig admin behörighet på en av servrarna. Det skedde genom att utnyttja en hemsida med säkerhetshål för att sedan lyfta behörigheten i webservern apache.

Levonline uppdaterade sedan samtlig mjukvara, bytte samtliga lösenord och nycklar och analyserade sedan om servrarna fortfarande var drabbade.

Så precis som det skrivits tidigare så var det någon som utnytjat ett hål i WP/Joomla/etc.

//Fredrik