[Dennis Holm]

problemet är att servern är hackad.. antagligen.. det verkar vara så att de har blivit rootade eller liknande igenom en kernel bug.
kerneln i fråga e lite smågammal.... lite!

[clirre]

Fick svaret:

It may be for some vulnerable third party scripts or insecure permissions on the files.
Anyways, we have already informed our security team and they will check if there is anything from server side.

Jag har aldrig ändrat permissions på filer eller mappar själv. Jag har inga specialsidor heller, allt är php med mysql v5 (många har remote). phpLD är undantaget, den sidan har jag raderat för tillfället.

Det verkar ju mer och mer som om webbhotellet är hackat men det verkar inte vara nåt ramaskri, dvs inte alla är drabbade. Kanske bara de med svag php-kod och eftersom jag inte är jätteduktig finns det möjligen luckor.

Det är dock otroligt svårt att felsöka koden efter säkerhetsluckor och "roliga" fel då allt blir hackat. Om filer är ändrade i varje mapp på hotellet så vet man ju inte var de kommit in och var de ändrat efter att de kommit in. Några tips här? Några tips på vanliga luckor (bortsett från mysql-injections). Gärna tips på nån bra hemsida.

Jag har inte hittat nån logg eller nåt ställe där man kan enabla det heller.

[clirre]

Jag har frågat innan men inte fått nåt riktigt bra svar:

Vilka permissions ska man ha på filer respektive mappar för mesta möjliga säkerhet. Alla filer är vanliga php-sidor. Inget bör skrivas till dem, jag har inga mappar där man kan ladda upp saker, allt är bara rena hemsidor så att säga.

[Drew]

Du kan sätta katalogerna till 555 och filerna till 444, då kan alla läsa men ingen kan skriva till dom.

[hnn]

Får användarna ladda upp filer på servern?

[Björklund]

Se dig om efter ett webbhotell som använder brandväggar. De flesta "automathackningar" sker genom att de hittar en säkerhetshål och sedan använder ett skript från servern som tankar andra hack till servern. Om brandväggen stoppar trafik från att hämta ner saker till servern så ger de flesta upp ganska fort och ger sig på någon annan istället.

[orreborre]

Använder du templates som på något sätt inkluderas?
I så fall kan det handla om RFI.

[clirre]

hnn: nej, alla förslag skickas till mig via mejl...lite antikt system men jag har inte kunnat göra ett script som laddar upp filer automatiskt som är säkert...

Inga templates heller, tror inte RFI bör vara möjligt på det sättet jag byggt sidan. Undantaget är fortfarande phpLD som jag inte har kontroll över.

Jag har fått hjälp av en vänlig själ här på WN med ett webbhotell jag får krascha på (ursäkta ordvitsen) tills jag vet att Servage är säkrade. Ska bli intressant att se om sidan fortsätter bli hackad då. DNS:en håller på att slå om i detta nu.

Sen lutar det kanske åt att byta webbhotell igen (till nåt säkrare). Vill helst inte det för jag har varit nöjd med Servage såhär långt.

Är det bara en slump att Proinet (mitt dåvarande svenska webbhotell) och Servage (mitt "amerikanska" webbhotell) blev hackade inom bara ett par dagars mellanrum? Samma kernel-fel kanske? Spekulation, men för mig personligen är det ganska ironiskt att båda mina webbhotell blev hackade samma vecka.

[martin-lb]

Joo, du verkar ha fått maximal otur!

Har inte sett något i tråden om det, men har du gått igenom dina apache-loggar? Har du tur hittar du något där, som RFI mm som diskuterats tidigare.

För PHPLD specifikt hittade jag dessa:
http://www.smilehouse.com/advisory/p...ory_070121.txt
http://www.securityfocus.com/bid/20765


/Martin

[Mortekai]

Mitt tips är att kontakta ConfigServer och beställ en genomgång för att säkra servern ordentligt. Det kostar bara 75 dollar och det är helt klart värt varenda öre.

http://www.configserver.com/cp/cpanel.html